באתרים המאוכסנים בשרת Apache כדאי מאד להגן על ממשקי עריכת התוכן באמצעות קובץ .htaccess . הגנה זו חוסמת אפשרות של Brute Force כדי לנסות לגלות את הסיסמא, או נסיונות ניחוש של הסיסמא (שלפעמים הינה בנאלית ביותר) באופן כללי ניתן לבצע שני סוגים של הגנות:
- חסימה לפי כתובות IP (מאד נוח אם יש כתובות קבועות)
- חסימה עם סיסמא (מספק שכבת סיסמא נוספת)
כדי להגן לפי כתובות ניצור קובץ .htaccess עם התוכן הבא:
order deny,allow allow from 1.2.3.4 allow from 5.6.7.8 deny from all
כאשר המספרים הם הכתובות מהם אנו רוצים לאפשר גישה. כדי לחזק הגנה עם סיסמא נוספת ניצור קובץ .htaccess עם התוכן הבא:
AuthUserFile /home/client/.htpasswd AuthType Basic AuthName "Access Denied" <Limit GET POST> require valid-user </Limit>
בנוסף אנו צריכים ליצור קובץ בשם .htpasswd עם הסיסמא ולמקם אותו במיקום אותו אנו מגדירים בשורה הראשונה של ה-.htaccess. קובץ זה מייצרים בעזרת תכנת htpasswd בסביבת Linux או בסביבות אחרות בצורה הבאה:
htpasswd -c /home/client/.htpasswd myusername
כאשר מומלץ למקם את הקובץ בתיקיית הבית של המשתמש (שאינה נגישה לשרת ה-Web), ו-myusername הוא שם המשתמש שאותו אנו יוצרים. לאחר הקשת הפקודה המערכת תבקש סיסמא ותיצור את הקובץ. במערכת Joomla נמקם קובץ זה בתיקיית administrator ובמערכת WordPress נמקם בתיקיית wp-admin
