網站安全性不容小視,尤其是是對於後臺管理目錄的訪問需要格外的嚴格控制,否則一旦被人得到網站管理員的密碼,再通過後臺管理可能的上傳操作就可以拿下整個網站了。但是,目前一般來說我們對後臺管理的權限都是通過程序本身的密碼限制的,而程序本身的密碼又受到了自身的安全性限制。因此需要更爲底層的訪問限制來保障網站的安全性。當然,備份工作也不能忽視。
.htaccess文件便是Apache下的一個分佈式配置文件,其對於網站的各種功能配置有非常重要的作用,我們也可以通過這個文件來限制對網站的訪問。下面我將具體說明配置方法:
1、爲網站的重要目錄(比如後臺管理)設置Apache訪問控制密碼。
首先建立一個名稱爲.htpasswd的文本文件,裏面輸入設置好的訪問控制用戶名和密碼。文件內容因涉及到加密算法,需要打開 http://tool.liehuo.net/htaccess/在線生成頁面,然後選擇“文件夾密碼保護”欄目,讓你後輸入你想要的用戶名和密碼,最後點擊“創建.htpasswd內容”按鈕,下面將會顯示該文件的內容。
注意,該文件的內容應該類似於:
username:gQQ/SeV/5y2bM
冒號前面的是用戶名,後面的是加密後的密碼,請不要手動更改。創建完成後,請將此文件上傳至無法通過HTTP訪問到的目錄下,然後記錄下這個文件的絕對路徑。
上傳後,手動建立一個內容如下的名爲.htaccess的文件:
AuthUserFile /home/foo/bar/.htpasswd
AuthGroupFile /dev/null
AuthName “Please enter your ID and password”
AuthType Basic
require valid-user
其中第一行“/home/foo/bar/.htpasswd”爲.htpasswd文件的絕對地址,請根據實際情況進行修改。然後將此文件上傳到需要保護的目錄下即可。
此時,訪問受保護的目錄,將會彈出一個需要登錄獲取訪問權限的窗口,輸入你設置的用戶名和密碼,才能看見程序的登陸頁面。並且,這個密碼是非常安全的。它並沒有記錄在網站的數據庫中,也沒有記錄在網站的目錄下。並且,任何對受保護目錄的訪問都需要進行授權。因此安全性非常高。
2、阻止某些IP對網站的訪問。
比如希望阻止某一IP對網站的訪問以提高安全性,可以直接將IP地址拒絕。也是通過.htaccess文件實現。在.htaccess文件中加入以下內容:
order deny,allow
deny from 127.0.0.1
上面的127.0.0.1即是網站拒絕需要訪問的IP地址。然後將.htaccess文件上傳到網站的根目錄下即可。
文章源自:烈火網,原文:http://www.veryhuo.com/a/view/20430.html