Защита папки на сервере

Сервер Apache с помощью настроек (файл .htaccess) позволяет защитить папку от свободного доступа — только через логин и пароль.
Зачем это надо:
— защитить папки с важными данными от индексации роботами (несмотря на инструкции в robots.txt — поисковые машины индексируют всё, до чего дотянутся)
— защитить от вредителей, которые пытаются попасть в административную панель управления CMS (папка administrator для Joomla и папка wp-admin для WordPress)

Примечание: для 1С Битрикс данный вариант использовать нельзя, т.к. в папке administrator находятся модули, необходимые для работы остального сайта. Если на админку Битрикс сделать пароль, то большая часть сайта перестанет работать.

После установки защиты на папку у нас будет фактически двухуровневая аутентификация такого вида:

1-й этап — сервер запрашивает разрешение на доступ к папке administrator (внутри которой находится index.php, который запускает административную панель Joomla)

2-й этап — стандартный запрос на вход в админку Joomla

Как сделать такую красоту?

А) Внутри защищаемой папки создаем файл .htaccess следующего вида (обычный текстовый файл формата ANSI)

AuthType Basic
AuthName «That’s protected Area!»
AuthUserFile /home/uXXXXX/www/site.ru/.htpasswd
require valid-user
<Files .htpasswd>
deny from all #запрет доступа из браузера к .htpasswd
</Files>

Или как вариант (если допускает Ваш сервер) — положить файл с паролем на уровень площадки на сервере — туда вообще браузеру доступа нет.

AuthType Basic
AuthName «That’s protected Area!»
AuthUserFile /home/uXXXXX/.htpasswd
require valid-user

Директива AuthType. Тип используемой аутентификации. Для базовой аутентификации эта директива должна иметь значение: Basic

В директиве AuthName указываем сообщение для пользователя, в нашем случае «That’s protected Area!». Сообщение можно указать другое.
Для желающих потроллить хакеров можно сделать:
— логин вида superuser1917
— сообщение вида «Requires the Administrator password!» (требуется пароль Administrator)
Пусть думают, что основной логин Administrator и к нему перебирают пароль :)

В директиве AuthUserFile указываем абсолютный путь к файлу с логинами/паролями. Это пример для хостинга MasterHost, для другого хостинга путь будет другой.

«Путь /home/uXXXXX/.htpasswd обозначает полный путь к файлу паролей на диске нашего сервера. Если, например, вы поместите файл .htpasswd (в нем будут пароли) в домашний каталог, куда вы попадаете зайдя на сервер по FTP, то путь к этому файлу будет иметь вид /home/uXXXXX/.htpasswd, где uXXXXX — наименование вашей виртуальной площадки (например, u12345).
Если вы создаете файл .htaccess на своем компьютере, а не сразу на сервере при помощи текстового редактора, обратите внимание на то, что .htaccess должен передаваться по FTP строго в текстовом (ASCII) режиме.»

Директива Require
Одно или несколько требований, которые должны быть выполнены для получения доступа к закрытой области.
require valid-user — разрешен доступ всем прошедшим проверку
require user admin alex mango — разрешен доступ только посетителям с именами admin, alex, mango. Естественно, они должны пройти аутентификацию.
require group admins — разрешен доступ всем пользователям из группы admins

После создания такого файла и перемещения его на сервер — при попытке войти в админку будет появляться запрос логина и пароля для входа в папку. Система нас не пустит, т.к. у нас собственно пока отсутствует файл с логином и паролем.

Создаем в указанном месте (или на локальном ПК с передачей его по FTP) файл .htpasswd. Файл состоит из строк, каждая из которых соответствует паре логин:пароль. Логин отделяется от хеша двоеточием. Это обычный текстовый файл ANSI, каждая строка которого представляет из себя

login:password

Метод авторизации с использованием такого файла носит название базового (англ. basic authentication). Некоторые другие веб-серверы, например, nginx, также могут работать с этим файлом.

Название начинается с точки, так как точка в Unix-подобных операционных системах указывает на атрибут «скрытый». Кроме того, Apache не отдаёт по запросу файлы, имя которых начинается с точки, что позволяет размещать файл паролей внутри директорий, доступных анонимным пользователям.

Логин и пароль необходимо придумать самостоятельно.

Пароль может быть в виде:
— собственно пароль без шифрования
— хеш пароля MD5 (модифицированный в проекте Apache)
— хеш пароля MD5 (с «солью» в виде логина пользователя)
— системная функция crypt
— хеш пароля SHA (последняя актуальная версия SHA-3 от 2015 г., для версий SHA-0, SHA-1 и SHA-2 найден вектор атаки)

Какой именно вариант — зависит от настроек хостинга (точнее настроек Apache на хостинге), нужно узнавать в техподдержке. Обычно MD5.

Получить хеш пароля MD5 можно сделать несколькими путями:
— использовать онлайн сервисы для создания хеша https://htmlweb.ru/service/htpasswd.php
— использовать встроенную программу сервера Apach — htpasswd
— использовать ее аналог для Windows — htpasswd.exe

Синтаксис использования программы htpasswd.exe в среде Windows (консоль)

htpasswd.exe -mc .htpasswd user1
создаем новый файл паролей htpasswd.exe, пароль и его подтверждение будут запрошены интерактивно

htpasswd.exe -m .htpasswd user2
добавляем пользователя user2 в существующий файл паролей htpasswd.exe, запросив пароль интерактивно

В результате будет получен файл с содержимом вида

user1:hash_pass1
user2:hash_pass2

После окончания заведения всех логинов файл нужно загрузить на сервер.