Təhlükəsizlik

.htaccess Faylı Şifrələmə və Sayt Təhlükəsizliyini Artırma Əmrləri

  • 14 oxumaq üçün dəqiqələr
  • Hostragons Komandası
.htaccess Faylı Şifrələmə və Sayt Təhlükəsizliyini Artırma Əmrləri

.htaccess faylı şifrələmə, Apache və ya LiteSpeed əsaslı hostinq mühitlərində bir qovluğu istifadəçi adı və parol ilə qorumaq, .htaccess faylının xaricdən oxunmasının qarşısını almaq, HTTPS məcburiyyəti tətbiq etmək və zərərli girişləri məhdudlaşdırmaq üçün istifadə edilən praktik təhlükəsizlik metodlarının bütünüdür. Ən geniş yayılmış tətbiq, .htaccess vasitəsilə qovluq girişini Basic Auth üzərindən parol mühafizəsinə almaq və parolları .htpasswd faylında saxlamaqdır. Lakin önəmli məqam budur: Basic Auth təkbaşına verilənləri şifrələmir; təhlükəsiz istifadə üçün mütləq SSL sertifikatı ilə HTTPS üzərində işləməlidir. SSL sertifikatı təhlükəsiz veb hostinq

Veb saytlarda təhlükəsizlik çox vaxt böyük qoruyucu divarlar, mürəkkəb proqram təminatları və ya bahalı əlavələrlə əlaqələndirilir. Halbuki düzgün konfiqurasiya edilmiş bir .htaccess faylı, xüsusilə paylaşımlı hostinq, WordPress, özəl PHP tətbiqləri və kiçik biznes saytlarında ilk müdafiə qatlarından biridir. Bu fayl ilə idarəetmə paneli kimi kritik qovluqları parolla qoruya, HTTP trafikini HTTPS-ə yönləndirə, qovluq siyahılanmasını bağlaya, müəyyən fayllara girişi əngəlləyə, hotlink istifadəsini azalda və əsas təhlükəsizlik başlıqlarını aktiv edə bilərsiniz.

Bu təlimatda .htaccess faylı şifrələmə əməliyyatını addım-addım nəzərdən keçirəcək, real həyatda ən çox istifadə olunan təhlükəsizlik əmrlərini izah edəcək və kopyalayıb uyğunlaşdıra biləcəyiniz nümunələr paylaşacağıq. Məzmundakı əmrlər xüsusilə Apache mod_rewrite, mod_auth_basic və mod_headers dəstəkləyən hostinq mühitləri üçün uyğundur. LiteSpeed serverlər də böyük ölçüdə Apache uyğun olduğuna görə əksər qaydalar eyni şəkildə işləyir. Yenə də canlı saytda tətbiq etməzdən əvvəl mütləq fayl ehtiyat nüsxəsini götürməyiniz və mümkünsə test alt domen adında sınaq aparmağınız tövsiyə olunur. domen idarəetməsi veb sayt ehtiyat nüsxələmə

.htaccess Faylı Nədir və Niyə Təhlükəsizlik Üçün Önəmlidir?

.htaccess, veb serverin müvafiq qovluq və alt qovluqlar üçün necə davranacağını müəyyən edən lokal bir konfiqurasiya faylıdır. Kök direktoriyaya yerləşdirildikdə ümumiyyətlə bütün saytı təsir edir; məsələn public_html qovluğundakı .htaccess faylı, domen adınızın ana veb kökündə işləyən qaydaları idarə edir. Alt qovluğa qoyulduqda isə sadəcə o qovluq və altındakı yollar üçün keçərli ola bilər.

Bu fayl ilə server səviyyəsində giriş nəzarəti həyata keçirilə bildiyi üçün tətbiq koduna çatmadan əvvəl müəyyən sorğular əngəllənə bilər. Məsələn admin qovluğunu parol ilə qorusanız, hücumçu WordPress, özəl panel və ya PHP faylınıza çatmadan əvvəl server tərəfindən kimlik doğrulamasına ilişər. Bu yanaşma, brute force cəhdlərini azaldır və tətbiq qatındakı boşluqların istismar edilməsini çətinləşdirir.

.htaccess faylının təhlükəsizlik baxımından önə çıxan üstünlükləri bunlardır:

  • Tətbiq kodunu dəyişdirmədən giriş qaydaları təyin edilə bilər.
  • Müəyyən qovluqlar istifadəçi adı və parol ilə qoruna bilər.
  • HTTP sorğuları avtomatik olaraq HTTPS-ə yönləndirilə bilər.
  • Qovluq siyahılanması, həssas fayl girişi və hotlink istifadəsi məhdudlaşdırıla bilər.
  • Təhlükəsizlik başlıqları ilə brauzer davranışı daha təhlükəsiz hala gətirilə bilər.
  • IP ünvanına, fayl uzantısına və ya sorğu metoduna görə məhdudiyyət tətbiq edilə bilər.

Bununla birlikdə .htaccess bütün təhlükəsizliyi təkbaşına təmin etmir. Güncəl proqram təminatı, güclü parol siyasəti, müntəzəm ehtiyat nüsxə, etibarlı hostinq infrastrukturu, WAF, zərərli proqram taraması və SSL sertifikatı ilə birlikdə istifadə edildikdə ən effektiv nəticəni verir. hostinq təhlükəsizliyi WordPress təhlükəsizliyi

.htaccess Faylı Şifrələmə Məntiqi: Basic Auth və .htpasswd

.htaccess faylı şifrələmə ifadəsi ümumiyyətlə iki fərqli mənaya gəlir. Birincisi, bir qovluğa girərkən istifadəçi adı və parol tələb etmək; ikincisi, .htaccess faylının özünün xaricdən görüntülənməsini əngəlləmək. İlk əməliyyat Basic Auth ilə, ikinci əməliyyat isə fayl giriş məhdudlaşdırma qaydaları ilə edilir.

Basic Auth quruluşunda .htaccess faylı kimlik doğrulama qaydasını ehtiva edir, .htpasswd faylı isə istifadəçi adı və şifrələnmiş parol məlumatını saxlayır. Parol açıq mətn olaraq saxlanılmamalıdır. Müasir sistemlərdə bcrypt, Apache MD5 və ya SHA əsaslı hash metodları istifadə olunur. Ən təhlükəsiz yanaşma, hostinq idarəetmə panelinizin qovluq məxfiliyi ya da parol mühafizəli qovluq xüsusiyyətini istifadə etməsidir; çünki bu panellər çox vaxt .htpasswd faylını doğru mövqeyə qoyur və parol hash-ləmə əməliyyatını avtomatik edir.

Nümunə bir parol mühafizə qaydası belədir:

AuthType Basic

AuthName Qorunan Sahə

AuthUserFile /home/istifadeci/.htpasswd

Require valid-user

Bu dörd sətirin mənası sadədir: Kimlik doğrulama növü Basic olaraq təyin edilir, brauzerdə görünən sahə adı müəyyənləşdirilir, istifadəçi parollarının yerləşdiyi .htpasswd faylının tam server yolu göstərilir və sadəcə keçərli istifadəçilərin girişinə icazə verilir. Burada ən çox edilən səhv, AuthUserFile sətirinə URL yazmaqdır. Doğru dəyər bir veb ünvanı deyil, server üzərindəki fiziki fayl yoludur. Məsələn https://siteadi.com/.htpasswd səhv; /home/istifadeci/.htpasswd doğru formata yaxındır.

.htpasswd Faylı Harada Saxlanılmalıdır?

.htpasswd faylını mümkünsə public_html xaricində saxlayın. Beləcə səhv server konfiqurasiyası olsa da fayl birbaşa veb üzərindən çağrıla bilməz. Məsələn saytınız /home/hesabadi/public_html içində işləyirsə, .htpasswd faylını /home/hesabadi/.htpasswd kimi veb kökünün xaricinə yerləşdirmək daha təhlükəsizdir.

Fayl icazələri baxımından praktik bir başlanğıc dəyəri .htpasswd üçün 640 və ya 644, .htaccess üçün 644 ola bilər. Server konfiqurasiyasına görə fərqli icazələr lazım ola bilər; lakin 777 kimi hər kəs tərəfindən yazıla bilən icazələr təhlükəsizlik riski yaradır və istifadə edilməməlidir.

Addım-Addım .htaccess ilə Qovluq Şifrələmə

Aşağıdakı addımlar, xüsusilə admin, panel, test, staging, hesabat və ya müştəriyə özəl fayl qovluqlarını qorumaq istəyən istifadəçilər üçün uyğundur. Əməliyyata başlamazdan əvvəl mövcud .htaccess faylınızın ehtiyat nüsxəsini götürün. Səhv bir simvol belə 500 Internal Server Error xətasına səbəb ola bilər.

1. Qorunacaq Qovluğu Müəyyənləşdirin

Əvvəlcə hansı direktoriyanı şifrələmək istədiyinizi dəqiqləşdirin. Məsələn sadəcə siteadi.com/admin sahəsini qorumaq istəyirsinizsə .htaccess faylını admin qovluğunun içinə qoya bilərsiniz. Bütün saytı müvəqqəti olaraq bağlayıb yalnız səlahiyyətli şəxslərə açmaq istəyirsinizsə qaydanı kök direktoriyadakı .htaccess faylına əlavə edə bilərsiniz.

2. .htpasswd İstifadəçisi Yaradın

Hostinq idarəetmə panelinizdə parol mühafizəli qovluq aləti varsa ən praktik metod budur. Alət yoxdursa SSH girişi olan serverlərdə htpasswd əmri ilə istifadəçi yaradıla bilər. Nümunə məntiq belədir: htpasswd -c /home/istifadeci/.htpasswd admin. Bu əmr admin istifadəçisi üçün parol yaradır və fayla qeyd edir. Mövcud fayla yeni istifadəçi əlavə edərkən -c parametrini istifadə etməyin; əks halda fayl yenidən yaradıla bilər.

3. .htaccess Qaydasını Əlavə Edin

Qorunacaq qovluqdakı .htaccess faylına bu sətirləri əlavə edin:

AuthType Basic

AuthName Idareetme Paneli

AuthUserFile /home/istifadeci/.htpasswd

Require valid-user

Qeyd etdikdən sonra brauzerdən müvafiq qovluğa daxil olun. İstifadəçi adı və parol ekranı gəlirsə əməliyyat uğurludur. Parol doğru olduğu halda giriş edilə bilmirsə AuthUserFile yolu səhv ola bilər və ya .htpasswd fayl icazələri server tərəfindən oxuna bilməyə bilər.

4. HTTPS Olmadan İstifadə Etməyin

Basic Auth kimlik məlumatını Base64 ilə daşıyır; bu həqiqi mənada güclü şifrələmə deyil. Trafik HTTP üzərindən gedirsə şəbəkə dinləməsi edən biri istifadəçi adı və parolu ələ keçirə bilər. Bu səbəbdən .htaccess faylı şifrələmə qaydası hər zaman HTTPS məcburiyyəti ilə birlikdə tətbiq edilməlidir. Hostragons üzərində SSL aktiv edərək və ardından HTTPS yönləndirmə qaydası əlavə edərək bu riski azalda bilərsiniz. SSL qurulumu HTTPS yönləndirmə

HTTPS Məcburiyyəti və www Yönləndirməsi

Sayt təhlükəsizliyini artırmağın ən təməl addımlarından biri bütün trafiki HTTPS-ə yönləndirməkdir. SSL sertifikatı aktiv olduqdan sonra kök direktoriyadakı .htaccess faylına aşağıdakı məntiqdə bir qayda əlavə edilə bilər:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Bu qayda HTTP ilə gələn sorğuları eyni domen adı və eyni yol üzərindən HTTPS-ə daşıyır. Daimi yönləndirmə mənasına gələn 301, SEO baxımından da doğru siqnal verir. Lakin saytınızda tərs proksi, CDN və ya yük balanslaşdırıcı varsa HTTPS statusu fərqli başlıqlardan oxuna bilər. Belə hallarda hostinq təminatçınızın tövsiyə etdiyi yönləndirmə qaydası üstünlük verilməlidir.

www və www olmayan domen adı seçimi də tutarlı olmalıdır. Məsələn bütün trafiki www olmayan versiyaya daşımaq istəyirsinizsə bu yanaşma istifadə edilə bilər:

RewriteEngine On

RewriteCond %{HTTP_HOST} ^www\.ornekdomen\.com$ [NC]

RewriteRule ^(.*)$ https://ornekdomen.com/$1 [L,R=301]

Burada ornekdomen.com sahəsini öz domen adınızla dəyişdirməlisiniz. Eyni anda həm HTTPS həm www yönləndirməsi edirsinizsə zəncirləmə yönləndirmə yaratmamağa diqqət edin. İdeal quruluş, istifadəçini tək addımda son URL-ə çatdırır. domen yönləndirmə SEO uyumlu yönləndirmə

.htaccess ilə Sayt Təhlükəsizliyini Artıran Təməl Əmrlər

Aşağıdakı cədvəl, ən çox istifadə edilən .htaccess təhlükəsizlik əmrlərini və nə zaman tətbiq edilmələri lazım olduğunu xülasələyir. Hər əmri əlavə etməzdən əvvəl mövcud konfiqurasiyanızı yoxlayın; bəzi WordPress, Laravel və ya özəl CMS qaydaları ilə toqquşma ehtimalı ola bilər.

.htaccess ilə Sayt Təhlükəsizliyini Artıran Təməl Əmrlər
MəqsədNümunə Əmr və ya DirektivNə Zaman İstifadə Olunur?Diqqət Ediləcək Məqam
Qovluq şifrələməAuthType Basic, Require valid-userAdmin, staging, hesabat qovluqlarıMütləq HTTPS ilə birlikdə istifadə edilməlidir
HTTPS məcburiyyətiRewriteCond %{HTTPS} offBütün sayt trafikini təhlükəsiz etmək üçünCDN varsa özəl qayda lazım ola bilər
Qovluq siyahılamasını bağlamaOptions -IndexesBoş indeks faylı olmayan qovluqlardaFayl quruluşunun görünməsini əngəlləyir
.htaccess qorumaRequire all deniedKonfiqurasiya fayllarının oxunmasını önləmək üçünApache versiyasına görə sintaksis dəyişə bilər
Hotlink əngəlləməRewriteCond %{HTTP_REFERER}Şəkillərin başqa saytlarda istifadəsini azaltmaq üçünCDN və sosial şəbəkə önizləmələrini test edin
Təhlükəsizlik başlıqlarıHeader set X-Frame-Options SAMEORIGINBrauzer əsaslı hücumları azaltmaq üçünmod_headers aktiv olmalıdır

Qovluq Siyahılamasını Bağlama

Bir qovluqda index.html, index.php və ya standart giriş faylı yoxdursa server fayl siyahısını göstərə bilər. Bu hal ehtiyat fayllar, şəkillər, müvəqqəti hesabatlar və ya köhnə mənbə kodları baxımından risklidir. Sadə bir əmrlə qovluq siyahılaması bağlana bilər:

Options -Indexes

Bu sətirdən sonra istifadəçilər qovluq məzmununu siyahılaya bilməz. Eksik indeks faylı olan qovluqlarda ümumiyyətlə 403 Forbidden cavabı görünür. Bu davranış təhlükəsizlik baxımından arzuolunandır.

.htaccess və Həssas Fayllara Girişi Əngəlləmə

.htaccess faylınızın veb üzərindən görüntülənməməsi lazımdır. Apache ümumiyyətlə bu faylı standart olaraq qoruyur; lakin əlavə təhlükəsizlik qatı olaraq aşağıdakı məntiq istifadə edilə bilər:

<Files .htaccess>

Require all denied

</Files>

Bənzər şəkildə .env, composer.json, composer.lock, config.php.bak, backup.sql, database.sql kimi fayllar da xaricdən girişə bağlanmalıdır. Xüsusilə Laravel, Symfony və ya özəl PHP tətbiqlərində .env faylı verilənlər bazası parolu, API açarı və SMTP məlumatları ehtiva edə bilər. Bu faylın sızması, bütün sistemin ələ keçirilməsinə qədər gedə bilər.

Birdən çox həssas fayl uzantısını əngəlləmək üçün bu məntiq tətbiq edilə bilər:

<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>

Require all denied

</FilesMatch>

Bu cür qaydaları əlavə edərkən tətbiqinizin həqiqətən ehtiyac duyduğu statik faylları əngəlləmədiyinizdən əmin olun. Məsələn bəzi doğrulama faylları və ya inteqrasiya faylları səhvən əhatə dairəsinə alınırsa üçüncü tərəf servislər işləməyə bilər.

PHP İşlətməyi Müəyyən Qovluqlarda Əngəlləmə

Yükləmə qovluqları hücumçuların ən çox hədəflədiyi sahələrdən biridir. Zəif fayl yükləmə nəzarəti olan bir sistemdə zərərli PHP faylı yüklənərsə, bu faylın işlədilməsi böyük risk yaradır. Şəkil və ya media yüklənən qovluqlarda PHP işlətməyi bağlamaq əlavə müdafiə təmin edər.

Müvafiq yükləmə qovluğunun içinə bir .htaccess faylı qoyub bu məntiqi tətbiq edə bilərsiniz:

<FilesMatch \.php$>

Require all denied

</FilesMatch>

Bu qayda, müvafiq qovluqda PHP fayllarına girişi əngəlləyir. WordPress üçün wp-content/uploads qovluğunda bənzər yanaşma geniş yayılmış şəkildə istifadə olunur; lakin bəzi əlavələrin xüsusi fayl işləmə ehtiyacları ola biləcəyi üçün test edilməlidir.

Hotlink, başqa saytların sizin şəkil fayllarınızı öz səhifələrində birbaşa istifadə etməsidir. Bu hal bant genişliyi istehlakını artırar və performans problemlərinə yol aça bilər. Sadə bir hotlink əngəlləmə qaydası bu məntiqdədir:

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^https?://(www\.)?ornekdomen\.com [NC]

RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]

Bu qayda, boş olmayan referer ilə gələn və sizin domen adınızdan gəlməyən şəkil sorğularını əngəlləyir. Lakin Google Şəkillər, sosial media önizləmələri, CDN domen adları və ya iş ortaqlarınız varsa bu sahələri ağ siyahıya əlavə etməyiniz lazım ola bilər. CDN istifadəsi veb sayt performansı

Müəyyən IP Ünvanlarına İcazə Vermə və ya Əngəlləmə

Admin panelinə sadəcə ofis IP ünvanınızdan daxil olmaq istəyirsinizsə IP məhdudiyyəti effektiv bir əlavə qatdır. Apache 2.4 və üzəri üçün təməl məntiq belədir:

Require ip 203.0.113.10

Bu qayda təkbaşına istifadə edildikdə sadəcə göstərilən IP ünvanına icazə verir. Dinamik IP istifadə edirsinizsə diqqətli olun; IP dəyişdikdə öz panelinizə daxil ola bilməyə bilərsiniz. Daha çevik istifadə üçün IP məhdudiyyətini parol mühafizəsi ilə birlikdə tətbiq etmək daha sağlam ola bilər.

Müəyyən bir pis niyyətli IP ünvanını əngəlləmək üçün isə bu məntiq istifadə edilə bilər:

<RequireAll>

Require all granted

Require not ip 198.51.100.25

</RequireAll>

IP əngəlləmə kiçik miqyaslı hücumlarda işə yarayar; lakin botnet və ya dəyişkən IP istifadə edən hücumlarda təkbaşına yetərli deyil. Bu halda tətbiq təhlükəsizlik divarı, nisbət məhdudlaşdırma və server tərəfli təhlükəsizlik həlləri daha effektiv olar.

Təhlükəsizlik Başlıqları: Brauzer Səviyyəsində Əlavə Qoruma

.htaccess sadəcə giriş nəzarəti üçün deyil, brauzer təhlükəsizlik başlıqlarını idarə etmək üçün də istifadə edilə bilər. mod_headers aktivdirsə aşağıdakı başlıqlar bir çox saytda təməl təhlükəsizlik səviyyəsini artırar:

Header always set X-Content-Type-Options nosniff

Header always set X-Frame-Options SAMEORIGIN

Header always set Referrer-Policy strict-origin-when-cross-origin

Header always set Permissions-Policy geolocation=(), microphone=(), camera=()

X-Content-Type-Options nosniff, brauzerin fayl növlərini təxmin edərək işlətməsini azaldar. X-Frame-Options SAMEORIGIN, saytınızın başqa domen adları içində iframe olaraq yerləşdirilməsini məhdudlaşdırar və clickjacking riskini azaldar. Referrer-Policy, yönləndirmə əsnasında hansı referer məlumatının paylaşılacağını nəzarət edər. Permissions-Policy isə kamera, mikrofon və mövqe kimi brauzer icazələrini məhdudlaşdırar.

Content-Security-Policy yəni CSP daha güclü bir təhlükəsizlik başlığıdır; lakin diqqətlə tətbiq edilməlidir. Çox sərt bir CSP, reklam, analiz, ödəmə, canlı dəstək və ya şrift servislərinin işləməsini poza bilər. Bu səbəbdən əvvəlcə hesabat modunda test etmək, ardından mərhələli şəkildə canlıya keçirmək daha doğru bir metoddur.

Tətbiq Öncəsi Nəzarət Siyahısı

Tətbiq Öncəsi Nəzarət Siyahısı

.htaccess dəyişiklikləri sürətli təsir edər. Buna görə təhlükəsizlik əmrlərini əlavə etməzdən əvvəl qısa bir nəzarət siyahısı ilə irəliləmək, kəsilmə riskini azaldar.

  • Mövcud .htaccess faylının ehtiyat nüsxəsini kompüterinizə endirin.
  • SSL sertifikatınızın aktiv və doğru qurulu olduğunu yoxlayın.
  • Yönləndirmə qaydalarını tək-tək əlavə edin; bütün qaydaları eyni anda dəyişdirməyin.
  • 500, 403 və 404 xətalarını brauzer və server xəta qeydlərindən yoxlayın.
  • WordPress, Laravel və ya özəl proqram təminatının öz rewrite qaydalarını silməyin.
  • Parol mühafizəsi istifadə etdiyiniz sahələrdə HTTPS məcburiyyətini test edin.
  • CDN, keş əlavəsi və təhlükəsizlik əlavəsi istifadə edirsinizsə toqquşma ehtimalını qiymətləndirin.
  • Mobil, masaüstü və fərqli brauzerlərdə giriş, forma və ödəmə axışlarını sınayın.

Qaydaları parça-parça tətbiq etmək praktikada çox önəmlidir. Məsələn əvvəlcə Options -Indexes əlavə edib test edin, ardından HTTPS yönləndirməsini əlavə edin, sonra parol mühafizəsinə keçin. Beləcə problem çıxdığında hansı sətirin problemə səbəb olduğunu sürətlə tapa bilərsiniz.

Ən Çox Edilən Səhvlər və Həll Yolları

500 Internal Server Error

Bu xəta ümumiyyətlə sintaksis xətası, dəstəklənməyən direktiv və ya səhv modul istifadəsindən qaynaqlanır. Məsələn mod_headers aktiv deyilkən Header əmri istifadə etmək xəta yarada bilər. Həll üçün son əlavə etdiyiniz sətirləri müvəqqəti olaraq qaldırın, server xəta qeydlərini incələyin və hostinq mühitinizin müvafiq modulu dəstəklədiyini yoxlayın.

Parol Ekranı Davamlı Geri Qayıdır

İstifadəçi adı və parol doğru olmasına baxmayaraq ekran təkrar-təkrar gəlirsə .htpasswd yolu səhv ola bilər, parol hash formatı server tərəfindən dəstəklənməyə bilər və ya fayl icazələri səhvdir. AuthUserFile sətirində tam fiziki yol istifadə etdiyinizdən əmin olun.

HTTPS Yönləndirməsi Sonsuz Döngü Yaradır

CDN və ya proksi arxasındakı saytlarda server, sorğunu daxildə HTTP kimi görə bilər və davamlı HTTPS-ə yönləndirməyə çalışa bilər. Bu halda X-Forwarded-Proto kimi başlıqları nəzərə alan xüsusi qayda lazım ola bilər. CDN panelinizdəki SSL modunun Full və ya Full Strict kimi doğru bir səviyyədə olması da önəmlidir.

Şəkillər və ya CSS Faylları Açılmır

Hotlink, FilesMatch və ya təhlükəsizlik başlığı qaydaları həddindən artıq geniş yazılıbsa məşru statik fayllar da əngəllənə bilər. Brauzer tərtibatçı alətlərində Network bölümünü yoxlayaraq hansı faylın hansı HTTP kodu ilə əngəlləndiyini görə bilərsiniz.

WordPress Saytlarda .htaccess Təhlükəsizliyi

WordPress saytlarda .htaccess faylı daimi bağlantılar üçün kritik önəmə sahibdir. Bu səbəbdən WordPress tərəfindən yaradılan BEGIN WordPress və END WordPress arasındakı qaydaları lazımsız yerə dəyişdirməmək lazımdır. Təhlükəsizlik qaydalarını ümumiyyətlə bu blokların üstünə və ya altına əlavə etmək daha təhlükəsizdir.

WordPress üçün tətbiq edilə biləcək praktik tədbirlər bunlardır:

  • wp-admin qovluğuna əlavə Basic Auth qoruması tətbiq etmək.
  • wp-content/uploads içində PHP işlətməyi əngəlləmək.
  • xmlrpc.php istifadəniz yoxdursa girişi məhdudlaşdırmaq.
  • readme.html və lisenziya fayllarının görünürlüyünü azaltmaq.
  • HTTPS yönləndirməsini WordPress sayt ünvanları ilə uyğun hala gətirmək.

Xüsusilə wp-admin üçün həm WordPress istifadəçi parolu həm də .htaccess parol mühafizəsi istifadə etmək, ikiqatlı bir müdafiə təmin edər. Lakin AJAX istifadə edən bəzi əlavələr wp-admin/admin-ajax.php faylına ehtiyac duyduğu üçün bütün wp-admin qovluğunu kor-koranə bağlamaq bəzi xüsusiyyətləri poza bilər. Bu səbəbdən canlı saytda test etmək şərtdir. WordPress hostinq WordPress sürətləndirmə

.htaccess Təhlükəsizliyi Üçün Peşəkar Məsləhətlər

Təcrübəli sistem idarəçilərinin ən çox diqqət etdiyi mövzu, təhlükəsizlik ilə dayanıqlılıq arasındakı tarazlıqdır. Çox aqressiv qaydalar qısa müddətdə təhlükəsiz görünsə də uzun müddətdə baxım xərcini artıra bilər. Buna görə hər qaydanın məqsədi, əhatə dairəsi və test nəticəsi qeyd edilməlidir.

  • Kritik dəyişikliklərdən əvvəl tarixli ehtiyat nüsxə götürün: htaccess-2026-01-15.bak kimi.
  • Tək bir .htaccess faylına lazımsız yüzlərlə qayda əlavə etməkdən qaçının.
  • 301 yönləndirmələri daimi olduğu üçün brauzer və axtarış motoru keşini hesaba qatın.
  • Təhlükəsizlik başlıqlarını əlavə etdikdən sonra brauzer konsolundakı xətaları yoxlayın.
  • Parol mühafizəli direktoriyalarda paylaşılan zəif şifrələr yerinə şəxs əsaslı istifadəçilər yaradın.
  • Test, staging və ehtiyat qovluqlarını axtarış motorlarından əvvəl server səviyyəsində bağlayın.

Bir başqa önəmli məqam da təhlükəsizlik qaydalarını müntəzəm nəzərdən keçirməkdir. Bu gün istifadə edilən bir inteqrasiya sabah ləğv edilmiş ola bilər; lakin ona özəl açıq buraxılan bir yol .htaccess içində unudula bilər. Üç ayda bir qısa təhlükəsizlik nəzarəti etmək, lazımsız icazələri təmizləmək və köhnə yönləndirmələri nizamlamaq yaxşı bir vərdişdir.

Nəticə: Kiçik Bir Fayl, Böyük Bir Təhlükəsizlik Qatı

.htaccess faylı şifrələmə və sayt təhlükəsizliyini artırma əmrləri, doğru istifadə edildikdə veb saytınızın hücumlara qarşı ilk müdafiə xəttini gücləndirər. Qovluqları parol ilə qorumaq, HTTPS məcburiyyəti gətirmək, qovluq siyahılanmasını bağlamaq, həssas fayllara girişi əngəlləmək və təhlükəsizlik başlıqlarını aktiv etmək; əksər veb saytı üçün tətbiq edilə bilən, ölçülə bilən və effektiv addımlardır.

Yenə də .htaccess təhlükəsizliyi təkbaşına yetərli deyil. Etibarlı hostinq infrastrukturu, güncəl proqram təminatı, SSL sertifikatı, müntəzəm ehtiyat nüsxə və güclü parol siyasəti ilə birlikdə düşünülməlidir. Hostragons üzərində veb saytınızı yerləşdirərkən SSL, hostinq və domen adı idarəetməsi kimi təməl təhlükəsizlik komponentlərini tək paneldən idarə edə bilər; ehtiyac duyduğunuzda daha təhlükəsiz bir quruluş üçün addım-addım irəliləyə bilərsiniz. veb hostinq paketləri domen satın al SSL sertifikatları

Tez-tez Verilən Suallar

.htaccess faylı şifrələmə həqiqətən faylları şifrələyərmi?

Xeyr. Ümumiyyətlə bu ifadə, qovluqların istifadəçi adı və parol ilə qorunması mənasında istifadə olunur. Basic Auth girişi məhdudlaşdırar; verilən ötürülməsinin təhlükəsiz olması üçün SSL ilə HTTPS istifadə edilməsi lazımdır.

.htpasswd faylını public_html içində saxlamaq təhlükəsizdirmi?

Tövsiyə edilməz. Ən təhlükəsiz yanaşma .htpasswd faylını public_html xaricində, veb üzərindən birbaşa daxil oluna bilməyən bir direktoriyada saxlamaqdır. Beləcə səhv konfiqurasiya riskində belə faylın görüntülənmə ehtimalı azalar.

.htaccess dəyişikliyi sonrası 500 xətası alıramsa nə etməliyəm?

Əvvəlcə son əlavə etdiyiniz sətirləri qaldırın və ya ehtiyat fayla dönün. Ardından server xəta qeydlərini yoxlayın. Xəta çox vaxt yazım səhvi, dəstəklənməyən direktiv və ya aktiv olmayan Apache modulundan qaynaqlanır.

WordPress wp-admin qovluğunu .htaccess ilə şifrələmək doğrudurmu?

Bəli, əlavə təhlükəsizlik qatı təmin edə bilər. Lakin bəzi əlavələr admin-ajax.php kimi fayllara ehtiyac duyduğu üçün tətbiq sonrası giriş, şərh, səbət, ödəmə və forma əməliyyatları mütləq test edilməlidir.

HTTPS yönləndirməsi SEO baxımından zərərlidirmi?

Doğru tətbiq edilən 301 HTTPS yönləndirməsi zərərli deyil; əksinə təhlükəsiz və tutarlı URL quruluşu təmin edər. Önəmli olan yönləndirmə zənciri yaratmamaq və bütün daxili bağlantıları son HTTPS ünvanları ilə uyğun tutmaqdır.

Bu məqaləni paylaşın:

Hostragons Komandası

Hostinq, serverlər və domen adları üzrə ekspert komandamızdan ən son təlimatlar. Gəlin layihəniz üçün düzgün həlli birlikdə tapaq.

Bizimlə Əlaqə