הודעת שגיאה

  • Deprecated function: Methods with the same name as their class will not be constructors in a future version of PHP; views_display has a deprecated constructor ב-require_once() (שורה 3157 מ-/ssd/www/sites/openapp.co.il/html/includes/bootstrap.inc).
  • Deprecated function: Methods with the same name as their class will not be constructors in a future version of PHP; views_many_to_one_helper has a deprecated constructor ב-require_once() (שורה 113 מ-/ssd/www/sites/openapp.co.il/html/sites/all/modules/ctools/ctools.module).

הגנת .htaccess על ממשקי ניהול באתרי תוכן

ידידיה קליין

באתרים המאוכסנים בשרת Apache כדאי מאד להגן על ממשקי עריכת התוכן באמצעות קובץ .htaccess . הגנה זו חוסמת אפשרות של Brute Force כדי לנסות לגלות את הסיסמא, או נסיונות ניחוש של הסיסמא (שלפעמים הינה בנאלית ביותר) באופן כללי ניתן לבצע שני סוגים של הגנות:

  • חסימה לפי כתובות IP (מאד נוח אם יש כתובות קבועות)
  • חסימה עם סיסמא (מספק שכבת סיסמא נוספת)

כדי להגן לפי כתובות ניצור קובץ .htaccess עם התוכן הבא:

order deny,allow
allow from 1.2.3.4
allow from 5.6.7.8
deny from all

כאשר המספרים הם הכתובות מהם אנו רוצים לאפשר גישה. כדי לחזק הגנה עם סיסמא נוספת ניצור קובץ .htaccess עם התוכן הבא:

AuthUserFile /home/client/.htpasswd
AuthType Basic
AuthName "Access Denied"
<Limit GET POST>
require valid-user
</Limit>

בנוסף אנו צריכים ליצור קובץ בשם .htpasswd עם הסיסמא ולמקם אותו במיקום אותו אנו מגדירים בשורה הראשונה של ה-.htaccess. קובץ זה מייצרים בעזרת תכנת htpasswd בסביבת Linux או בסביבות אחרות בצורה הבאה:

htpasswd -c /home/client/.htpasswd myusername

כאשר מומלץ למקם את הקובץ בתיקיית הבית של המשתמש (שאינה נגישה לשרת ה-Web), ו-myusername הוא שם המשתמש שאותו אנו יוצרים. לאחר הקשת הפקודה המערכת תבקש סיסמא ותיצור את הקובץ. במערכת Joomla נמקם קובץ זה בתיקיית administrator ובמערכת WordPress נמקם בתיקיית wp-admin

בניין בינת הר חוצבים ירושלים 97787 רח' נתנזון 5/2 026310246 | 0526071135 | 0524767193 | sales@openapp.co.il‬‏