Zabezpečenie .htaccess súboru zahŕňa praktické bezpečnostné metódy, ktoré na Apache alebo LiteSpeed hostingoch slúžia na ochranu adresára pomocou používateľského mena a hesla, zamedzenie čítania .htaccess súboru zvonku, vynútenie HTTPS a obmedzenie škodlivých prístupov. Najčastejším postupom je ochrana adresára cez Basic Auth priamo v .htaccess a ukladanie hesiel v .htpasswd súbore. Kľúčové je však toto: Basic Auth sám o sebe údaje nešifruje; pre bezpečné používanie musí bezpodmienečne fungovať cez HTTPS s SSL certifikátom. certifikát SSL Bezpečný web hosting
Bezpečnosť webových stránok sa často spája s rozsiahlymi firewallmi, komplexným softvérom či drahými doplnkami. Pritom správne nakonfigurovaný .htaccess súbor je jednou z prvých línií obrany, najmä na zdieľaných hostingoch, pri WordPress weboch, vlastných PHP aplikáciách a stránkach malých firiem. Pomocou tohto súboru viete chrániť kritické priečinky, ako je administrácia, presmerovať HTTP komunikáciu na HTTPS, zakázať výpis obsahu adresárov, zablokovať prístup k určitým súborom, obmedziť hotlinking a aktivovať základné bezpečnostné hlavičky.
V tomto návode sa krok za krokom pozrieme na to, ako zaheslovať priečinok pomocou .htaccess, vysvetlíme si najčastejšie používané bezpečnostné príkazy a poskytneme príklady, ktoré môžete skopírovať a upraviť. Príkazy v článku sú vhodné najmä pre hostingové prostredia podporujúce Apache moduly mod_rewrite, mod_auth_basic a mod_headers. Keďže LiteSpeed servery sú do veľkej miery kompatibilné s Apache, väčšina pravidiel funguje rovnako. Napriek tomu pred nasadením na ostrý web dôrazne odporúčame urobiť si zálohu súboru a ideálne pravidlá otestovať na testovacej subdoméne. Správa domény Zálohovanie webových stránok
Čo je .htaccess súbor a prečo je dôležitý pre bezpečnosť?
.htaccess je lokálny konfiguračný súbor, ktorý určuje, ako sa má webový server správať v danom priečinku a jeho podadresároch. Ak ho umiestnite do koreňového adresára, zvyčajne ovplyvní celú stránku; napríklad .htaccess súbor v priečinku public_html riadi pravidlá platné pre hlavný webový koreň vašej domény. Ak ho vložíte do podadresára, pravidlá sa vzťahujú len na tento priečinok a cesty pod ním.
Keďže tento súbor umožňuje riadiť prístup na úrovni servera, môžete určité požiadavky zablokovať ešte skôr, ako sa dostanú k aplikačnému kódu. Ak napríklad ochránite admin priečinok heslom, útočník sa pri pokuse o prístup k WordPressu, vlastnému panelu či PHP súboru zasekne na autentifikácii servera. Tento prístup znižuje počet brute force pokusov a sťažuje zneužitie zraniteľností na úrovni aplikácie.
Hlavné bezpečnostné výhody .htaccess súboru sú:
- Pravidlá prístupu môžete definovať bez zásahu do aplikačného kódu.
- Vybrané priečinky možno chrániť používateľským menom a heslom.
- HTTP požiadavky možno automaticky presmerovať na HTTPS.
- Výpis adresárov, prístup k citlivým súborom a hotlinking sa dajú obmedziť.
- Bezpečnosť prehliadača možno zvýšiť pomocou bezpečnostných hlavičiek.
- Obmedzenia možno nastaviť podľa IP adresy, prípony súboru alebo metódy požiadavky.
Samotný .htaccess však všetku bezpečnosť nezabezpečí. Najlepšie výsledky prináša v kombinácii s aktuálnym softvérom, politikou silných hesiel, pravidelnými zálohami, spoľahlivou hostingovou infraštruktúrou, WAF, skenovaním škodlivého kódu a SSL certifikátom. Bezpečnosť hostingu Bezpečnosť WordPress
Logika zaheslovania .htaccess: Basic Auth a .htpasswd
Výraz "zaheslovanie .htaccess" má zvyčajne dva významy. Prvým je výzva na zadanie mena a hesla pri vstupe do priečinka; druhým je zabránenie zobrazeniu samotného .htaccess súboru zvonku. Prvá operácia sa vykonáva cez Basic Auth, druhá pomocou pravidiel na obmedzenie prístupu k súborom.
V štruktúre Basic Auth obsahuje .htaccess súbor autentifikačné pravidlo a .htpasswd súbor uchováva používateľské meno a zašifrované heslo. Heslo by nikdy nemalo byť uložené v čistej textovej podobe. Moderné systémy používajú hašovacie metódy založené na bcrypt, Apache MD5 alebo SHA. Najbezpečnejším prístupom je využiť funkciu "Ochrana adresára heslom" alebo "Directory Privacy" v ovládacom paneli hostingu, pretože tieto panely často umiestnia .htpasswd súbor na správne miesto a hašovanie hesla vykonajú automaticky.
Príklad pravidla ochrany heslom vyzerá takto:
AuthType Basic
AuthName ChranenyPriestor
AuthUserFile /home/uzivatel/.htpasswd
Require valid-user
Význam týchto štyroch riadkov je jednoduchý: Typ autentifikácie je nastavený na Basic, určí sa názov oblasti zobrazený v prehliadači, uvedie sa úplná serverová cesta k .htpasswd súboru s heslami a povolí sa prístup len platným používateľom. Najčastejšou chybou je zadanie URL adresy do riadku AuthUserFile. Správna hodnota nie je webová adresa, ale fyzická cesta k súboru na serveri. Napríklad https://mojadomena.sk/.htpasswd je nesprávne; /home/uzivatel/.htpasswd je blízko správnemu formátu.
Kde by mal byť .htpasswd súbor uložený?
Súbor .htpasswd podľa možností uchovávajte mimo priečinka public_html. Takto ho nebude možné priamo zavolať cez web, ani keby došlo k nesprávnej konfigurácii servera. Ak váš web beží napríklad v /home/ucet/public_html, umiestnite .htpasswd súbor mimo koreňa webu, napríklad do /home/ucet/.htpasswd, čo je bezpečnejšie.
Pokiaľ ide o oprávnenia súborov, praktickou východiskovou hodnotou je 640 alebo 644 pre .htpasswd a 644 pre .htaccess. V závislosti od konfigurácie servera môžu byť potrebné iné oprávnenia, ale oprávnenia 777, ktoré umožňujú zápis komukoľvek, predstavujú bezpečnostné riziko a nemali by sa používať.
Krok za krokom: Zaheslovanie priečinka cez .htaccess
Nasledujúce kroky sú vhodné pre používateľov, ktorí chcú chrániť najmä priečinky ako admin, panel, test, staging, reporty alebo súbory určené pre klientov. Pred začatím si zálohujte existujúci .htaccess súbor. Aj jediný nesprávny znak môže spôsobiť chybu 500 Internal Server Error.
1. Určite priečinok, ktorý chcete chrániť
Najprv si ujasnite, ktorý adresár chcete zaheslovať. Ak chcete chrániť napríklad len oblasť mojadomena.sk/admin, môžete .htaccess súbor umiestniť dovnútra admin priečinka. Ak chcete dočasne odstaviť celý web a sprístupniť ho len oprávneným osobám, môžete pravidlo pridať do .htaccess súboru v koreňovom adresári.
2. Vytvorte používateľa pre .htpasswd
Ak má váš ovládací panel hosting nástroj na ochranu adresárov heslom, je to najpraktickejší spôsob. Ak nástroj nemáte, na serveroch s prístupom cez SSH môžete používateľa vytvoriť príkazom htpasswd. Príklad logiky je nasledovný: htpasswd -c /home/uzivatel/.htpasswd admin. Tento príkaz vygeneruje heslo pre používateľa admin a uloží ho do súboru. Pri pridávaní nového používateľa do existujúceho súboru nepoužívajte parameter -c, inak sa súbor môže prepísať.
3. Pridajte pravidlo do .htaccess
Do .htaccess súboru v chránenom priečinku pridajte tieto riadky:
AuthType Basic
AuthName AdministracnyPanel
AuthUserFile /home/uzivatel/.htpasswd
Require valid-user
Po uložení vstúpte do príslušného priečinka cez prehliadač. Ak sa zobrazí výzva na zadanie mena a hesla, proces bol úspešný. Ak sa nemôžete prihlásiť napriek správnemu heslu, cesta AuthUserFile môže byť chybná alebo server nemôže čítať oprávnenia .htpasswd súboru.
4. Nepoužívajte bez HTTPS
Basic Auth prenáša prihlasovacie údaje kódované v Base64, čo nie je skutočné silné šifrovanie. Ak komunikácia prebieha cez HTTP, niekto, kto odpočúva sieť, môže získať používateľské meno a heslo. Preto by sa pravidlo na zaheslovanie .htaccess malo vždy používať spolu s vynútením HTTPS. Toto riziko môžete znížiť aktiváciou SSL na Hostragons a následným pridaním pravidla na presmerovanie na HTTPS. inštalácia SSL HTTPS presmerovanie
Vynútenie HTTPS a presmerovanie www
Jedným zo základných krokov na zvýšenie bezpečnosti stránky je presmerovanie celej komunikácie na HTTPS. Po aktivácii SSL certifikátu môžete do .htaccess v koreňovom adresári pridať pravidlo v tomto zmysle:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Toto pravidlo presunie požiadavky prichádzajúce cez HTTP na HTTPS pri zachovaní rovnakej domény a cesty. Trvalé presmerovanie 301 vysiela správny signál aj z hľadiska SEO. Ak však váš web používa reverzný proxy, CDN alebo load balancer, stav HTTPS sa môže načítať z iných hlavičiek. V takých prípadoch uprednostnite pravidlo presmerovania odporúčané vaším poskytovateľom hostingu.
Voľba medzi www a verziou bez www by mala byť konzistentná. Ak chcete napríklad všetku komunikáciu presunúť na verziu bez www, môžete použiť tento prístup:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.priklad-domena\.sk$ [NC]
RewriteRule ^(.*)$ https://priklad-domena.sk/$1 [L,R=301]
Tu je potrebné nahradiť priklad-domena.sk vašou vlastnou doménou. Ak vykonávate presmerovanie na HTTPS aj www súčasne, dávajte pozor, aby ste nevytvorili reťazové presmerovanie. Ideálna štruktúra privedie používateľa na finálnu URL v jedinom kroku. Presmerovanie domény SEO kompatibilné presmerovanie
Základné príkazy na zvýšenie bezpečnosti webu cez .htaccess
Nasledujúca tabuľka sumarizuje najčastejšie používané bezpečnostné príkazy .htaccess a kedy ich použiť. Pred pridaním každého príkazu skontrolujte svoju aktuálnu konfiguráciu; niektoré sa môžu dostať do konfliktu s pravidlami WordPressu, Laravelu alebo vlastných CMS.
| Účel | Príklad príkazu alebo direktívy | Kedy použiť? | Na čo si dať pozor |
|---|---|---|---|
| Zaheslovanie adresára | AuthType Basic, Require valid-user | Admin, staging, reportové priečinky | Bezpodmienečne používať s HTTPS |
| Vynútenie HTTPS | RewriteCond %{HTTPS} off | Na zabezpečenie celej návštevnosti webu | Pri CDN môže byť potrebné špeciálne pravidlo |
| Vypnutie výpisu adresárov | Options -Indexes | V priečinkoch bez index súboru | Zabráni zobrazeniu štruktúry súborov |
| Ochrana .htaccess | Require all denied | Na zabránenie čítania konfiguračných súborov | Syntax sa môže líšiť podľa verzie Apache |
| Blokovanie hotlinkingu | RewriteCond %{HTTP_REFERER} | Na obmedzenie používania obrázkov na iných weboch | Otestujte CDN a náhľady sociálnych sietí |
| Bezpečnostné hlavičky | Header set X-Frame-Options SAMEORIGIN | Na obmedzenie útokov založených na prehliadači | mod_headers musí byť aktívny |
Vypnutie výpisu obsahu adresára
Ak v priečinku chýba súbor index.html, index.php alebo predvolený vstupný súbor, server môže zobraziť zoznam súborov. Táto situácia je riziková z hľadiska záloh, obrázkov, dočasných reportov alebo starých zdrojových kódov. Jednoduchým príkazom možno výpis adresára vypnúť:
Options -Indexes
Po tomto riadku používatelia nebudú môcť zobraziť obsah priečinka. V priečinkoch bez index súboru sa zvyčajne zobrazí odpoveď 403 Forbidden. Toto správanie je z bezpečnostného hľadiska žiaduce.
Blokovanie prístupu k .htaccess a citlivým súborom
Váš .htaccess súbor by nemal byť viditeľný cez web. Apache zvyčajne tento súbor predvolene chráni, ale ako dodatočnú bezpečnostnú vrstvu môžete použiť nasledujúcu logiku:
<Files .htaccess>
Require all denied
</Files>
Podobne by mali byť pred externým prístupom chránené súbory ako .env, composer.json, composer.lock, config.php.bak, backup.sql, database.sql. Najmä v Laraveli, Symfony alebo vlastných PHP aplikáciách môže súbor .env obsahovať databázové heslá, API kľúče a SMTP údaje. Únik tohto súboru môže viesť až k úplnému ovládnutiu systému.
Na blokovanie viacerých citlivých prípon súborov možno použiť túto logiku:
<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>
Require all denied
</FilesMatch>
Pri pridávaní takýchto pravidiel sa uistite, že neblokujete statické súbory, ktoré vaša aplikácia skutočne potrebuje. Ak sa napríklad omylom zahrnú niektoré validačné alebo integračné súbory, služby tretích strán nemusia fungovať.
Zakázanie spúšťania PHP v určitých priečinkoch
Priečinky na nahrávanie súborov (upload) sú jedným z najčastejších cieľov útočníkov. Ak systém so slabou kontrolou nahrávania umožní nahrať škodlivý PHP súbor, jeho spustenie predstavuje veľké riziko. Vypnutie spúšťania PHP v priečinkoch určených na obrázky alebo médiá poskytuje dodatočnú obranu.
Do príslušného upload priečinka vložte .htaccess súbor a použite túto logiku:
<FilesMatch \.php$>
Require all denied
</FilesMatch>
Toto pravidlo zablokuje prístup k PHP súborom v danom priečinku. Pri WordPressi sa podobný prístup bežne používa pre priečinok wp-content/uploads; keďže však niektoré pluginy môžu mať špeciálne požiadavky na prácu so súbormi, treba ho otestovať.
Obmedzenie hotlinkingu a zníženie spotreby prenosu dát
Hotlinking znamená, že iné stránky priamo používajú vaše obrázkové súbory na svojich stránkach. Zvyšuje to spotrebu šírky pásma a môže viesť k problémom s výkonom. Jednoduché pravidlo na blokovanie hotlinkingu je v tomto zmysle:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?priklad-domena\.sk [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]
Toto pravidlo blokuje požiadavky na obrázky, ktoré majú neprázdny referer a nepochádzajú z vašej domény. Ak však používate Google Obrázky, náhľady sociálnych médií, CDN domény alebo máte partnerov, možno budete musieť tieto domény pridať na whitelist. Používanie CDN Výkon webovej stránky
Povolenie alebo blokovanie konkrétnych IP adries
Ak chcete mať prístup do administrácie len z IP adresy vašej kancelárie, obmedzenie IP je účinnou doplnkovou vrstvou. Pre Apache 2.4 a vyšší je základná logika nasledovná:
Require ip 203.0.113.10
Ak sa toto pravidlo použije samostatne, povolí len uvedenú IP adresu. Ak používate dynamickú IP, buďte opatrní; pri zmene IP sa vám môže stať, že sa do vlastného panelu nedostanete. Pre flexibilnejšie použitie je zdravšie kombinovať obmedzenie IP s ochranou heslom.
Na blokovanie konkrétnej škodlivej IP adresy možno použiť túto logiku:
<RequireAll>
Require all granted
Require not ip 198.51.100.25
</RequireAll>
Blokovanie IP funguje pri útokoch malého rozsahu, ale pri botnetoch alebo útokoch využívajúcich premenlivé IP adresy samo o sebe nestačí. V takom prípade sú účinnejšie aplikačný firewall, obmedzenie rýchlosti (rate limiting) a bezpečnostné riešenia na strane servera.
Bezpečnostné hlavičky: Dodatočná ochrana na úrovni prehliadača
.htaccess možno použiť nielen na kontrolu prístupu, ale aj na správu bezpečnostných hlavičiek prehliadača. Ak je aktívny mod_headers, nasledujúce hlavičky zvýšia základnú úroveň bezpečnosti na mnohých weboch:
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options SAMEORIGIN
Header always set Referrer-Policy strict-origin-when-cross-origin
Header always set Permissions-Policy geolocation=(), microphone=(), camera=()
X-Content-Type-Options nosniff obmedzuje, aby prehliadač hádal typy súborov a spúšťal ich. X-Frame-Options SAMEORIGIN obmedzuje vloženie vašej stránky ako iframe do iných domén a znižuje riziko clickjackingu. Referrer-Policy kontroluje, aké informácie o odkazovači sa zdieľajú pri presmerovaní. Permissions-Policy obmedzuje oprávnenia prehliadača, ako je kamera, mikrofón a poloha.
Content-Security-Policy (CSP) je silnejšia bezpečnostná hlavička, ale musí sa implementovať opatrne. Príliš prísna CSP môže narušiť fungovanie reklám, analytiky, platieb, live chatu alebo fontových služieb. Preto je správnejší postup najprv testovať v režime reportovania a potom ju postupne nasadzovať do ostrej prevádzky.
Kontrolný zoznam pred implementáciou

Zmeny v .htaccess sa prejavia rýchlo. Preto postupovanie podľa krátkeho kontrolného zoznamu pred pridaním bezpečnostných príkazov znižuje riziko výpadkov.
- Stiahnite si zálohu aktuálneho .htaccess súboru do počítača.
- Skontrolujte, či je váš SSL certifikát aktívny a správne nainštalovaný.
- Pravidlá presmerovania pridávajte po jednom; nemeňte všetky pravidlá naraz.
- Kontrolujte chyby 500, 403 a 404 v záznamoch prehliadača a servera.
- Nemažte vlastné rewrite pravidlá WordPressu, Laravelu alebo vlastného softvéru.
- Otestujte vynútenie HTTPS v oblastiach chránených heslom.
- Ak používate CDN, cache plugin alebo bezpečnostný plugin, vyhodnoťte možnosť konfliktov.
- Otestujte prihlasovanie, formuláre a platobné procesy na mobile, desktope a v rôznych prehliadačoch.
V praxi je veľmi dôležité implementovať pravidlá po častiach. Napríklad najprv pridajte a otestujte Options -Indexes, potom pridajte presmerovanie na HTTPS a nakoniec prejdite na ochranu heslom. Takto v prípade problému rýchlo zistíte, ktorý riadok ho spôsobil.
Najčastejšie chyby a ich riešenia
500 Internal Server Error
Táto chyba je zvyčajne spôsobená syntaktickou chybou, nepodporovanou direktívou alebo použitím nesprávneho modulu. Napríklad použitie príkazu Header bez aktívneho mod_headers môže vygenerovať chybu. Riešením je dočasne odstrániť naposledy pridané riadky, skontrolovať chybové záznamy servera a overiť, či vaše hostingové prostredie podporuje príslušný modul.
Okno s heslom sa neustále vracia
Ak sa výzva na zadanie mena a hesla zobrazuje opakovane aj pri správnych údajoch, cesta k .htpasswd môže byť nesprávna, formát hašu hesla nemusí byť serverom podporovaný alebo sú chybné oprávnenia súboru. Uistite sa, že v riadku AuthUserFile používate úplnú fyzickú cestu.
Presmerovanie na HTTPS vytvára nekonečnú slučku
Na weboch za CDN alebo proxy môže server vidieť požiadavku interne ako HTTP a neustále sa ju pokúšať presmerovať na HTTPS. V takom prípade môže byť potrebné špeciálne pravidlo, ktoré zohľadňuje hlavičky ako X-Forwarded-Proto. Dôležité je tiež, aby bol SSL režim v paneli CDN nastavený na správnu úroveň, napríklad Full alebo Full Strict.
Obrázky alebo CSS súbory sa nezobrazujú
Ak boli pravidlá pre hotlinking, FilesMatch alebo bezpečnostné hlavičky napísané príliš široko, môžu byť zablokované aj legitímne statické súbory. Kontrolou záložky Network v nástrojoch pre vývojárov v prehliadači zistíte, ktorý súbor bol zablokovaný a s akým HTTP kódom.
Bezpečnosť .htaccess na WordPress weboch
Na WordPress weboch je .htaccess súbor kritický pre trvalé odkazy (permalinks). Preto nie je vhodné zbytočne meniť pravidlá medzi značkami BEGIN WordPress a END WordPress, ktoré vytvára WordPress. Bezpečnostné pravidlá je bezpečnejšie pridávať zvyčajne nad alebo pod tieto bloky.
Praktické opatrenia, ktoré možno pre WordPress implementovať, sú:
- Aplikovať dodatočnú ochranu Basic Auth na priečinok wp-admin.
- Zakázať spúšťanie PHP v priečinku wp-content/uploads.
- Ak nepoužívate xmlrpc.php, obmedziť k nemu prístup.
- Znížiť viditeľnosť súborov readme.html a licenčných súborov.
- Zladiť presmerovanie na HTTPS s adresami WordPress stránky.
Najmä pre wp-admin poskytuje použitie WordPress hesla aj .htaccess ochrany heslom dvojvrstvovú obranu. Keďže však niektoré pluginy využívajúce AJAX potrebujú súbor wp-admin/admin-ajax.php, slepé uzavretie celého priečinka wp-admin môže narušiť niektoré funkcie. Preto je testovanie na ostrom webe nevyhnutné. WordPress hosting Zrýchlenie WordPressu
Profesionálne tipy pre bezpečnosť .htaccess
Skúsení správcovia systémov si najviac všímajú rovnováhu medzi bezpečnosťou a udržateľnosťou. Príliš agresívne pravidlá sa môžu z krátkodobého hľadiska javiť ako bezpečné, ale z dlhodobého hľadiska môžu zvýšiť náklady na údržbu. Preto by mal byť zaznamenaný účel, rozsah a výsledok testu každého pravidla.
- Pred kritickými zmenami si vytvorte datovanú zálohu: napr. htaccess-2026-01-15.bak.
- Vyhnite sa pridávaniu zbytočných stoviek pravidiel do jedného .htaccess súboru.
- Keďže presmerovania 301 sú trvalé, počítajte s vyrovnávacou pamäťou prehliadača a vyhľadávača.
- Po pridaní bezpečnostných hlavičiek skontrolujte chyby v konzole prehliadača.
- V adresároch chránených heslom vytvárajte používateľov na konkrétnu osobu namiesto zdieľania slabých hesiel.
- Testovacie, stagingové a záložné priečinky zatvorte na úrovni servera ešte pred vyhľadávačmi.
Ďalším dôležitým bodom je pravidelné preskúmanie bezpečnostných pravidiel. Integrácia, ktorá sa používa dnes, môže byť zajtra odstránená, ale cesta ponechaná otvorená špeciálne pre ňu môže byť v .htaccess zabudnutá. Vykonávať krátku bezpečnostnú kontrolu každé tri mesiace, čistiť nepotrebné oprávnenia a upravovať staré presmerovania je dobrý zvyk.
Záver: Malý súbor, veľká bezpečnostná vrstva
Príkazy na zaheslovanie .htaccess súboru a zvýšenie bezpečnosti webu pri správnom použití posilňujú prvú líniu obrany vašej webovej stránky proti útokom. Ochrana priečinkov heslom, vynútenie HTTPS, vypnutie výpisu adresárov, blokovanie prístupu k citlivým súborom a aktivácia bezpečnostných hlavičiek sú realizovateľné, merateľné a účinné kroky pre väčšinu webových stránok.
Samotná bezpečnosť .htaccess však nestačí. Treba ju vnímať v spojení so spoľahlivou hostingovou infraštruktúrou, aktuálnym softvérom, SSL certifikátom, pravidelnými zálohami a politikou silných hesiel. Pri hosťovaní vašej webovej stránky na Hostragons môžete spravovať základné bezpečnostné komponenty ako SSL, hosting a správu domén z jedného panela a v prípade potreby postupne budovať bezpečnejšiu štruktúru. Balíčky web hostingu Kúpte doménu certifikáty SSL
Často kladené otázky
Šifruje zaheslovanie .htaccess súboru skutočne súbory?
Nie. Tento výraz sa zvyčajne používa vo význame ochrany priečinkov používateľským menom a heslom. Basic Auth obmedzuje prístup; na zabezpečenie prenosu údajov je potrebné používať SSL s HTTPS.
Je bezpečné uchovávať .htpasswd súbor v public_html?
Neodporúča sa to. Najbezpečnejším prístupom je uchovávať .htpasswd súbor mimo public_html, v adresári, ktorý nie je priamo prístupný cez web. Tým sa aj pri riziku nesprávnej konfigurácie znižuje možnosť zobrazenia súboru.
Čo mám robiť, ak po zmene .htaccess dostanem chybu 500?
Najprv odstráňte naposledy pridané riadky alebo sa vráťte k záložnému súboru. Potom skontrolujte chybové záznamy servera. Chyba je väčšinou spôsobená preklepom, nepodporovanou direktívou alebo neaktívnym Apache modulom.
Je správne zaheslovať WordPress priečinok wp-admin cez .htaccess?
Áno, môže to poskytnúť dodatočnú bezpečnostnú vrstvu. Keďže však niektoré pluginy potrebujú súbory ako admin-ajax.php, po implementácii je nevyhnutné otestovať prihlasovanie, komentáre, košík, platby a formuláre.
Je presmerovanie na HTTPS škodlivé z hľadiska SEO?
Správne implementované 301 presmerovanie na HTTPS nie je škodlivé; naopak, poskytuje bezpečnú a konzistentnú štruktúru URL. Dôležité je nevytvárať reťazce presmerovaní a udržiavať všetky interné odkazy v súlade s finálnymi HTTPS adresami.