സുരക്ഷ

.htaccess ഫയൽ പാസ്‌വേഡ് സംരക്ഷണവും സൈറ്റ് സുരക്ഷ കൂട്ടാനുള്ള കമാൻഡുകളും

  • 13 വായിക്കാൻ മിനിറ്റ്
  • Hostragons ടീം
.htaccess ഫയൽ പാസ്‌വേഡ് സംരക്ഷണവും സൈറ്റ് സുരക്ഷ കൂട്ടാനുള്ള കമാൻഡുകളും

.htaccess ഫയൽ പാസ്‌വേഡ് സംരക്ഷണം എന്നത് Apache അല്ലെങ്കിൽ LiteSpeed അടിസ്ഥാനത്തിലുള്ള ഹോസ്റ്റിംഗുകളിൽ ഒരു പ്രത്യേക ഫോൾഡർ ഉപയോക്തൃനാമവും പാസ്‌വേഡും ഉപയോഗിച്ച് കാക്കുക, .htaccess ഫയൽ പുറത്തുനിന്ന് വായിക്കപ്പെടുന്നത് തടയുക, HTTPS നിർബന്ധമാക്കുക, സംശയാസ്പദമായ അല്ലെങ്കിൽ ദോഷകരമായ ആക്സസുകൾ നിയന്ത്രിക്കുക തുടങ്ങിയ പ്രായോഗിക സുരക്ഷാ രീതികളുടെ കൂട്ടായ്മയാണ്. ഏറ്റവും സാധാരണമായി ഉപയോഗിക്കുന്നത് .htaccess വഴി ഒരു ഡയറക്ടറിയിലേക്കുള്ള പ്രവേശനം Basic Auth ഉപയോഗിച്ച് പാസ്‌വേഡ് പ്രൊട്ടക്ഷനിലാക്കുകയും പാസ്‌വേഡുകൾ .htpasswd ഫയലിൽ സൂക്ഷിക്കുകയും ചെയ്യുന്നതാണ്. എന്നാൽ ഇവിടെ ശ്രദ്ധിക്കേണ്ട പ്രധാന കാര്യം ഇതാണ്: Basic Auth മാത്രം ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുന്നില്ല; സുരക്ഷിതമായി ഉപയോഗിക്കണമെങ്കിൽ SSL സർട്ടിഫിക്കറ്റ് പ്രവർത്തിക്കുന്ന HTTPS കണക്ഷൻ നിർബന്ധമാണ്. SSL സർട്ടിഫിക്കറ്റ് സുരക്ഷിത വെബ് ഹോസ്റ്റിംഗ്

വെബ്‌സൈറ്റ് സുരക്ഷയെക്കുറിച്ച് പറയുമ്പോൾ പലരും ആദ്യം ഓർക്കുന്നത് വലിയ ഫയർവാളുകൾ, സങ്കീർണ്ണമായ സുരക്ഷാ സോഫ്റ്റ്‌വെയറുകൾ, ചെലവേറിയ പ്ലഗിനുകൾ എന്നിവയാണ്. പക്ഷേ ശരിയായി ക്രമീകരിച്ച ഒരു .htaccess ഫയൽ, പ്രത്യേകിച്ച് ഷെയർഡ് ഹോസ്റ്റിംഗ്, WordPress സൈറ്റുകൾ, കസ്റ്റം PHP ആപ്പ്ലിക്കേഷനുകൾ, ചെറുകിട ബിസിനസ് വെബ്‌സൈറ്റുകൾ എന്നിവയ്ക്ക് ആദ്യത്തെ പ്രതിരോധ പാളികളിലൊന്നായി പ്രവർത്തിക്കും. ഈ ഫയൽ ഉപയോഗിച്ച് അഡ്മിൻ പാനൽ പോലുള്ള നിർണായക ഫോൾഡറുകൾ പാസ്‌വേഡോടെ സംരക്ഷിക്കാം, HTTP ട്രാഫിക് HTTPS-ലേക്ക് തിരിച്ചുവിടാം, ഡയറക്ടറി ലിസ്റ്റിംഗ് ഓഫ് ചെയ്യാം, ചില ഫയലുകളിലേക്കുള്ള ആക്സസ് തടയാം, hotlink ഉപയോഗം കുറയ്ക്കാം, അടിസ്ഥാന ബ്രൗസർ സുരക്ഷാ ഹെഡറുകൾ സജീവമാക്കാം.

ഈ ഗൈഡിൽ .htaccess ഫയൽ പാസ്‌വേഡ് സംരക്ഷണം ഘട്ടംഘട്ടമായി നോക്കാം, യഥാർത്ഥ ഹോസ്റ്റിംഗ് സാഹചര്യങ്ങളിൽ ഏറ്റവും കൂടുതലായി ഉപയോഗിക്കുന്ന സുരക്ഷാ കമാൻഡുകൾ വിശദീകരിക്കാം, കോപ്പി ചെയ്ത് നിങ്ങളുടെ സൈറ്റിനനുസരിച്ച് മാറ്റി ഉപയോഗിക്കാവുന്ന ഉദാഹരണങ്ങളും പങ്കിടാം. ഇവിടെ കാണിക്കുന്ന കമാൻഡുകൾ പ്രധാനമായും Apache mod_rewrite, mod_auth_basic, mod_headers എന്നിവ പിന്തുണക്കുന്ന ഹോസ്റ്റിംഗ് പരിസരങ്ങൾക്ക് അനുയോജ്യമാണ്. LiteSpeed സർവറുകൾ Apache-യുമായി വലിയ തോതിൽ അനുയോജ്യമാകുന്നതിനാൽ മിക്ക റൂളുകളും അവിടെയും അതേ രീതിയിൽ പ്രവർത്തിക്കും. എന്നിരുന്നാലും ലൈവ് സൈറ്റിൽ മാറ്റം വരുത്തുന്നതിന് മുമ്പ് നിർബന്ധമായും ഫയൽ ബാക്കപ്പ് എടുക്കുകയും കഴിയുമെങ്കിൽ ഒരു ടെസ്റ്റ് സബ്‌ഡൊമെയിനിൽ ആദ്യം പരീക്ഷിക്കുകയും ചെയ്യുന്നത് നല്ലതാണ്. ഡൊമെയ്ൻ നിയന്ത്രണം വെബ് സൈറ്റ് ബാക്കപ്പ്

.htaccess ഫയൽ എന്താണ്, സുരക്ഷയ്ക്ക് അത് എന്തുകൊണ്ട് പ്രധാനമാണ്?

.htaccess എന്നത് ബന്ധപ്പെട്ട ഫോൾഡറിനും അതിന്റെ കീഴിലുള്ള സബ്‌ഫോൾഡറുകൾക്കും വെബ് സർവർ എങ്ങനെ പ്രതികരിക്കണം എന്നത് നിർണ്ണയിക്കുന്ന ലോക്കൽ കോൺഫിഗറേഷൻ ഫയലാണ്. ഇത് റൂട്ട് ഡയറക്ടറിയിൽ വെച്ചാൽ സാധാരണയായി മുഴുവൻ സൈറ്റിനെയും ബാധിക്കും; ഉദാഹരണത്തിന് public_html ഫോൾഡറിലുള്ള .htaccess ഫയൽ നിങ്ങളുടെ ഡൊമെയ്‌നിന്റെ പ്രധാന വെബ് റൂട്ടിൽ പ്രവർത്തിക്കുന്ന നിയമങ്ങൾ നിയന്ത്രിക്കും. ഒരു സബ്‌ഫോൾഡറിനുള്ളിൽ വെച്ചാൽ, സാധാരണയായി ആ ഫോൾഡറിനും അതിനടിയിലെ പാതകൾക്കുമാത്രം റൂൾ ബാധകമാകും.

ഈ ഫയൽ ഉപയോഗിച്ച് സർവർ തലത്തിൽ തന്നെ ആക്സസ് നിയന്ത്രണം നടപ്പാക്കാനാകുന്നതിനാൽ അപേക്ഷ നിങ്ങളുടെ ആപ്പ്ലിക്കേഷൻ കോഡിലെത്തുന്നതിന് മുമ്പ് തന്നെ ചില അഭ്യർത്ഥനകൾ തടയാം. ഉദാഹരണത്തിന് admin ഫോൾഡർ പാസ്‌വേഡോടെ സംരക്ഷിച്ചാൽ, ആക്രമണക്കാരൻ WordPress, കസ്റ്റം പാനൽ, PHP ഫയൽ എന്നിവയിലേക്കെത്തുന്നതിന് മുമ്പ് സർവർ തലത്തിലുള്ള ഓതന്റിക്കേഷനിൽ കുടുങ്ങും. brute force ശ്രമങ്ങൾ കുറയ്ക്കാനും ആപ്പ്ലിക്കേഷൻ ലെയറിലെ ദൗർബല്യങ്ങൾ ഉപയോഗപ്പെടുത്തുന്നത് ബുദ്ധിമുട്ടാക്കാനും ഈ സമീപനം സഹായിക്കും.

.htaccess ഫയലിന്റെ സുരക്ഷാ നേട്ടങ്ങൾ ചുരുക്കത്തിൽ ഇവയാണ്:

  • ആപ്പ്ലിക്കേഷൻ കോഡ് മാറ്റാതെ തന്നെ ആക്സസ് റൂളുകൾ നിർവചിക്കാം.
  • തിരഞ്ഞെടുത്ത ഫോൾഡറുകൾ ഉപയോക്തൃനാമവും പാസ്‌വേഡും ഉപയോഗിച്ച് സംരക്ഷിക്കാം.
  • HTTP അഭ്യർത്ഥനകൾ സ്വയം HTTPS-ലേക്ക് റീഡയറക്ട് ചെയ്യാം.
  • ഡയറക്ടറി ലിസ്റ്റിംഗ്, സെൻസിറ്റീവ് ഫയൽ ആക്സസ്, hotlink ഉപയോഗം എന്നിവ നിയന്ത്രിക്കാം.
  • സുരക്ഷാ ഹെഡറുകൾ ഉപയോഗിച്ച് ബ്രൗസർ പെരുമാറ്റം കൂടുതൽ സുരക്ഷിതമാക്കാം.
  • IP വിലാസം, ഫയൽ എക്സ്റ്റൻഷൻ, request method എന്നിവയെ അടിസ്ഥാനമാക്കി നിയന്ത്രണങ്ങൾ ഏർപ്പെടുത്താം.

അതേസമയം .htaccess മാത്രം മുഴുവൻ സുരക്ഷയും ഉറപ്പാക്കില്ല. അപ്‌ഡേറ്റുചെയ്ത സോഫ്റ്റ്‌വെയർ, ശക്തമായ പാസ്‌വേഡ് നയം, സ്ഥിരമായ ബാക്കപ്പ്, വിശ്വസനീയമായ ഹോസ്റ്റിംഗ് ഇൻഫ്രാസ്ട്രക്ചർ, WAF, മാൽവെയർ സ്കാൻ, SSL സർട്ടിഫിക്കറ്റ് എന്നിവയ്‌ക്കൊപ്പം ഉപയോഗിക്കുമ്പോഴാണ് ഏറ്റവും മികച്ച ഫലം ലഭിക്കുന്നത്. ഹോസ്റ്റിംഗ് സുരക്ഷ WordPress സുരക്ഷ

.htaccess ഫയൽ പാസ്‌വേഡ് സംരക്ഷണത്തിന്റെ ലോജിക്: Basic Authയും .htpasswdയും

.htaccess ഫയൽ എൻക്രിപ്ഷൻ അല്ലെങ്കിൽ പാസ്‌വേഡ് സംരക്ഷണം എന്ന പദം സാധാരണയായി രണ്ട് കാര്യങ്ങൾ സൂചിപ്പിക്കാൻ ഉപയോഗിക്കുന്നു. ഒന്നാമത്, ഒരു ഫോൾഡറിൽ പ്രവേശിക്കുമ്പോൾ ഉപയോക്തൃനാമവും പാസ്‌വേഡും ചോദിക്കുക. രണ്ടാമത്, .htaccess ഫയൽ തന്നെ പുറത്തുനിന്ന് കാണാൻ കഴിയാതിരിക്കുക. ആദ്യത്തേത് Basic Auth ഉപയോഗിച്ചും രണ്ടാമത്തേത് ഫയൽ ആക്സസ് നിയന്ത്രണ റൂളുകൾ ഉപയോഗിച്ചുമാണ് ചെയ്യുന്നത്.

Basic Auth ഘടനയിൽ .htaccess ഫയലിൽ ഓതന്റിക്കേഷൻ റൂൾ ഉണ്ടായിരിക്കും; .htpasswd ഫയലിൽ ഉപയോക്തൃനാമവും ഹാഷ് ചെയ്ത പാസ്‌വേഡ് വിവരവും സൂക്ഷിക്കും. പാസ്‌വേഡ് ഒരിക്കലും plain text ആയി സൂക്ഷിക്കരുത്. ആധുനിക സിസ്റ്റങ്ങളിൽ bcrypt, Apache MD5, SHA അടിസ്ഥാനത്തിലുള്ള hash രീതികൾ എന്നിവ ഉപയോഗിക്കുന്നു. ഏറ്റവും സുരക്ഷിതവും ലളിതവുമായ മാർഗം നിങ്ങളുടെ ഹോസ്റ്റിംഗ് കൺട്രോൾ പാനലിലെ Directory Privacy അല്ലെങ്കിൽ Password Protected Directories സൗകര്യം ഉപയോഗിക്കുന്നതാണ്; ഇത്തരം പാനലുകൾ സാധാരണയായി .htpasswd ഫയൽ ശരിയായ സ്ഥാനത്ത് വെക്കുകയും പാസ്‌വേഡ് hashing സ്വയം നടത്തുകയും ചെയ്യും.

ഒരു സാധാരണ പാസ്‌വേഡ് സംരക്ഷണ റൂൾ ഇങ്ങനെയായിരിക്കും:

AuthType Basic

AuthName Protected Area

AuthUserFile /home/user/.htpasswd

Require valid-user

ഈ നാല് വരികളുടെ അർത്ഥം ലളിതമാണ്: ഓതന്റിക്കേഷൻ തരം Basic ആയി ക്രമീകരിക്കുന്നു, ബ്രൗസറിൽ കാണിക്കുന്ന മേഖലയ്ക്ക് ഒരു പേര് നൽകുന്നു, ഉപയോക്തൃ പാസ്‌വേഡുകൾ സൂക്ഷിക്കുന്ന .htpasswd ഫയലിന്റെ പൂർണ്ണ സർവർ പാത കാണിക്കുന്നു, സാധുവായ ഉപയോക്താക്കൾക്കുമാത്രം ആക്സസ് അനുവദിക്കുന്നു. ഇവിടെ ഏറ്റവും സാധാരണമായി സംഭവിക്കുന്ന പിഴവ് AuthUserFile വരിയിൽ URL നൽകുന്നതാണ്. ശരിയായ മൂല്യം ഒരു വെബ് വിലാസമല്ല, സർവറിലുള്ള ഫിസിക്കൽ ഫയൽ പാതയാണ്. ഉദാഹരണത്തിന് https://siteadi.com/.htpasswd തെറ്റാണ്; /home/user/.htpasswd എന്ന രൂപമാണ് ശരിയായതിലേക്ക് അടുത്തത്.

.htpasswd ഫയൽ എവിടെ സൂക്ഷിക്കണം?

സാധ്യമായിടത്ത് .htpasswd ഫയൽ public_html-ന്റെ പുറത്തുവെക്കുക. അങ്ങനെ തെറ്റായ സർവർ ക്രമീകരണം ഉണ്ടായാലും ഫയൽ വെബ് വഴി നേരിട്ട് വിളിക്കപ്പെടാനുള്ള സാധ്യത കുറയും. ഉദാഹരണത്തിന് നിങ്ങളുടെ സൈറ്റ് /home/accountname/public_html എന്നതിൽ പ്രവർത്തിക്കുന്നുവെങ്കിൽ, .htpasswd ഫയൽ /home/accountname/.htpasswd പോലുള്ള വെബ് റൂട്ടിന് പുറത്തുള്ള സ്ഥലത്ത് വെക്കുന്നത് കൂടുതൽ സുരക്ഷിതമാണ്.

ഫയൽ പെർമിഷനുകൾക്കായി പ്രായോഗികമായ തുടക്കമൂല്യമായി .htpasswd-ന് 640 അല്ലെങ്കിൽ 644, .htaccess-ന് 644 ഉപയോഗിക്കാം. സർവർ കോൺഫിഗറേഷൻ അനുസരിച്ച് വ്യത്യസ്ത പെർമിഷനുകൾ ആവശ്യമായേക്കാം; എന്നാൽ 777 പോലുള്ള എല്ലാവർക്കും എഴുതാൻ കഴിയുന്ന അനുമതികൾ സുരക്ഷാ ഭീഷണിയാണ്, അവ ഒഴിവാക്കണം.

.htaccess ഉപയോഗിച്ച് ഡയറക്ടറി പാസ്‌വേഡ് സംരക്ഷണം ഘട്ടംഘട്ടമായി

താഴെ പറയുന്ന ഘട്ടങ്ങൾ admin, panel, test, staging, report, അല്ലെങ്കിൽ ഉപഭോക്താവിനായി മാത്രം തുറന്നിരിക്കുന്ന ഫയൽ ഫോൾഡറുകൾ സംരക്ഷിക്കാൻ ആഗ്രഹിക്കുന്നവർക്ക് അനുയോജ്യമാണ്. തുടങ്ങുന്നതിന് മുമ്പ് നിലവിലുള്ള .htaccess ഫയലിന്റെ ബാക്കപ്പ് എടുത്തുവെക്കുക. ഒരു തെറ്റായ അക്ഷരമോ അടയാളമോ പോലും 500 Internal Server Error ഉണ്ടാക്കാം.

1. സംരക്ഷിക്കേണ്ട ഫോൾഡർ തിരഞ്ഞെടുക്കുക

ആദ്യം ഏത് ഡയറക്ടറിയാണ് പാസ്‌വേഡോടെ സംരക്ഷിക്കേണ്ടത് എന്ന് വ്യക്തമാക്കുക. ഉദാഹരണത്തിന് siteadi.com/admin എന്ന ഭാഗം മാത്രം സംരക്ഷിക്കണമെങ്കിൽ .htaccess ഫയൽ admin ഫോൾഡറിനുള്ളിൽ വെക്കാം. മുഴുവൻ സൈറ്റും താൽക്കാലികമായി അടച്ചിട്ട് അംഗീകൃത ആളുകൾക്കുമാത്രം തുറക്കണമെങ്കിൽ റൂട്ട് ഡയറക്ടറിയിലെ .htaccess ഫയലിൽ റൂൾ ചേർക്കാം.

2. .htpasswd ഉപയോക്താവ് സൃഷ്ടിക്കുക

നിങ്ങളുടെ ഹോസ്റ്റിംഗ് കൺട്രോൾ പാനലിൽ പാസ്‌വേഡ് പ്രൊട്ടക്ടഡ് ഡയറക്ടറി ടൂൾ ഉണ്ടെങ്കിൽ അതാണ് ഏറ്റവും ലളിതമായ മാർഗം. അത്തരം ടൂൾ ഇല്ലെങ്കിൽ SSH ആക്സസ് ഉള്ള സർവറുകളിൽ htpasswd കമാൻഡ് ഉപയോഗിച്ച് ഉപയോക്താവ് സൃഷ്ടിക്കാം. ഉദാഹരണ ലോജിക് ഇങ്ങനെയാണ്: htpasswd -c /home/user/.htpasswd admin. ഈ കമാൻഡ് admin ഉപയോക്താവിന് പാസ്‌വേഡ് സൃഷ്ടിച്ച് ഫയലിൽ സംഭരിക്കും. നിലവിലുള്ള ഫയലിൽ പുതിയ ഉപയോക്താവിനെ ചേർക്കുമ്പോൾ -c പാരാമീറ്റർ ഉപയോഗിക്കരുത്; അല്ലെങ്കിൽ ഫയൽ വീണ്ടും സൃഷ്ടിക്കപ്പെടുകയും പഴയ ഉപയോക്താക്കൾ നഷ്ടപ്പെടുകയും ചെയ്യാം.

3. .htaccess റൂൾ ചേർക്കുക

സംരക്ഷിക്കേണ്ട ഫോൾഡറിലെ .htaccess ഫയലിൽ താഴെ പറയുന്ന വരികൾ ചേർക്കുക:

AuthType Basic

AuthName Admin Panel

AuthUserFile /home/user/.htpasswd

Require valid-user

സേവ് ചെയ്ത ശേഷം ബ്രൗസറിൽ നിന്ന് ബന്ധപ്പെട്ട ഫോൾഡറിലേക്ക് പോകുക. ഉപയോക്തൃനാമവും പാസ്‌വേഡും ചോദിക്കുന്ന സ്ക്രീൻ കാണുന്നുവെങ്കിൽ ക്രമീകരണം വിജയകരമാണ്. ശരിയായ പാസ്‌വേഡ് നൽകിയിട്ടും ലോഗിൻ ചെയ്യാനാകുന്നില്ലെങ്കിൽ AuthUserFile പാത തെറ്റായിരിക്കാം, അല്ലെങ്കിൽ .htpasswd ഫയൽ സർവറിന് വായിക്കാൻ കഴിയാത്തവിധം പെർമിഷൻ തെറ്റായിരിക്കാം.

4. HTTPS ഇല്ലാതെ ഉപയോഗിക്കരുത്

Basic Auth ലോഗിൻ വിവരങ്ങൾ Base64 രൂപത്തിലാണ് കൈമാറുന്നത്; ഇത് യഥാർത്ഥ അർത്ഥത്തിൽ ശക്തമായ എൻക്രിപ്ഷൻ അല്ല. ട്രാഫിക് HTTP വഴി പോകുകയാണെങ്കിൽ നെറ്റ്‌വർക്ക് നിരീക്ഷിക്കുന്ന ഒരാൾക്ക് ഉപയോക്തൃനാമവും പാസ്‌വേഡും പിടിച്ചെടുക്കാൻ കഴിയും. അതിനാൽ .htaccess ഫയൽ പാസ്‌വേഡ് സംരക്ഷണ റൂൾ എല്ലായ്പ്പോഴും HTTPS നിർബന്ധവത്കരണത്തോടൊപ്പം ഉപയോഗിക്കണം. Hostragons-ൽ SSL സജീവമാക്കി, തുടർന്ന് HTTPS റീഡയറക്ട് റൂൾ ചേർത്താൽ ഈ അപകടസാധ്യത കുറയ്ക്കാം. SSL ഇൻസ്റ്റലേഷൻ HTTPS മാർഗനിർദ്ദേശം

HTTPS നിർബന്ധമാക്കലും www റീഡയറക്ടും

സൈറ്റ് സുരക്ഷ വർധിപ്പിക്കുന്നതിലെ ഏറ്റവും അടിസ്ഥാന ഘട്ടങ്ങളിലൊന്ന് മുഴുവൻ ട്രാഫിക്കും HTTPS-ലേക്ക് മാറ്റുകയാണ്. SSL സർട്ടിഫിക്കറ്റ് സജീവമായതിന് ശേഷം റൂട്ട് ഡയറക്ടറിയിലെ .htaccess ഫയലിൽ താഴെ പറയുന്ന രീതിയിലുള്ള റൂൾ ചേർക്കാം:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

ഈ റൂൾ HTTP വഴി വരുന്ന അഭ്യർത്ഥനകൾ അതേ ഡൊമെയ്‌നിലും അതേ പാതയിലും HTTPS-ലേക്ക് മാറ്റും. 301 എന്നത് സ്ഥിര റീഡയറക്ട് ആണെന്ന് സൂചിപ്പിക്കുന്നതിനാൽ SEO-യ്ക്കും ശരിയായ സിഗ്നലാണ്. എന്നാൽ നിങ്ങളുടെ സൈറ്റിന് മുന്നിൽ reverse proxy, CDN, load balancer എന്നിവ ഉണ്ടെങ്കിൽ HTTPS സ്ഥിതി വ്യത്യസ്ത ഹെഡറുകളിൽ നിന്നായിരിക്കും വായിക്കേണ്ടത്. അത്തരം സാഹചര്യങ്ങളിൽ നിങ്ങളുടെ ഹോസ്റ്റിംഗ് പ്രൊവൈഡർ നിർദ്ദേശിക്കുന്ന റീഡയറക്ട് റൂൾ ഉപയോഗിക്കുന്നതാണ് നല്ലത്.

www ഉള്ള ഡൊമെയ്‌നാണോ www ഇല്ലാത്ത ഡൊമെയ്‌നാണോ പ്രധാനമായി ഉപയോഗിക്കേണ്ടത് എന്നതിലും സ്ഥിരത വേണം. ഉദാഹരണത്തിന് മുഴുവൻ ട്രാഫിക്കും www ഇല്ലാത്ത പതിപ്പിലേക്ക് മാറ്റണമെങ്കിൽ താഴെ പറയുന്ന സമീപനം ഉപയോഗിക്കാം:

RewriteEngine On

RewriteCond %{HTTP_HOST} ^www\.exampledomain\.com$ [NC]

RewriteRule ^(.*)$ https://exampledomain.com/$1 [L,R=301]

ഇവിടെ exampledomain.com എന്നത് നിങ്ങളുടെ സ്വന്തം ഡൊമെയ്‌നായി മാറ്റണം. ഒരേസമയം HTTPS റീഡയറക്ടും www റീഡയറക്ടും ഉപയോഗിക്കുമ്പോൾ redirect chain ഉണ്ടാകാതിരിക്കാൻ ശ്രദ്ധിക്കുക. മികച്ച ഘടനയിൽ ഉപയോക്താവ് ഒറ്റ ഘട്ടത്തിൽ തന്നെ അന്തിമ URL-ലേക്ക് എത്തണം. ഡൊമെയ്ൻ നിർദ്ദേശം SEO അനുയോജ്യമായ റീഡയറക്ഷൻ

.htaccess ഉപയോഗിച്ച് സൈറ്റ് സുരക്ഷ കൂട്ടുന്ന പ്രധാന കമാൻഡുകൾ

താഴെയുള്ള പട്ടികയിൽ സാധാരണയായി ഉപയോഗിക്കുന്ന .htaccess സുരക്ഷാ കമാൻഡുകളും അവ എപ്പോൾ ഉപയോഗിക്കാമെന്നും ചുരുക്കി കൊടുത്തിരിക്കുന്നു. ഓരോ കമാൻഡും ചേർക്കുന്നതിന് മുമ്പ് നിലവിലെ കോൺഫിഗറേഷൻ പരിശോധിക്കുക; ചില WordPress, Laravel, അല്ലെങ്കിൽ കസ്റ്റം CMS rewrite റൂളുകളുമായി clash ഉണ്ടാകാനുള്ള സാധ്യതയുണ്ട്.

.htaccess ഉപയോഗിച്ച് സൈറ്റ് സുരക്ഷ കൂട്ടുന്ന പ്രധാന കമാൻഡുകൾ
ലക്ഷ്യംഉദാഹരണ കമാൻഡ് അല്ലെങ്കിൽ ഡയറക്ടീവ്എപ്പോൾ ഉപയോഗിക്കാം?ശ്രദ്ധിക്കേണ്ട കാര്യം
ഡയറക്ടറി പാസ്‌വേഡ് സംരക്ഷണംAuthType Basic, Require valid-userAdmin, staging, report ഫോൾഡറുകൾനിർബന്ധമായും HTTPS-നൊപ്പം ഉപയോഗിക്കുക
HTTPS നിർബന്ധമാക്കൽRewriteCond %{HTTPS} offമുഴുവൻ സൈറ്റ് ട്രാഫിക്കും സുരക്ഷിതമാക്കാൻCDN ഉണ്ടെങ്കിൽ പ്രത്യേക റൂൾ ആവശ്യമാകാം
ഡയറക്ടറി ലിസ്റ്റിംഗ് ഓഫ് ചെയ്യൽOptions -Indexesindex ഫയൽ ഇല്ലാത്ത ഫോൾഡറുകളിൽഫയൽ ഘടന പുറത്തുകാണുന്നത് തടയും
.htaccess സംരക്ഷണംRequire all deniedകോൺഫിഗറേഷൻ ഫയലുകൾ വായിക്കപ്പെടുന്നത് തടയാൻApache പതിപ്പനുസരിച്ച് syntax മാറാം
Hotlink തടയൽRewriteCond %{HTTP_REFERER}ചിത്രങ്ങൾ മറ്റ് സൈറ്റുകൾ നേരിട്ട് ഉപയോഗിക്കുന്നത് കുറയ്ക്കാൻCDN, social preview എന്നിവ ടെസ്റ്റ് ചെയ്യുക
സുരക്ഷാ ഹെഡറുകൾHeader set X-Frame-Options SAMEORIGINബ്രൗസർ അധിഷ്ഠിത ആക്രമണങ്ങൾ കുറയ്ക്കാൻmod_headers സജീവമായിരിക്കണം

ഡയറക്ടറി ലിസ്റ്റിംഗ് ഓഫ് ചെയ്യൽ

ഒരു ഫോൾഡറിൽ index.html, index.php അല്ലെങ്കിൽ default entry file ഇല്ലെങ്കിൽ സർവർ ആ ഫോൾഡറിലെ ഫയൽ ലിസ്റ്റ് കാണിച്ചേക്കാം. ബാക്കപ്പ് ഫയലുകൾ, ചിത്രങ്ങൾ, താൽക്കാലിക റിപ്പോർട്ടുകൾ, പഴയ സോഴ്‌സ് കോഡ് എന്നിവയുടെ കാര്യത്തിൽ ഇത് വലിയ അപകടമാണ്. ഒരു ലളിതമായ കമാൻഡ് ഉപയോഗിച്ച് ഡയറക്ടറി ലിസ്റ്റിംഗ് ഓഫ് ചെയ്യാം:

Options -Indexes

ഈ വരി ചേർത്ത ശേഷം ഉപയോക്താക്കൾക്ക് ഫോൾഡറിനുള്ളിലെ ഫയൽ പട്ടിക കാണാൻ കഴിയില്ല. index ഫയൽ ഇല്ലാത്ത ഫോൾഡറുകളിൽ സാധാരണയായി 403 Forbidden മറുപടി കാണാം. സുരക്ഷാ കാഴ്ചപ്പാടിൽ ഇത് വേണ്ട പെരുമാറ്റമാണ്.

.htaccessയും സെൻസിറ്റീവ് ഫയലുകളിലേക്കുള്ള ആക്സസും തടയൽ

നിങ്ങളുടെ .htaccess ഫയൽ വെബ് വഴി കാണാൻ കഴിയരുത്. Apache സാധാരണയായി ഈ ഫയൽ ഡിഫോൾട്ടായി സംരക്ഷിക്കും; എന്നിരുന്നാലും ഒരു അധിക സുരക്ഷാ പാളിയായി താഴെ പറയുന്ന രീതിയിലുള്ള റൂൾ ഉപയോഗിക്കാം:

<Files .htaccess>

Require all denied

</Files>

അതുപോലെ .env, composer.json, composer.lock, config.php.bak, backup.sql, database.sql പോലുള്ള ഫയലുകളും പുറത്തുനിന്നുള്ള ആക്സസിൽ നിന്ന് അടയ്ക്കണം. പ്രത്യേകിച്ച് Laravel, Symfony അല്ലെങ്കിൽ കസ്റ്റം PHP ആപ്പ്ലിക്കേഷനുകളിൽ .env ഫയലിൽ ഡാറ്റാബേസ് പാസ്‌വേഡ്, API കീ, SMTP വിവരങ്ങൾ തുടങ്ങിയവ ഉണ്ടായിരിക്കും. ഈ ഫയൽ ചോർന്നാൽ മുഴുവൻ സിസ്റ്റവും കൈവശപ്പെടുന്ന അവസ്ഥയിലേക്ക് കാര്യങ്ങൾ പോകാം.

ഒന്നിലധികം സെൻസിറ്റീവ് ഫയൽ എക്സ്റ്റൻഷനുകൾ തടയാൻ താഴെ പറയുന്ന ലോജിക് ഉപയോഗിക്കാം:

<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>

Require all denied

</FilesMatch>

ഇത്തരം റൂളുകൾ ചേർക്കുമ്പോൾ നിങ്ങളുടെ ആപ്പ്ലിക്കേഷനിന് യഥാർത്ഥത്തിൽ ആവശ്യമുള്ള സ്റ്റാറ്റിക് ഫയലുകൾ തടയപ്പെടുന്നില്ലെന്ന് ഉറപ്പാക്കുക. ഉദാഹരണത്തിന് ചില verification ഫയലുകളോ integration ഫയലുകളോ അബദ്ധത്തിൽ ഈ പരിധിയിൽപ്പെട്ടാൽ മൂന്നാംകക്ഷി സേവനങ്ങൾ പ്രവർത്തിക്കാതാകാം.

ചില ഫോൾഡറുകളിൽ PHP പ്രവർത്തനം തടയൽ

Upload ഫോൾഡറുകൾ ആക്രമണക്കാരുടെ പ്രധാന ലക്ഷ്യങ്ങളിലൊന്നാണ്. ഫയൽ അപ്‌ലോഡ് പരിശോധന ദുർബലമായ സിസ്റ്റത്തിൽ ദോഷകരമായ PHP ഫയൽ അപ്‌ലോഡ് ചെയ്യാൻ കഴിഞ്ഞാൽ, ആ ഫയൽ പ്രവർത്തിപ്പിക്കപ്പെടുന്നത് വലിയ അപകടമാണ്. ചിത്രങ്ങൾ അല്ലെങ്കിൽ മീഡിയ ഫയലുകൾ അപ്‌ലോഡ് ചെയ്യുന്ന ഫോൾഡറുകളിൽ PHP execution ഓഫ് ചെയ്യുന്നത് ഒരു അധിക പ്രതിരോധമാണ്.

ബന്ധപ്പെട്ട upload ഫോൾഡറിനുള്ളിൽ ഒരു .htaccess ഫയൽ വെച്ച് താഴെ പറയുന്ന ലോജിക് പ്രയോഗിക്കാം:

<FilesMatch \.php$>

Require all denied

</FilesMatch>

ഈ റൂൾ ബന്ധപ്പെട്ട ഫോൾഡറിലെ PHP ഫയലുകളിലേക്കുള്ള ആക്സസ് തടയും. WordPress-ൽ wp-content/uploads ഫോൾഡറിനായി സമാന സമീപനം വ്യാപകമായി ഉപയോഗിക്കുന്നു; പക്ഷേ ചില പ്ലഗിനുകൾക്ക് പ്രത്യേക ഫയൽ പ്രോസസ്സിംഗ് ആവശ്യങ്ങൾ ഉണ്ടായേക്കാം, അതിനാൽ ടെസ്റ്റ് നിർബന്ധമാണ്.

Hotlink എന്നത് മറ്റ് സൈറ്റുകൾ നിങ്ങളുടെ ചിത്ര ഫയലുകൾ അവരുടെ പേജുകളിൽ നേരിട്ട് ഉപയോഗിക്കുന്നതാണ്. ഇതുവഴി നിങ്ങളുടെ bandwidth ഉപയോഗം കൂടുകയും പ്രകടന പ്രശ്നങ്ങൾ ഉണ്ടാകുകയും ചെയ്യാം. ലളിതമായ hotlink തടയൽ റൂൾ ഇങ്ങനെയാണ്:

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^https?://(www\.)?exampledomain\.com [NC]

RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]

ഈ റൂൾ ശൂന്യമല്ലാത്ത referer ഉള്ളതും നിങ്ങളുടെ ഡൊമെയ്‌നിൽ നിന്നല്ലാത്തതുമായ image requests തടയും. എന്നാൽ Google Images, social media previews, CDN ഡൊമെയ്‌നുകൾ, business partners എന്നിവ ഉണ്ടെങ്കിൽ അവ whitelist-ൽ ചേർക്കേണ്ടിവരും. CDN ഉപയോഗം വെബ് സൈറ്റിന്റെ പ്രകടനം

നിർദ്ദിഷ്ട IP വിലാസങ്ങൾക്ക് അനുമതി നൽകുകയോ തടയുകയോ ചെയ്യൽ

അഡ്മിൻ പാനലിലേക്ക് നിങ്ങളുടെ ഓഫീസ് IP വിലാസത്തിൽ നിന്നുമാത്രം പ്രവേശിക്കണമെന്നുണ്ടെങ്കിൽ IP നിയന്ത്രണം ശക്തമായ ഒരു അധിക പാളിയാണ്. Apache 2.4-നും അതിനുമുകളിലും അടിസ്ഥാന ലോജിക് ഇങ്ങനെയാണ്:

Require ip 203.0.113.10

ഈ റൂൾ ഒറ്റയ്ക്ക് ഉപയോഗിക്കുമ്പോൾ നിർദ്ദിഷ്ട IP വിലാസത്തിനുമാത്രം പ്രവേശനം അനുവദിക്കും. നിങ്ങൾ dynamic IP ഉപയോഗിക്കുന്നുവെങ്കിൽ ശ്രദ്ധിക്കുക; IP മാറുമ്പോൾ നിങ്ങളുടെ സ്വന്തം പാനലിൽ തന്നെ പ്രവേശിക്കാൻ കഴിയാതെ വരാം. കൂടുതൽ ലച്ചമുള്ള ഉപയോഗത്തിനായി IP നിയന്ത്രണം പാസ്‌വേഡ് സംരക്ഷണത്തോടൊപ്പം ഉപയോഗിക്കുന്നത് നല്ലതാണ്.

ഒരു പ്രത്യേക ദോഷകരമായ IP വിലാസം തടയാൻ താഴെ പറയുന്ന ലോജിക് ഉപയോഗിക്കാം:

<RequireAll>

Require all granted

Require not ip 198.51.100.25

</RequireAll>

IP blocking ചെറിയ തോതിലുള്ള ആക്രമണങ്ങളിൽ പ്രയോജനപ്പെടും; പക്ഷേ botnet അല്ലെങ്കിൽ മാറിക്കൊണ്ടിരിക്കുന്ന IP ഉപയോഗിക്കുന്ന ആക്രമണങ്ങളിൽ ഇത് മാത്രം മതിയാകില്ല. അത്തരം സാഹചര്യങ്ങളിൽ application firewall, rate limiting, server-side security solutions എന്നിവ കൂടുതൽ ഫലപ്രദമാണ്.

സുരക്ഷാ ഹെഡറുകൾ: ബ്രൗസർ തലത്തിലെ അധിക സംരക്ഷണം

.htaccess ആക്സസ് നിയന്ത്രണത്തിനുമാത്രമല്ല, ബ്രൗസർ സുരക്ഷാ ഹെഡറുകൾ കൈകാര്യം ചെയ്യുന്നതിനും ഉപയോഗിക്കാം. mod_headers സജീവമാണെങ്കിൽ താഴെ പറയുന്ന ഹെഡറുകൾ പല സൈറ്റുകളിലും അടിസ്ഥാന സുരക്ഷാ നില ഉയർത്തും:

Header always set X-Content-Type-Options nosniff

Header always set X-Frame-Options SAMEORIGIN

Header always set Referrer-Policy strict-origin-when-cross-origin

Header always set Permissions-Policy geolocation=(), microphone=(), camera=()

X-Content-Type-Options nosniff, ഫയൽ തരം ബ്രൗസർ സ്വന്തം ഊഹപ്രകാരം കണ്ടെത്തി പ്രവർത്തിപ്പിക്കുന്ന പ്രവണത കുറയ്ക്കുന്നു. X-Frame-Options SAMEORIGIN, നിങ്ങളുടെ സൈറ്റ് മറ്റ് ഡൊമെയ്‌നുകളിൽ iframe ആയി embed ചെയ്യുന്നത് നിയന്ത്രിക്കുകയും clickjacking അപകടം കുറയ്ക്കുകയും ചെയ്യും. Referrer-Policy, റീഡയറക്ഷൻ അല്ലെങ്കിൽ പുറത്തെ ലിങ്കുകൾ തുറക്കുമ്പോൾ ഏത് referer വിവരമാണ് പങ്കിടേണ്ടതെന്ന് നിയന്ത്രിക്കുന്നു. Permissions-Policy, camera, microphone, location പോലുള്ള ബ്രൗസർ അനുമതികളെ പരിമിതപ്പെടുത്തുന്നു.

Content-Security-Policy അഥവാ CSP കൂടുതൽ ശക്തമായ ഒരു സുരക്ഷാ ഹെഡറാണ്; പക്ഷേ അതീവ ശ്രദ്ധയോടെ പ്രയോഗിക്കണം. വളരെ കർശനമായ CSP പരസ്യം, analytics, payment gateway, live chat, font services എന്നിവയുടെ പ്രവർത്തനം തകരാറിലാക്കാം. അതിനാൽ ആദ്യം reporting mode-ൽ പരീക്ഷിച്ച് പിന്നീട് ഘട്ടംഘട്ടമായി live-ൽ കൊണ്ടുവരുന്നതാണ് ശരിയായ മാർഗം.

പ്രയോഗത്തിന് മുമ്പുള്ള ചെക്ക്ലിസ്റ്റ്

പ്രയോഗത്തിന് മുമ്പുള്ള ചെക്ക്ലിസ്റ്റ്

.htaccess മാറ്റങ്ങൾ ഉടൻ പ്രാബല്യത്തിൽ വരും. അതിനാൽ സുരക്ഷാ കമാൻഡുകൾ ചേർക്കുന്നതിന് മുമ്പ് ചെറിയ ഒരു ചെക്ക്ലിസ്റ്റ് പിന്തുടരുന്നത് downtime അപകടം കുറയ്ക്കും.

  • നിലവിലുള്ള .htaccess ഫയലിന്റെ ബാക്കപ്പ് നിങ്ങളുടെ കമ്പ്യൂട്ടറിലേക്ക് ഡൗൺലോഡ് ചെയ്യുക.
  • SSL സർട്ടിഫിക്കറ്റ് സജീവമാണോ ശരിയായി ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ടോ എന്ന് പരിശോധിക്കുക.
  • റീഡയറക്ട് റൂളുകൾ ഒന്ന് വീതം ചേർക്കുക; എല്ലാ റൂളുകളും ഒരേസമയം മാറ്റരുത്.
  • 500, 403, 404 പിശകുകൾ ബ്രൗസറിലും സർവർ error logs-ലും പരിശോധിക്കുക.
  • WordPress, Laravel, അല്ലെങ്കിൽ കസ്റ്റം സോഫ്റ്റ്‌വെയറിന്റെ സ്വന്തം rewrite റൂളുകൾ നീക്കം ചെയ്യരുത്.
  • പാസ്‌വേഡ് സംരക്ഷണം ഉപയോഗിക്കുന്ന മേഖലകളിൽ HTTPS നിർബന്ധമാണോ എന്ന് ടെസ്റ്റ് ചെയ്യുക.
  • CDN, cache plugin, security plugin എന്നിവ ഉപയോഗിക്കുന്നുവെങ്കിൽ conflict സാധ്യത വിലയിരുത്തുക.
  • മൊബൈൽ, ഡെസ്‌ക്‌ടോപ്പ്, വ്യത്യസ്ത ബ്രൗസറുകൾ എന്നിവയിൽ login, form, payment flow എന്നിവ പരീക്ഷിക്കുക.

റൂളുകൾ ഭാഗങ്ങളായി നടപ്പാക്കുന്നത് പ്രായോഗികമായി വളരെ പ്രധാനമാണ്. ഉദാഹരണത്തിന് ആദ്യം Options -Indexes ചേർത്ത് ടെസ്റ്റ് ചെയ്യുക, പിന്നെ HTTPS റീഡയറക്ട് ചേർക്കുക, അതിനുശേഷം പാസ്‌വേഡ് സംരക്ഷണത്തിലേക്ക് പോകുക. അങ്ങനെ പ്രശ്നമുണ്ടായാൽ ഏത് വരിയാണ് കാരണമെന്ന് വേഗത്തിൽ കണ്ടെത്താം.

ഏറ്റവും സാധാരണ പിഴവുകളും പരിഹാര മാർഗങ്ങളും

500 Internal Server Error

ഈ പിശക് സാധാരണയായി syntax error, പിന്തുണയില്ലാത്ത directive, അല്ലെങ്കിൽ തെറ്റായ module ഉപയോഗം എന്നിവ മൂലമാണ് ഉണ്ടാകുന്നത്. ഉദാഹരണത്തിന് mod_headers സജീവമല്ലാത്തപ്പോൾ Header കമാൻഡ് ഉപയോഗിച്ചാൽ error വരാം. പരിഹാരമായി അവസാനം ചേർത്ത വരികൾ താൽക്കാലികമായി നീക്കം ചെയ്യുക, സർവർ error logs പരിശോധിക്കുക, നിങ്ങളുടെ ഹോസ്റ്റിംഗ് പരിസരം ബന്ധപ്പെട്ട module പിന്തുണക്കുന്നുണ്ടോ എന്ന് ഉറപ്പാക്കുക.

പാസ്‌വേഡ് സ്ക്രീൻ വീണ്ടും വീണ്ടും വരുന്നു

ഉപയോക്തൃനാമവും പാസ്‌വേഡും ശരിയായിട്ടും സ്ക്രീൻ വീണ്ടും വീണ്ടും വരുകയാണെങ്കിൽ .htpasswd പാത തെറ്റായിരിക്കാം, പാസ്‌വേഡ് hash format സർവർ പിന്തുണക്കാത്തതാകാം, അല്ലെങ്കിൽ ഫയൽ പെർമിഷൻ തെറ്റായിരിക്കാം. AuthUserFile വരിയിൽ പൂർണ്ണമായ physical path തന്നെയാണോ ഉപയോഗിച്ചതെന്ന് ഉറപ്പാക്കുക.

HTTPS റീഡയറക്ട് അനന്ത ലൂപ്പ് സൃഷ്ടിക്കുന്നു

CDN അല്ലെങ്കിൽ proxy പിന്നിൽ പ്രവർത്തിക്കുന്ന സൈറ്റുകളിൽ സർവർ അഭ്യർത്ഥനയെ അകത്ത് HTTP ആയി കാണുകയും വീണ്ടും വീണ്ടും HTTPS-ലേക്ക് റീഡയറക്ട് ചെയ്യാൻ ശ്രമിക്കുകയും ചെയ്യാം. അത്തരം സാഹചര്യങ്ങളിൽ X-Forwarded-Proto പോലുള്ള ഹെഡറുകൾ പരിഗണിക്കുന്ന പ്രത്യേക റൂൾ ആവശ്യമാകും. CDN പാനലിലെ SSL mode Full അല്ലെങ്കിൽ Full Strict പോലുള്ള ശരിയായ നിലയിൽ ആണെന്നതും പ്രധാനമാണ്.

ചിത്രങ്ങളോ CSS ഫയലുകളോ തുറക്കുന്നില്ല

Hotlink, FilesMatch, അല്ലെങ്കിൽ security header റൂളുകൾ വളരെ വ്യാപകമായി എഴുതിയാൽ ശരിയായ സ്റ്റാറ്റിക് ഫയലുകളും തടയപ്പെടാം. ബ്രൗസർ developer tools-ലെ Network tab പരിശോധിച്ച് ഏത് ഫയൽ ഏത് HTTP code ഉപയോഗിച്ച് തടയപ്പെട്ടുവെന്ന് കാണാം.

WordPress സൈറ്റുകളിൽ .htaccess സുരക്ഷ

WordPress സൈറ്റുകളിൽ .htaccess ഫയൽ permalink ഘടനയ്ക്ക് അത്യന്തം പ്രധാനമാണ്. അതിനാൽ WordPress സൃഷ്ടിക്കുന്ന BEGIN WordPress, END WordPress എന്നിവയ്ക്കിടയിലുള്ള റൂളുകൾ അനാവശ്യമായി മാറ്റരുത്. സുരക്ഷാ റൂളുകൾ സാധാരണയായി ഈ ബ്ലോക്കുകളുടെ മുകളിലോ താഴെയോ ചേർക്കുന്നതാണ് കൂടുതൽ സുരക്ഷിതം.

WordPress-നായി പ്രയോഗിക്കാവുന്ന പ്രായോഗിക മുൻകരുതലുകൾ ഇവയാണ്:

  • wp-admin ഫോൾഡറിന് അധിക Basic Auth സംരക്ഷണം നൽകുക.
  • wp-content/uploads ഉള്ളിൽ PHP പ്രവർത്തിക്കുന്നത് തടയുക.
  • xmlrpc.php ഉപയോഗിക്കുന്നില്ലെങ്കിൽ അതിലേക്കുള്ള ആക്സസ് പരിമിതപ്പെടുത്തുക.
  • readme.html, license ഫയലുകൾ എന്നിവയുടെ ദൃശ്യത കുറയ്ക്കുക.
  • HTTPS റീഡയറക്ട് WordPress site address-കളുമായി പൊരുത്തപ്പെടുത്തുക.

പ്രത്യേകിച്ച് wp-admin-നായി WordPress ഉപയോക്തൃ പാസ്‌വേഡിനൊപ്പം .htaccess പാസ്‌വേഡ് സംരക്ഷണവും ഉപയോഗിക്കുന്നത് ഇരട്ട പ്രതിരോധ പാളി നൽകും. എന്നാൽ AJAX ഉപയോഗിക്കുന്ന ചില പ്ലഗിനുകൾക്ക് wp-admin/admin-ajax.php ഫയൽ ആവശ്യമാകാം. അതിനാൽ മുഴുവൻ wp-admin ഫോൾഡറും കണ്ണടച്ച് അടച്ചാൽ ചില സവിശേഷതകൾ തകരാറിലാകാം. അതുകൊണ്ട് live സൈറ്റിൽ പ്രയോഗിച്ച ശേഷം നിർബന്ധമായും ടെസ്റ്റ് ചെയ്യണം. WordPress ഹോസ്റ്റിംഗ് WordPress വേഗം വർധനം

.htaccess സുരക്ഷയ്ക്കുള്ള പ്രൊഫഷണൽ ടിപ്പുകൾ

പരിചയസമ്പന്നരായ സിസ്റ്റം അഡ്മിൻമാർ ഏറ്റവും ശ്രദ്ധിക്കുന്ന കാര്യം സുരക്ഷയും പരിപാലന സൗകര്യവും തമ്മിലുള്ള ബാലൻസാണ്. വളരെ aggressive റൂളുകൾ കുറച്ചുകാലത്തേക്ക് സുരക്ഷിതമായി തോന്നാമെങ്കിലും ദീർഘകാലത്തിൽ maintenance cost കൂട്ടാം. അതിനാൽ ഓരോ റൂളിന്റെയും ലക്ഷ്യം, പരിധി, ടെസ്റ്റ് ഫലം എന്നിവ കുറിച്ചുവെക്കുന്നത് നല്ലതാണ്.

  • നിർണായക മാറ്റങ്ങൾക്ക് മുമ്പ് തീയതിയോടുകൂടിയ ബാക്കപ്പ് എടുക്കുക: htaccess-2026-01-15.bak പോലെ.
  • ഒരു .htaccess ഫയലിൽ അനാവശ്യമായി നൂറുകണക്കിന് റൂളുകൾ കൂട്ടിക്കൊടുക്കുന്നത് ഒഴിവാക്കുക.
  • 301 റീഡയറക്ടുകൾ സ്ഥിരമായതിനാൽ ബ്രൗസർ cache-വും search engine cache-വും കണക്കിലെടുക്കുക.
  • സുരക്ഷാ ഹെഡറുകൾ ചേർത്തതിന് ശേഷം ബ്രൗസർ console-ലുള്ള പിശകുകൾ പരിശോധിക്കുക.
  • പാസ്‌വേഡ് സംരക്ഷിത ഡയറക്ടറികളിൽ എല്ലാവരും പങ്കിടുന്ന ദുർബല പാസ്‌വേഡുകൾക്ക് പകരം വ്യക്തി അടിസ്ഥാനത്തിലുള്ള ഉപയോക്താക്കൾ സൃഷ്ടിക്കുക.
  • Test, staging, backup ഫോൾഡറുകൾ search engine-ൽ നിന്ന് മാത്രം മറയ്ക്കാതെ സർവർ തലത്തിൽ തന്നെ അടയ്ക്കുക.

മറ്റൊരു പ്രധാന കാര്യം സുരക്ഷാ റൂളുകൾ ഇടയ്ക്കിടെ വീണ്ടും പരിശോധിക്കുകയാണ്. ഇന്ന് ഉപയോഗിക്കുന്ന ഒരു integration നാളെ നീക്കം ചെയ്തേക്കാം; പക്ഷേ അതിനായി തുറന്നുവെച്ച ഒരു path .htaccess-ൽ മറന്നുപോകാം. മൂന്നു മാസത്തിലൊരിക്കൽ ചെറിയ സുരക്ഷാ പരിശോധന നടത്തുകയും അനാവശ്യ അനുമതികൾ നീക്കുകയും പഴയ റീഡയറക്ടുകൾ ക്രമപ്പെടുത്തുകയും ചെയ്യുന്നത് നല്ല ശീലമാണ്.

സംഗ്രഹം: ചെറിയൊരു ഫയൽ, വലിയൊരു സുരക്ഷാ പാളി

.htaccess ഫയൽ പാസ്‌വേഡ് സംരക്ഷണവും സൈറ്റ് സുരക്ഷ കൂട്ടാനുള്ള കമാൻഡുകളും ശരിയായി ഉപയോഗിക്കുമ്പോൾ നിങ്ങളുടെ വെബ്‌സൈറ്റിന്റെ ആദ്യ പ്രതിരോധരേഖ ശക്തമാക്കുന്നു. ഡയറക്ടറികൾ പാസ്‌വേഡോടെ സംരക്ഷിക്കൽ, HTTPS നിർബന്ധമാക്കൽ, ഡയറക്ടറി ലിസ്റ്റിംഗ് ഓഫ് ചെയ്യൽ, സെൻസിറ്റീവ് ഫയലുകളിലേക്കുള്ള ആക്സസ് തടയൽ, സുരക്ഷാ ഹെഡറുകൾ സജീവമാക്കൽ എന്നിവ മിക്ക വെബ്‌സൈറ്റുകൾക്കും പ്രയോഗിക്കാവുന്ന, അളക്കാവുന്ന, ഫലപ്രദമായ നടപടികളാണ്.

എന്നിരുന്നാലും .htaccess സുരക്ഷ മാത്രം മതിയാകില്ല. വിശ്വസനീയമായ ഹോസ്റ്റിംഗ് ഇൻഫ്രാസ്ട്രക്ചർ, അപ്‌ഡേറ്റുചെയ്ത സോഫ്റ്റ്‌വെയർ, SSL സർട്ടിഫിക്കറ്റ്, സ്ഥിരമായ ബാക്കപ്പ്, ശക്തമായ പാസ്‌വേഡ് നയം എന്നിവയോടൊപ്പം ചേർത്താണ് ഇതിനെ കാണേണ്ടത്. Hostragons-ൽ നിങ്ങളുടെ വെബ്‌സൈറ്റ് ഹോസ്റ്റ് ചെയ്യുമ്പോൾ SSL, hosting, domain management പോലുള്ള അടിസ്ഥാന സുരക്ഷാ ഘടകങ്ങൾ ഒറ്റ പാനലിൽ നിന്ന് കൈകാര്യം ചെയ്യാം; ആവശ്യമുള്ളപ്പോൾ കൂടുതൽ സുരക്ഷിതമായ ഘടനയിലേക്ക് ഘട്ടംഘട്ടമായി മുന്നേറുകയും ചെയ്യാം. വെബ് ഹോസ്റ്റിംഗ് പാക്കേജുകൾ ഡൊമെയ്ൻ വാങ്ങുക SSL സർട്ടിഫിക്കറ്റുകൾ

പതിവായി ചോദിക്കുന്ന ചോദ്യങ്ങൾ

.htaccess ഫയൽ പാസ്‌വേഡ് സംരക്ഷണം ശരിക്കും ഫയലുകൾ എൻക്രിപ്റ്റ് ചെയ്യുമോ?

ഇല്ല. സാധാരണയായി ഈ പദം ഡയറക്ടറികളെ ഉപയോക്തൃനാമവും പാസ്‌വേഡും ഉപയോഗിച്ച് സംരക്ഷിക്കുന്നതിനെ സൂചിപ്പിക്കുന്നു. Basic Auth പ്രവേശനം നിയന്ത്രിക്കും; ഡാറ്റ കൈമാറ്റം സുരക്ഷിതമാകണമെങ്കിൽ SSL ഉപയോഗിച്ചുള്ള HTTPS നിർബന്ധമാണ്.

.htpasswd ഫയൽ public_html-ക്കുള്ളിൽ സൂക്ഷിക്കുന്നത് സുരക്ഷിതമാണോ?

ശുപാർശ ചെയ്യില്ല. ഏറ്റവും സുരക്ഷിതമായ സമീപനം .htpasswd ഫയൽ public_html-ന്റെ പുറത്തുള്ള, വെബ് വഴി നേരിട്ട് ആക്സസ് ചെയ്യാൻ കഴിയാത്ത ഡയറക്ടറിയിൽ സൂക്ഷിക്കുന്നതാണ്. അങ്ങനെ തെറ്റായ കോൺഫിഗറേഷൻ ഉണ്ടായാലും ഫയൽ കാണപ്പെടാനുള്ള സാധ്യത കുറയും.

.htaccess മാറ്റത്തിന് ശേഷം 500 പിശക് ലഭിച്ചാൽ എന്ത് ചെയ്യണം?

ആദ്യം അവസാനം ചേർത്ത വരികൾ നീക്കം ചെയ്യുകയോ ബാക്കപ്പ് ഫയലിലേക്ക് മടങ്ങുകയോ ചെയ്യുക. തുടർന്ന് സർവർ error logs പരിശോധിക്കുക. പിശക് കൂടുതലായും spelling mistake, പിന്തുണയില്ലാത്ത directive, അല്ലെങ്കിൽ സജീവമല്ലാത്ത Apache module എന്നിവ മൂലമായിരിക്കും.

WordPress wp-admin ഫോൾഡർ .htaccess ഉപയോഗിച്ച് പാസ്‌വേഡോടെ സംരക്ഷിക്കുന്നത് ശരിയാണോ?

അതെ, ഇത് അധിക സുരക്ഷാ പാളി നൽകാം. എന്നാൽ ചില പ്ലഗിനുകൾക്ക് admin-ajax.php പോലുള്ള ഫയലുകൾ ആവശ്യമാകുന്നതിനാൽ പ്രയോഗിച്ച ശേഷം login, comment, cart, payment, form പ്രവർത്തനങ്ങൾ നിർബന്ധമായും ടെസ്റ്റ് ചെയ്യണം.

HTTPS റീഡയറക്ട് SEO-യ്ക്ക് ദോഷകരമാണോ?

ശരിയായി നടപ്പാക്കിയ 301 HTTPS റീഡയറക്ട് ദോഷകരമല്ല; മറിച്ച് സുരക്ഷിതവും സ്ഥിരതയുള്ളതുമായ URL ഘടന നൽകുന്നു. പ്രധാന കാര്യം redirect chain ഉണ്ടാക്കാതിരിക്കാനും എല്ലാ internal links-ഉം അന്തിമ HTTPS വിലാസങ്ങളുമായി പൊരുത്തപ്പെടുത്താനുമാണ്.

ഈ ലേഖനം പങ്കിടുക:

Hostragons ടീം

ഹോസ്റ്റിംഗ്, സെർവറുകൾ, ഡൊമെയ്ൻ നാമങ്ങൾ എന്നിവയെക്കുറിച്ചുള്ള ഞങ്ങളുടെ വിദഗ്ദ്ധ സംഘത്തിൽ നിന്നുള്ള കാലികമായ ഗൈഡുകൾ. നിങ്ങളുടെ പ്രോജക്റ്റിന് ശരിയായ പരിഹാരം നമുക്ക് ഒരുമിച്ച് കണ്ടെത്താം.

ഞങ്ങളെ ബന്ധപ്പെടുക