.htaccess zaštita direktorija je skup praktičnih sigurnosnih metoda koje se koriste na Apache ili LiteSpeed hosting serverima za zaštitu direktorija korisničkim imenom i lozinkom, sprječavanje vanjskog čitanja .htaccess datoteke, forsiranje HTTPS konekcije i ograničavanje zlonamjernih pristupa. Najčešća primjena je postavljanje lozinke na direktorij putem Basic Auth mehanizma i čuvanje lozinki u .htpasswd datoteci. Međutim, ključna stvar je sljedeća: Basic Auth sam po sebi ne enkriptuje podatke; za sigurnu upotrebu obavezno mora raditi preko HTTPS-a uz SSL certifikat. SSL certifikat Siguran Web Hosting
Sigurnost web stranica često se povezuje sa velikim firewall-ima, kompleksnim softverom ili skupim dodacima. Međutim, pravilno konfigurisana .htaccess datoteka predstavlja jedan od prvih slojeva odbrane, posebno na dijeljenim hosting serverima, WordPress stranicama, prilagođenim PHP aplikacijama i stranicama malih biznisa. Pomoću ove datoteke možete zaštititi kritične direktorije poput administrativnog panela lozinkom, preusmjeriti HTTP promet na HTTPS, isključiti listing direktorija, blokirati pristup određenim datotekama, smanjiti hotlinking i aktivirati osnovne sigurnosne HTTP zaglavlja.
U ovom vodiču ćemo korak po korak obraditi .htaccess zaštitu direktorija, objasniti najčešće korištene sigurnosne komande u stvarnom okruženju i podijeliti primjere koje možete kopirati i prilagoditi. Komande u sadržaju su posebno pogodne za hosting okruženja koja podržavaju Apache mod_rewrite, mod_auth_basic i mod_headers. LiteSpeed serveri su u velikoj mjeri kompatibilni sa Apache-om, tako da većina pravila funkcioniše na isti način. Ipak, prije nego što primijenite izmjene na aktivnoj stranici, obavezno napravite rezervnu kopiju datoteke i, ako je moguće, testirajte ih na probnoj poddomeni. Upravljanje domenom Backup web stranice
Šta je .htaccess datoteka i zašto je važna za sigurnost?
.htaccess je lokalna konfiguracijska datoteka koja određuje kako će se web server ponašati u vezi sa određenim direktorijem i njegovim poddirektorijima. Kada se postavi u korijenski direktorij, obično utiče na cijelu stranicu; na primjer, .htaccess datoteka u public_html direktoriju upravlja pravilima koja se izvršavaju u glavnom web korijenu vašeg domena. Kada se postavi u poddirektorij, može važiti samo za taj direktorij i putanje unutar njega.
Budući da se pomoću ove datoteke može vršiti kontrola pristupa na serverskom nivou, određeni zahtjevi se mogu blokirati prije nego što dođu do aplikativnog koda. Na primjer, ako zaštitite admin direktorij lozinkom, napadač će biti zaustavljen serverskom autentifikacijom prije nego što uopšte dođe do vašeg WordPress-a, prilagođenog panela ili PHP datoteke. Ovaj pristup smanjuje brute force pokušaje i otežava eksploataciju ranjivosti na aplikativnom nivou.
Ključne sigurnosne prednosti .htaccess datoteke su:
- Pravila pristupa se mogu definisati bez mijenjanja aplikativnog koda.
- Određeni direktoriji se mogu zaštititi korisničkim imenom i lozinkom.
- HTTP zahtjevi se mogu automatski preusmjeriti na HTTPS.
- Listing direktorija, pristup osjetljivim datotekama i hotlinking se mogu ograničiti.
- Sigurnosnim zaglavljima se ponašanje pretraživača može učiniti sigurnijim.
- Mogu se vršiti ograničenja na osnovu IP adrese, ekstenzije datoteke ili metode zahtjeva.
Uz sve to, .htaccess sam po sebi ne pruža potpunu sigurnost. Najefikasnije rezultate daje kada se koristi zajedno sa ažurnim softverom, politikom jakih lozinki, redovnim backup-om, pouzdanom hosting infrastrukturom, WAF-om, skeniranjem zlonamjernog softvera i SSL certifikatom. Sigurnost hostinga Sigurnost WordPress-a
Logika .htaccess zaštite direktorija: Basic Auth i .htpasswd
Izraz .htaccess zaštita direktorija obično ima dva različita značenja. Prvo je traženje korisničkog imena i lozinke pri ulasku u direktorij; drugo je sprječavanje da se sama .htaccess datoteka vidi spolja. Prva radnja se izvodi pomoću Basic Auth-a, a druga pomoću pravila za ograničavanje pristupa datotekama.
U Basic Auth strukturi, .htaccess datoteka sadrži pravilo autentifikacije, dok .htpasswd datoteka čuva informacije o korisničkom imenu i heširanoj lozinki. Lozinka se ne smije čuvati kao običan tekst. Na modernim sistemima koriste se bcrypt, Apache MD5 ili SHA bazirane heš metode. Najsigurniji pristup je korištenje opcije za zaštitu direktorija ili direktorija zaštićenih lozinkom na vašem hosting kontrolnom panelu; jer ovi paneli često automatski postavljaju .htpasswd datoteku na ispravnu lokaciju i vrše heširanje lozinke.
Primjer pravila za zaštitu lozinkom izgleda ovako:
AuthType Basic
AuthName Zaštićena Zona
AuthUserFile /home/korisnik/.htpasswd
Require valid-user
Značenje ove četiri linije je jednostavno: Tip autentifikacije se postavlja na Basic, određuje se naziv zone koji se prikazuje u pretraživaču, prikazuje se puna serverska putanja do .htpasswd datoteke u kojoj se nalaze korisničke lozinke i dozvoljava se pristup samo važećim korisnicima. Najčešća greška ovdje je upisivanje URL-a u AuthUserFile liniju. Ispravna vrijednost nije web adresa, već fizička putanja datoteke na serveru. Na primjer, https://stranica.com/.htpasswd je pogrešno; /home/korisnik/.htpasswd je približno ispravnom formatu.
Gdje treba čuvati .htpasswd datoteku?
Ako je moguće, .htpasswd datoteku držite izvan public_html direktorija. Na taj način, čak i ako dođe do pogrešne konfiguracije servera, datoteka se ne može direktno pozvati preko weba. Na primjer, ako vaša stranica radi unutar /home/nalog/public_html, sigurnije je postaviti .htpasswd datoteku izvan web korijena, poput /home/nalog/.htpasswd.
Što se tiče dozvola datoteka, praktična početna vrijednost za .htpasswd može biti 640 ili 644, a za .htaccess 644. U zavisnosti od konfiguracije servera, mogu biti potrebne različite dozvole; međutim, dozvole poput 777 koje omogućavaju svima upisivanje predstavljaju sigurnosni rizik i ne bi se trebale koristiti.
Korak po korak: Zaštita direktorija pomoću .htaccess-a
Sljedeći koraci su pogodni za korisnike koji žele zaštititi direktorije poput admin, panel, test, staging, izvještaji ili datoteke namijenjene klijentima. Prije nego što započnete, napravite rezervnu kopiju postojeće .htaccess datoteke. Čak i jedan pogrešan karakter može uzrokovati 500 Internal Server Error grešku.
1. Odredite direktorij koji će se zaštititi
Prvo razjasnite koji direktorij želite zaštititi lozinkom. Na primjer, ako želite zaštititi samo područje stranica.com/admin, možete postaviti .htaccess datoteku unutar admin direktorija. Ako želite privremeno zatvoriti cijelu stranicu i otvoriti je samo za ovlaštene osobe, možete dodati pravilo u .htaccess datoteku u korijenskom direktoriju.
2. Kreirajte .htpasswd korisnika
Ako vaš hosting kontrolni panel ima alat za direktorije zaštićene lozinkom, to je najpraktičniji metod. Ako alat ne postoji, na serverima sa SSH pristupom korisnik se može kreirati pomoću htpasswd komande. Primjer logike je sljedeći: htpasswd -c /home/korisnik/.htpasswd admin. Ova komanda generiše lozinku za korisnika admin i sprema je u datoteku. Prilikom dodavanja novog korisnika u postojeću datoteku, nemojte koristiti -c parametar; u suprotnom bi datoteka mogla biti ponovo kreirana.
3. Dodajte .htaccess pravilo
Dodajte sljedeće linije u .htaccess datoteku unutar direktorija koji se štiti:
AuthType Basic
AuthName Administrativni Panel
AuthUserFile /home/korisnik/.htpasswd
Require valid-user
Nakon spremanja, pristupite relevantnom direktoriju putem pretraživača. Ako se pojavi ekran za korisničko ime i lozinku, postupak je uspješan. Ako se ne možete prijaviti iako je lozinka tačna, putanja AuthUserFile možda nije ispravna ili server ne može pročitati dozvole .htpasswd datoteke.
4. Ne koristite bez HTTPS-a
Basic Auth prenosi autentifikacijske podatke u Base64 formatu; ovo nije stvarna jaka enkripcija. Ako promet ide preko HTTP-a, neko ko prisluškuje mrežu može ukrasti korisničko ime i lozinku. Stoga se .htaccess pravilo zaštite direktorija uvijek mora primjenjivati zajedno sa HTTPS obavezom. Ovaj rizik možete smanjiti aktiviranjem SSL-a i dodavanjem pravila za HTTPS preusmjeravanje. Instalacija SSL-a HTTPS preusmjeravanje
HTTPS obaveza i www preusmjeravanje
Jedan od osnovnih koraka za povećanje sigurnosti stranice je preusmjeravanje cjelokupnog prometa na HTTPS. Nakon što se SSL certifikat aktivira, u .htaccess datoteku u korijenskom direktoriju može se dodati pravilo sljedeće logike:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ovo pravilo preusmjerava zahtjeve koji dolaze putem HTTP-a na HTTPS koristeći isti naziv domene i istu putanju. Preusmjeravanje 301, koje označava trajno preusmjeravanje, takođe daje ispravan signal za SEO. Međutim, ako vaša stranica koristi obrnuti proxy, CDN ili balanser opterećenja, HTTPS status se može čitati iz različitih zaglavlja. U takvim slučajevima treba dati prednost pravilu preusmjeravanja koje preporučuje vaš hosting provajder.
Preferenca između www i ne-www verzije domene takođe treba biti dosljedna. Na primjer, ako želite sav promet preusmjeriti na verziju bez www, može se koristiti sljedeći pristup:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.primjerdomena\.com$ [NC]
RewriteRule ^(.*)$ https://primjerdomena.com/$1 [L,R=301]
Ovdje trebate zamijeniti primjerdomena.com svojim nazivom domene. Ako istovremeno vršite i HTTPS i www preusmjeravanje, pazite da ne stvorite lančano preusmjeravanje. Idealna struktura vodi korisnika do konačnog URL-a u jednom koraku. Preusmjeravanje domene SEO kompatibilno preusmjeravanje
Osnovne komande za povećanje sigurnosti stranice pomoću .htaccess-a
Sljedeća tabela sumira najčešće korištene .htaccess sigurnosne komande i kada ih treba primijeniti. Prije dodavanja svake komande provjerite svoju postojeću konfiguraciju; postoji mogućnost sukoba sa nekim WordPress, Laravel ili prilagođenim CMS pravilima.
| Cilj | Primjer komande ili direktive | Kada se koristi? | Na šta obratiti pažnju |
|---|---|---|---|
| Zaštita direktorija | AuthType Basic, Require valid-user | Admin, staging, direktoriji izvještaja | Obavezno koristiti uz HTTPS |
| HTTPS obaveza | RewriteCond %{HTTPS} off | Za osiguravanje cjelokupnog prometa stranice | Ako postoji CDN, možda je potrebno posebno pravilo |
| Isključivanje listinga direktorija | Options -Indexes | U direktorijima bez index datoteke | Sprječava prikaz strukture datoteka |
| .htaccess zaštita | Require all denied | Za sprječavanje čitanja konfiguracijskih datoteka | Sintaksa se može razlikovati ovisno o verziji Apache-a |
| Blokiranje hotlinka | RewriteCond %{HTTP_REFERER} | Za smanjenje korištenja slika na drugim stranicama | Testirajte CDN i preglede društvenih mreža |
| Sigurnosna zaglavlja | Header set X-Frame-Options SAMEORIGIN | Za smanjenje napada baziranih na pretraživaču | mod_headers mora biti aktivan |
Isključivanje listinga direktorija
Ako u direktoriju ne postoji index.html, index.php ili zadana ulazna datoteka, server može prikazati listu datoteka. Ova situacija je rizična u pogledu rezervnih datoteka, slika, privremenih izvještaja ili starog izvornog koda. Listing direktorija se može isključiti jednostavnom komandom:
Options -Indexes
Nakon ove linije, korisnici ne mogu izlistati sadržaj direktorija. U direktorijima kojima nedostaje index datoteka obično se vidi odgovor 403 Forbidden. Ovo ponašanje je poželjno sa sigurnosnog aspekta.
Blokiranje pristupa .htaccess-u i osjetljivim datotekama
Vaša .htaccess datoteka ne bi trebala biti vidljiva putem weba. Apache obično podrazumijevano štiti ovu datoteku; međutim, kao dodatni sigurnosni sloj može se koristiti sljedeća logika:
<Files .htaccess>
Require all denied
</Files>
Slično tome, datoteke poput .env, composer.json, composer.lock, config.php.bak, backup.sql, database.sql takođe treba zatvoriti za vanjski pristup. Posebno u Laravel, Symfony ili prilagođenim PHP aplikacijama, .env datoteka može sadržavati lozinku baze podataka, API ključ i SMTP informacije. Curenje ove datoteke može dovesti do preuzimanja cijelog sistema.
Za blokiranje više ekstenzija osjetljivih datoteka može se primijeniti sljedeća logika:
<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>
Require all denied
</FilesMatch>
Prilikom dodavanja ovakvih pravila, provjerite da ne blokirate statičke datoteke koje su vašoj aplikaciji zaista potrebne. Na primjer, neke verifikacijske ili integracijske datoteke mogu biti slučajno obuhvaćene, što može dovesti do prestanka rada servisa trećih strana.
Onemogućavanje izvršavanja PHP-a u određenim direktorijima
Upload direktoriji su jedna od najčešćih meta napadača. Ako se na sistem sa slabom kontrolom upload-a datoteka učita zlonamjerna PHP datoteka, njeno izvršavanje predstavlja veliki rizik. Isključivanje izvršavanja PHP-a u direktorijima za upload slika ili medija pruža dodatnu odbranu.
Unutar relevantnog upload direktorija možete postaviti .htaccess datoteku i primijeniti sljedeću logiku:
<FilesMatch \.php$>
Require all denied
</FilesMatch>
Ovo pravilo blokira pristup PHP datotekama u relevantnom direktoriju. Za WordPress, sličan pristup se često koristi u wp-content/uploads direktoriju; međutim, treba ga testirati jer neki dodaci mogu imati potrebe za posebnom obradom datoteka.
Smanjenje potrošnje prometa blokiranjem hotlinka
Hotlink je kada druge stranice direktno koriste vaše slikovne datoteke na svojim stranicama. Ova situacija povećava potrošnju bandwidth-a i može dovesti do problema sa performansama. Jednostavno pravilo za blokiranje hotlinka ima sljedeću logiku:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?primjerdomena\.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]
Ovo pravilo blokira zahtjeve za slikama koji dolaze sa nepraznim refererom i ne dolaze sa vaše domene. Međutim, ako imate Google Slike, preglede društvenih mreža, CDN domene ili poslovne partnere, možda ćete morati dodati ove domene na bijelu listu. Korištenje CDN-a Performansa web stranice
Dozvoljavanje ili blokiranje određenih IP adresa
Ako želite pristupiti admin panelu samo sa IP adrese vaše kancelarije, IP ograničenje je efikasan dodatni sloj. Za Apache 2.4 i novije verzije, osnovna logika je sljedeća:
Require ip 203.0.113.10
Kada se ovo pravilo koristi samostalno, dozvoljava samo navedenu IP adresu. Budite oprezni ako koristite dinamički IP; kada se IP promijeni, možda nećete moći pristupiti vlastitom panelu. Za fleksibilniju upotrebu, zdravije je primijeniti IP ograničenje zajedno sa zaštitom lozinkom.
Za blokiranje određene zlonamjerne IP adrese može se koristiti sljedeća logika:
<RequireAll>
Require all granted
Require not ip 198.51.100.25
</RequireAll>
Blokiranje IP adresa je korisno kod manjih napada; ali nije dovoljno samostalno protiv botnet mreža ili napada koji koriste promjenjive IP adrese. U tom slučaju, aplikativni firewall, ograničavanje brzine i serverska sigurnosna rješenja su efikasnija.
Sigurnosna zaglavlja: Dodatna zaštita na nivou pretraživača
.htaccess se može koristiti ne samo za kontrolu pristupa, već i za upravljanje sigurnosnim zaglavljima pretraživača. Ako je mod_headers aktivan, sljedeća zaglavlja povećavaju osnovni sigurnosni nivo na mnogim stranicama:
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options SAMEORIGIN
Header always set Referrer-Policy strict-origin-when-cross-origin
Header always set Permissions-Policy geolocation=(), microphone=(), camera=()
X-Content-Type-Options nosniff smanjuje mogućnost da pretraživač pogađa i izvršava tipove datoteka. X-Frame-Options SAMEORIGIN ograničava ugrađivanje vaše stranice kao iframe unutar drugih domena i smanjuje rizik od clickjacking-a. Referrer-Policy kontroliše koje informacije o refereru se dijele prilikom preusmjeravanja. Permissions-Policy ograničava dozvole pretraživača poput kamere, mikrofona i lokacije.
Content-Security-Policy, odnosno CSP, je jače sigurnosno zaglavlje; međutim, mora se pažljivo primjenjivati. Previše strog CSP može poremetiti rad reklama, analitike, plaćanja, live podrške ili font servisa. Stoga je ispravniji metod prvo testirati u režimu izvještavanja, a zatim postepeno prelaziti na aktivnu primjenu.
Kontrolna lista prije primjene

Izmjene u .htaccess-u djeluju brzo. Zato napredovanje uz kratku kontrolnu listu prije dodavanja sigurnosnih komandi smanjuje rizik od prekida rada.
- Preuzmite rezervnu kopiju postojeće .htaccess datoteke na svoj računar.
- Provjerite da li je vaš SSL certifikat aktivan i ispravno instaliran.
- Dodajte pravila preusmjeravanja jedno po jedno; nemojte mijenjati sva pravila odjednom.
- Provjerite greške 500, 403 i 404 u zapisima grešaka pretraživača i servera.
- Nemojte brisati vlastita rewrite pravila WordPress-a, Laravel-a ili prilagođenog softvera.
- Testirajte HTTPS obavezu u područjima gdje koristite zaštitu lozinkom.
- Ako koristite CDN, dodatak za keš i sigurnosni dodatak, procijenite mogućnost sukoba.
- Isprobajte tokove prijave, forme i plaćanja na mobilnim uređajima, desktop računarima i različitim pretraživačima.
Primjena pravila dio po dio je u praksi veoma važna. Na primjer, prvo dodajte Options -Indexes i testirajte, zatim dodajte HTTPS preusmjeravanje, pa tek onda pređite na zaštitu lozinkom. Na taj način, kada se pojavi problem, možete brzo pronaći koja linija ga uzrokuje.
Najčešće greške i načini rješavanja
500 Internal Server Error
Ova greška obično nastaje zbog sintaksne greške, nepodržane direktive ili pogrešne upotrebe modula. Na primjer, korištenje Header komande kada mod_headers nije aktivan može proizvesti grešku. Za rješenje, privremeno uklonite posljednje dodane linije, pregledajte serverske zapise grešaka i provjerite da li vaše hosting okruženje podržava relevantni modul.
Ekran za lozinku se stalno iznova pojavljuje
Ako se ekran stalno iznova pojavljuje iako su korisničko ime i lozinka tačni, putanja do .htpasswd-a može biti pogrešna, format heša lozinke možda nije podržan od strane servera ili su dozvole datoteke pogrešne. Provjerite da li koristite punu fizičku putanju u liniji AuthUserFile.
HTTPS preusmjeravanje stvara beskonačnu petlju
Na stranicama iza CDN-a ili proxy-ja, server može vidjeti zahtjev interno kao HTTP i stalno pokušavati da ga preusmjeri na HTTPS. U ovom slučaju može biti potrebno posebno pravilo koje uzima u obzir zaglavlja poput X-Forwarded-Proto. Takođe je važno da SSL mod na vašem CDN panelu bude na ispravnom nivou, poput Full ili Full Strict.
Slike ili CSS datoteke se ne učitavaju
Ako su pravila za hotlink, FilesMatch ili sigurnosna zaglavlja napisana preširoko, mogu se blokirati i legitimne statičke datoteke. Provjerom Network kartice u developerskim alatima pretraživača možete vidjeti koja datoteka je blokirana i sa kojim HTTP kodom.
Sigurnost .htaccess-a na WordPress stranicama
Na WordPress stranicama, .htaccess datoteka je od ključne važnosti za trajne linkove. Stoga nije potrebno nepotrebno mijenjati pravila između BEGIN WordPress i END WordPress koja generiše WordPress. Sigurnosna pravila je obično sigurnije dodavati iznad ili ispod ovih blokova.
Praktične mjere koje se mogu primijeniti za WordPress su:
- Primjena dodatne Basic Auth zaštite na wp-admin direktorij.
- Onemogućavanje izvršavanja PHP-a unutar wp-content/uploads.
- Ako ne koristite xmlrpc.php, ograničavanje pristupa.
- Smanjenje vidljivosti readme.html i datoteka licence.
- Usklađivanje HTTPS preusmjeravanja sa WordPress adresama stranice.
Posebno za wp-admin, korištenje i WordPress korisničke lozinke i .htaccess zaštite lozinkom pruža dvoslojnu odbranu. Međutim, budući da neki dodaci koji koriste AJAX zahtijevaju datoteku wp-admin/admin-ajax.php, potpuno zatvaranje cijelog wp-admin direktorija može pokvariti neke funkcije. Stoga je testiranje na aktivnoj stranici obavezno. WordPress hosting Ubrzanje WordPress-a
Profesionalni savjeti za .htaccess sigurnost
Ono na šta iskusni sistem administratori najviše obraćaju pažnju je ravnoteža između sigurnosti i održivosti. Previše agresivna pravila mogu izgledati sigurno kratkoročno, ali dugoročno mogu povećati troškove održavanja. Zato treba zabilježiti svrhu, opseg i rezultat testa svakog pravila.
- Prije kritičnih izmjena napravite datiranu rezervnu kopiju: npr. htaccess-2026-01-15.bak.
- Izbjegavajte dodavanje nepotrebnih stotina pravila u jednu .htaccess datoteku.
- Budući da su 301 preusmjeravanja trajna, uzmite u obzir keš pretraživača i pretraživača.
- Nakon dodavanja sigurnosnih zaglavlja, provjerite greške u konzoli pretraživača.
- U direktorijima zaštićenim lozinkom, umjesto dijeljenja slabih šifri, kreirajte korisnike na individualnoj osnovi.
- Testne, staging i rezervne direktorije zatvorite na serverskom nivou prije nego što ih zatvorite za pretraživače.
Još jedna važna stvar je redovno pregledanje sigurnosnih pravila. Integracija koja se danas koristi može sutra biti uklonjena; međutim, put koji je ostavljen otvoren posebno za nju može biti zaboravljen unutar .htaccess-a. Obavljanje kratke sigurnosne provjere svaka tri mjeseca, čišćenje nepotrebnih dozvola i uređivanje starih preusmjeravanja je dobra navika.
Zaključak: Mala datoteka, veliki sigurnosni sloj
.htaccess komande za zaštitu direktorija i jačanje sigurnosti stranice, kada se pravilno koriste, jačaju prvu liniju odbrane vaše web stranice od napada. Zaštita direktorija lozinkom, uvođenje HTTPS obaveze, isključivanje listinga direktorija, blokiranje pristupa osjetljivim datotekama i aktiviranje sigurnosnih zaglavlja su primjenjivi, mjerljivi i efikasni koraci za većinu web stranica.
Ipak, .htaccess sigurnost sama po sebi nije dovoljna. Treba je posmatrati zajedno sa pouzdanom hosting infrastrukturom, ažurnim softverom, SSL certifikatom, redovnim backup-om i politikom jakih lozinki. Dok hostate svoju web stranicu, možete upravljati osnovnim sigurnosnim komponentama poput SSL-a, hostinga i upravljanja domenom sa jednog panela; i kada je potrebno, možete napredovati korak po korak ka sigurnijoj strukturi. Paketi web hostinga Kupite domena SSL certifikati
Često postavljana pitanja
Da li .htaccess zaštita direktorija zaista enkriptuje datoteke?
Ne. Obično se ovaj izraz koristi u značenju zaštite direktorija korisničkim imenom i lozinkom. Basic Auth ograničava pristup; za sigurnost prijenosa podataka potrebno je koristiti SSL sa HTTPS-om.
Da li je sigurno držati .htpasswd datoteku unutar public_html?
Ne preporučuje se. Najsigurniji pristup je držati .htpasswd datoteku izvan public_html-a, u direktoriju kojem se ne može direktno pristupiti putem weba. Na taj način, čak i u slučaju rizika od pogrešne konfiguracije, smanjuje se mogućnost da datoteka bude prikazana.
Šta da radim ako dobijem grešku 500 nakon izmjene .htaccess-a?
Prvo uklonite posljednje dodane linije ili se vratite na rezervnu datoteku. Zatim provjerite serverske zapise grešaka. Greška najčešće potiče od slovne greške, nepodržane direktive ili neaktivnog Apache modula.
Da li je ispravno zaštititi WordPress wp-admin direktorij pomoću .htaccess-a?
Da, može pružiti dodatni sigurnosni sloj. Međutim, budući da neki dodaci zahtijevaju datoteke poput admin-ajax.php, nakon primjene se obavezno moraju testirati prijava, komentari, korpa, plaćanje i forme.
Da li je HTTPS preusmjeravanje štetno za SEO?
Pravilno primijenjeno 301 HTTPS preusmjeravanje nije štetno; naprotiv, osigurava sigurnu i dosljednu URL strukturu. Važno je ne stvarati lanac preusmjeravanja i održavati sve interne linkove usklađenim sa konačnim HTTPS adresama.