.htaccess faylini shifrlash – bu Apache yoki LiteSpeed asosidagi hostinglarda papkani foydalanuvchi nomi va parol bilan himoyalash, .htaccess faylining tashqaridan o‘qilishini oldini olish, HTTPS majburiyatini joriy qilish va zararli kirishlarni cheklash uchun qo‘llaniladigan amaliy xavfsizlik usullari yig‘indisidir. Eng keng tarqalgan amaliyot – bu .htaccess orqali papkaga kirishni Basic Auth orqali parol himoyasiga olish va parollarni .htpasswd faylida saqlashdir. Lekin muhim jihat shundaki, Basic Auth o‘z-o‘zidan ma’lumotlarni shifrlamaydi; xavfsiz foydalanish uchun albatta SSL sertifikati bilan HTTPS orqali ishlashi kerak. SSL sertifikati xavfsiz veb-hosting
Veb-saytlarda xavfsizlik ko‘pincha katta xavfsizlik devorlari, murakkab dasturlar yoki qimmat plaginlar bilan bog‘lanadi. Holbuki, to‘g‘ri sozlangan .htaccess fayli, ayniqsa umumiy hosting, WordPress, maxsus PHP ilovalari va kichik biznes saytlarida birinchi mudofaa qatlamlaridan biridir. Ushbu fayl yordamida boshqaruv paneli kabi muhim papkalarni parol bilan himoyalashingiz, HTTP trafigini HTTPS’ga yo‘naltirishingiz, papka ro‘yxatini yopishingiz, ayrim fayllarga kirishni cheklashingiz, hotlink ishlatilishini kamaytirishingiz va asosiy xavfsizlik sarlavhalarini faollashtirishingiz mumkin.
Ushbu qo‘llanmada .htaccess faylini shifrlash jarayonini bosqichma-bosqich ko‘rib chiqamiz, real hayotda eng ko‘p qo‘llaniladigan xavfsizlik buyruqlarini tushuntiramiz va nusxalab moslashtirishingiz mumkin bo‘lgan misollar bilan bo‘lishamiz. Kontentdagi buyruqlar ayniqsa Apache mod_rewrite, mod_auth_basic va mod_headers qo‘llab-quvvatlaydigan hosting muhitlari uchun mos keladi. LiteSpeed serverlar ham katta darajada Apache bilan mos bo‘lgani uchun aksariyat qoidalar bir xil ishlaydi. Shunga qaramay, jonli saytda qo‘llashdan oldin albatta fayl zaxirasini olish va iloji bo‘lsa test sub-domenida sinab ko‘rish tavsiya etiladi. domen boshqaruvi veb-sayt zaxiralash
.htaccess Fayli Nima va Nega Xavfsizlik Uchun Muhim?
.htaccess – bu veb-serverning tegishli papka va pastki papkalar uchun qanday ishlashini belgilaydigan mahalliy sozlash faylidir. Ildiz papkaga joylashtirilganda odatda butun saytga ta’sir qiladi; masalan, public_html papkasidagi .htaccess fayli, domen nomingizning asosiy veb ildizida ishlaydigan qoidalarni boshqaradi. Pastki papkaga qo‘yilganda esa faqat o‘sha papka va uning ostidagi yo‘llar uchun amal qilishi mumkin.
Ushbu fayl orqali server darajasida kirish nazorati amalga oshirilishi mumkinligi sababli, ilova kodiga yetib borishdan oldin ayrim so‘rovlar bloklanishi mumkin. Masalan, admin papkasini parol bilan himoya qilsangiz, tajovuzkor WordPress, maxsus panel yoki PHP faylingizga yetib borishdan oldin server tomonidan autentifikatsiyaga uchraydi. Ushbu yondashuv, brute force urinishlarini kamaytiradi va ilova qatlamidagi zaifliklardan foydalanishni qiyinlashtiradi.
.htaccess faylining xavfsizlik nuqtai nazaridan asosiy afzalliklari quyidagilardir:
- Ilova kodini o‘zgartirmasdan kirish qoidalari belgilanishi mumkin.
- Ayrim papkalar foydalanuvchi nomi va parol bilan himoyalanishi mumkin.
- HTTP so‘rovlari avtomatik ravishda HTTPS’ga yo‘naltirilishi mumkin.
- Papka ro‘yxati, nozik fayllarga kirish va hotlink ishlatilishi cheklanishi mumkin.
- Xavfsizlik sarlavhalari bilan brauzer xatti-harakati yanada xavfsiz holatga keltirilishi mumkin.
- IP manziliga, fayl kengaytmasiga yoki so‘rov turiga qarab cheklov qo‘yilishi mumkin.
Shu bilan birga, .htaccess barcha xavfsizlikni yakka o‘zi ta’minlamaydi. Yangilangan dastur, kuchli parol siyosati, muntazam zaxiralash, ishonchli hosting infratuzilmasi, WAF, zararli dasturlarni tekshirish va SSL sertifikati bilan birgalikda eng samarali natijani beradi. hosting xavfsizligi WordPress xavfsizligi
.htaccess Faylini Shifrlash Mantiqi: Basic Auth va .htpasswd
.htaccess faylini shifrlash iborasi odatda ikki xil ma’noni anglatadi. Birinchisi, biror papkaga kirishda foydalanuvchi nomi va parol so‘rash; ikkinchisi, .htaccess faylining o‘zini tashqaridan ko‘rinishini oldini olish. Birinchi amaliyot Basic Auth bilan, ikkinchi amaliyot esa faylga kirishni cheklash qoidalari bilan amalga oshiriladi.
Basic Auth tuzilmasida .htaccess fayli autentifikatsiya qoidasini o‘z ichiga oladi, .htpasswd fayli esa foydalanuvchi nomi va shifrlangan parol ma’lumotini saqlaydi. Parol ochiq matn sifatida saqlanmasligi kerak. Zamonaviy tizimlarda bcrypt, Apache MD5 yoki SHA asosidagi hash usullari qo‘llaniladi. Eng xavfsiz yondashuv, hosting boshqaruv panelingizning papka maxfiyligi yoki parol bilan himoyalangan papka xususiyatidan foydalanishdir; chunki bu panellar ko‘pincha .htpasswd faylini to‘g‘ri joyga qo‘yadi va parolni hash qilish jarayonini avtomatik bajaradi.
Namunaviy parol himoyasi qoidasi quyidagicha:
AuthType Basic
AuthName Himoyalangan Hudud
AuthUserFile /home/foydalanuvchi/.htpasswd
Require valid-user
Ushbu to‘rt qatorning ma’nosi oddiy: Autentifikatsiya turi Basic sifatida belgilanadi, brauzerda ko‘rinadigan hudud nomi aniqlanadi, foydalanuvchi parollarining joylashgan .htpasswd faylining to‘liq server yo‘li ko‘rsatiladi va faqatgina haqiqiy foydalanuvchilarning kirishiga ruxsat beriladi. Bu yerda eng ko‘p uchraydigan xato, AuthUserFile qatoriga URL yozishdir. To‘g‘ri qiymat veb-manzil emas, balki serverdagi fizik fayl yo‘lidir. Masalan, https://sitenomi.uz/.htpasswd noto‘g‘ri; /home/foydalanuvchi/.htpasswd to‘g‘ri formatga yaqin.
.htpasswd Fayli Qayerda Saqlanishi Kerak?
.htpasswd faylini iloji boricha public_html tashqarisida saqlang. Shu tariqa, noto‘g‘ri server sozlamasi bo‘lsa ham fayl to‘g‘ridan-to‘g‘ri veb orqali chaqirib bo‘lmaydi. Masalan, saytingiz /home/hisobnomi/public_html ichida ishlayotgan bo‘lsa, .htpasswd faylini /home/hisobnomi/.htpasswd kabi veb ildizining tashqarisiga joylashtirish xavfsizroqdir.
Fayl ruxsatlari nuqtai nazaridan amaliy boshlang‘ich qiymat .htpasswd uchun 640 yoki 644, .htaccess uchun 644 bo‘lishi mumkin. Server sozlamasiga qarab turli ruxsatlar talab qilinishi mumkin; ammo 777 kabi hamma tomonidan yoziladigan ruxsatlar xavfsizlik xavfini keltirib chiqaradi va ishlatilmasligi kerak.
Bosqichma-Bosqich .htaccess bilan Papkani Shifrlash
Quyidagi bosqichlar, ayniqsa admin, panel, test, staging, hisobot yoki mijozga tegishli fayl papkalarini himoyalashni istagan foydalanuvchilar uchun mos keladi. Jarayonga boshlashdan oldin mavjud .htaccess faylingizning zaxirasini oling. Noto‘g‘ri belgi ham 500 Internal Server Error xatosiga olib kelishi mumkin.
1. Himoyalanadigan Papkani Belgilang
Avval qaysi papkani shifrlamoqchi ekanligingizni aniqlang. Masalan, faqat sitenomi.uz/admin hududini himoyalashni istasangiz .htaccess faylini admin papkasining ichiga qo‘yishingiz mumkin. Butun saytni vaqtincha yopib, faqatgina vakolatli shaxslarga ochishni istasangiz, qoidani ildiz papkadagi .htaccess fayliga qo‘shishingiz mumkin.
2. .htpasswd Foydalanuvchisini Yaratish
Hosting boshqaruv panelingizda parol bilan himoyalangan papka vositasi mavjud bo‘lsa, eng amaliy usul shudir. Vosita bo‘lmasa, SSH kirishi mavjud serverlarda htpasswd buyrug‘i bilan foydalanuvchi yaratilishi mumkin. Namunaviy mantiq quyidagicha: htpasswd -c /home/foydalanuvchi/.htpasswd admin. Ushbu buyruq admin foydalanuvchisi uchun parol ishlab chiqaradi va faylga saqlaydi. Mavjud faylga yangi foydalanuvchi qo‘shayotganda -c parametrini ishlatmang; aks holda fayl qayta yaratilishi mumkin.
3. .htaccess Qoidasini Qo‘shing
Himoyalanadigan papkadagi .htaccess fayliga quyidagi qatorlarni qo‘shing:
AuthType Basic
AuthName Boshqaruv Paneli
AuthUserFile /home/foydalanuvchi/.htpasswd
Require valid-user
Saqlaganingizdan so‘ng brauzerdan tegishli papkaga kiring. Foydalanuvchi nomi va parol ekrani chiqsa, jarayon muvaffaqiyatli. Parol to‘g‘ri bo‘lishiga qaramay kirish amalga oshmayotgan bo‘lsa, AuthUserFile yo‘li xato bo‘lishi yoki .htpasswd fayl ruxsatlari server tomonidan o‘qib bo‘linmayotgan bo‘lishi mumkin.
4. HTTPS Siz Ishlatmang
Basic Auth autentifikatsiya ma’lumotini Base64 bilan uzatadi; bu haqiqiy ma’noda kuchli shifrlash emas. Trafik HTTP orqali ketayotgan bo‘lsa, tarmoqni tinglayotgan kimsa foydalanuvchi nomi va parolni qo‘lga kiritishi mumkin. Shu sababli .htaccess faylini shifrlash qoidasi har doim HTTPS majburiyati bilan birgalikda qo‘llanilishi kerak. Hostragons’da SSL’ni faollashtirib va keyin HTTPS yo‘naltirish qoidasini qo‘shib, ushbu xavfni kamaytirishingiz mumkin. SSL o‘rnatish HTTPS yo‘naltirish
HTTPS Majburiyati va www Yo‘naltirish
Sayt xavfsizligini oshirishning eng asosiy qadamlaridan biri bu barcha trafikni HTTPS’ga yo‘naltirishdir. SSL sertifikati faol bo‘lgandan keyin ildiz papkadagi .htaccess fayliga quyidagi mantiqda qoida qo‘shilishi mumkin:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ushbu qoida HTTP bilan kelgan so‘rovlarni bir xil domen nomi va bir xil yo‘l orqali HTTPS’ga o‘tkazadi. Doimiy yo‘naltirish ma’nosini anglatuvchi 301, SEO nuqtai nazaridan ham to‘g‘ri signal beradi. Ammo saytingizda teskari proksi, CDN yoki yuk balanslagich mavjud bo‘lsa, HTTPS holati turli sarlavhalardan o‘qilishi mumkin. Bunday holatlarda hosting provayderingiz tavsiya qilgan yo‘naltirish qoidasi afzal ko‘rilishi kerak.
www va www bo‘lmagan domen nomi tanlovi ham izchil bo‘lishi kerak. Masalan, barcha trafikni www bo‘lmagan versiyaga o‘tkazishni istasangiz quyidagi yondashuvdan foydalanilishi mumkin:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.namunadomen\.uz$ [NC]
RewriteRule ^(.*)$ https://namunadomen.uz/$1 [L,R=301]
Bu yerda namunadomen.uz maydonini o‘z domen nomingiz bilan almashtirishingiz kerak. Bir vaqtning o‘zida ham HTTPS ham www yo‘naltirishi qilayotgan bo‘lsangiz, zanjirsimon yo‘naltirish yaratmaslikka e’tibor bering. Ideal tuzilma, foydalanuvchini bir qadamda yakuniy URL’ga yetkazadi. domen yo‘naltirish SEO mos yo‘naltirish
.htaccess bilan Sayt Xavfsizligini Oshiradigan Asosiy Buyruqlar
Quyidagi jadval, eng ko‘p ishlatiladigan .htaccess xavfsizlik buyruqlarini va ular qachon qo‘llanilishi kerakligini umumlashtiradi. Har bir buyruqni qo‘shishdan oldin mavjud sozlamalaringizni tekshiring; ba’zi WordPress, Laravel yoki maxsus CMS qoidalari bilan ziddiyat yuzaga kelishi ehtimoli bor.
| Maqsad | Namunaviy Buyruq yoki Direktiva | Qachon Ishlatiladi? | E’tibor Beriladigan Jihat |
|---|---|---|---|
| Papka shifrlash | AuthType Basic, Require valid-user | Admin, staging, hisobot papkalari | Albatta HTTPS bilan birgalikda ishlatilishi kerak |
| HTTPS majburiyati | RewriteCond %{HTTPS} off | Butun sayt trafigini xavfsiz qilish uchun | CDN mavjud bo‘lsa maxsus qoida talab qilinishi mumkin |
| Papka ro‘yxatini yopish | Options -Indexes | Bo‘sh indeks fayli bo‘lmagan papkalarda | Fayl tuzilmasining ko‘rinishini oldini oladi |
| .htaccess himoyalash | Require all denied | Sozlash fayllarining o‘qilishini oldini olish uchun | Apache versiyasiga qarab sintaksis o‘zgarishi mumkin |
| Hotlink bloklash | RewriteCond %{HTTP_REFERER} | Tasvirlarning boshqa saytlarda ishlatilishini kamaytirish uchun | CDN va ijtimoiy tarmoq oldindan ko‘rishlarini sinab ko‘ring |
| Xavfsizlik sarlavhalari | Header set X-Frame-Options SAMEORIGIN | Brauzer asosidagi hujumlarni kamaytirish uchun | mod_headers faol bo‘lishi kerak |
Papka Ro‘yxatini Yopish
Biror papkada index.html, index.php yoki standart kirish fayli bo‘lmasa, server fayl ro‘yxatini ko‘rsatishi mumkin. Bu holat zaxira fayllar, tasvirlar, vaqtinchalik hisobotlar yoki eski manba kodlari nuqtai nazaridan xavflidir. Oddiy buyruq bilan papka ro‘yxati yopilishi mumkin:
Options -Indexes
Ushbu qatordan so‘ng foydalanuvchilar papka kontentini ro‘yxatlay olmaydi. Indeks fayli mavjud bo‘lmagan papkalarda odatda 403 Forbidden javobi ko‘rinadi. Ushbu xatti-harakat xavfsizlik nuqtai nazaridan istaladi.
.htaccess va Nozik Fayllarga Kirishni Bloklash
.htaccess faylingiz veb orqali ko‘rsatilmasligi kerak. Apache odatda ushbu faylni standart sifatida himoya qiladi; ammo qo‘shimcha xavfsizlik qatlami sifatida quyidagi mantiqdan foydalanilishi mumkin:
<Files .htaccess>
Require all denied
</Files>
Shunga o‘xshash tarzda .env, composer.json, composer.lock, config.php.bak, backup.sql, database.sql kabi fayllar ham tashqaridan kirishga yopilishi kerak. Ayniqsa Laravel, Symfony yoki maxsus PHP ilovalarida .env fayli ma’lumotlar bazasi paroli, API kaliti va SMTP ma’lumotlarini o‘z ichiga olishi mumkin. Ushbu faylning sizib chiqishi, butun tizimning qo‘lga olinishiga qadar olib borishi mumkin.
Bir nechta nozik fayl kengaytmasini bloklash uchun quyidagi mantiq qo‘llanilishi mumkin:
<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>
Require all denied
</FilesMatch>
Bunday qoidalarni qo‘shayotganda ilovangiz haqiqatdan ham ehtiyoj sezadigan statik fayllarni bloklamayotganingizga ishonch hosil qiling. Masalan, ba’zi tekshiruv fayllari yoki integratsiya fayllari noto‘g‘ri qamrab olinsa, uchinchi tomon xizmatlari ishlamasligi mumkin.
PHP Ishlashini Ayrim Papkalarda Bloklash
Yuklash papkalari tajovuzkorlar eng ko‘p nishonga oladigan hududlardan biridir. Zaif fayl yuklash nazorati bo‘lgan tizimda zararli PHP fayli yuklansa, ushbu faylning ishga tushirilishi katta xavf tug‘diradi. Rasm yoki media yuklanadigan papkalarda PHP ishlashini o‘chirish qo‘shimcha himoya ta’minlaydi.
Tegishli yuklash papkasining ichiga bir .htaccess fayli qo‘yib, quyidagi mantiqni qo‘llashingiz mumkin:
<FilesMatch \.php$>
Require all denied
</FilesMatch>
Ushbu qoida, tegishli papkada PHP fayllariga kirishni bloklaydi. WordPress uchun wp-content/uploads papkasida shunga o‘xshash yondashuv keng tarqalgan; ammo ba’zi plaginlarning maxsus fayl ishlov berish ehtiyojlari bo‘lishi mumkinligi uchun sinab ko‘rilishi kerak.
Hotlink Bloklash Bilan Trafik Sarfini Kamaytirish
Hotlink – bu boshqa saytlarning sizning rasm fayllaringizni o‘z sahifalarida to‘g‘ridan-to‘g‘ri ishlatishidir. Bu holat tarmoqli kengligi sarfini oshiradi va ishlash muammolariga olib kelishi mumkin. Oddiy hotlink bloklash qoidasi quyidagi mantiqda:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?namunadomen\.uz [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]
Ushbu qoida, bo‘sh bo‘lmagan referer bilan kelgan va sizning domen nomingizdan kelmagan rasm so‘rovlarini bloklaydi. Ammo Google Rasmlar, ijtimoiy media oldindan ko‘rishlari, CDN domen nomlari yoki biznes hamkorlaringiz mavjud bo‘lsa, ushbu hududlarni oq ro‘yxatga qo‘shishingiz talab qilinishi mumkin. CDN foydalanish veb-sayt ishlashi
Ayrim IP Manzillarga Ruxsat Berish yoki Bloklash
Boshqaruv paneliga faqat ofis IP manzilingizdan kirishni istasangiz, IP cheklovi samarali qo‘shimcha qatlam hisoblanadi. Apache 2.4 va undan yuqori versiyalar uchun asosiy mantiq quyidagicha:
Require ip 203.0.113.10
Ushbu qoida yakka o‘zi ishlatilganda faqatgina belgilangan IP manzilga ruxsat beradi. Dinamik IP ishlatsangiz ehtiyot bo‘ling; IP o‘zgarganda o‘z panelingizga kira olmasligingiz mumkin. Moslashuvchanroq foydalanish uchun IP cheklovini parol himoyasi bilan birgalikda qo‘llash sog‘lomroq bo‘lishi mumkin.
Ayrim zararli IP manzilini bloklash uchun esa quyidagi mantiqdan foydalanilishi mumkin:
<RequireAll>
Require all granted
Require not ip 198.51.100.25
</RequireAll>
IP bloklash kichik miqyosdagi hujumlarda ish beradi; ammo botnet yoki o‘zgaruvchan IP ishlatadigan hujumlarda yakka o‘zi yetarli emas. Bu holatda ilova xavfsizlik devori, tezlikni cheklash va server tomoni xavfsizlik yechimlari samaraliroq bo‘ladi.
Xavfsizlik Sarlavhalari: Brauzer Darajasida Qo‘shimcha Himoya
.htaccess faqat kirish nazorati uchun emas, brauzer xavfsizlik sarlavhalarini boshqarish uchun ham ishlatilishi mumkin. mod_headers faol bo‘lsa quyidagi sarlavhalar ko‘plab saytlarda asosiy xavfsizlik darajasini oshiradi:
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options SAMEORIGIN
Header always set Referrer-Policy strict-origin-when-cross-origin
Header always set Permissions-Policy geolocation=(), microphone=(), camera=()
X-Content-Type-Options nosniff, brauzerning fayl turlarini taxmin qilib ishga tushirishini kamaytiradi. X-Frame-Options SAMEORIGIN, saytingizning boshqa domen nomlari ichida iframe sifatida ko‘milishini cheklaydi va clickjacking xavfini kamaytiradi. Referrer-Policy, yo‘naltirish vaqtida qaysi referer ma’lumoti ulashilishini nazorat qiladi. Permissions-Policy esa kamera, mikrofon va joylashuv kabi brauzer ruxsatlarini cheklaydi.
Content-Security-Policy ya’ni CSP yanada kuchli xavfsizlik sarlavhasidir; ammo ehtiyotkorlik bilan qo‘llanilishi kerak. Juda qattiq CSP, reklama, tahlil, to‘lov, jonli qo‘llab-quvvatlash yoki shrift xizmatlarining ishlashini buzishi mumkin. Shu sababli avval hisobot rejimida sinab ko‘rish, so‘ngra bosqichma-bosqich jonli tizimga o‘tkazish to‘g‘riroq usuldir.
Qo‘llashdan Oldin Nazorat Ro‘yxati

.htaccess o‘zgarishlari tez ta’sir qiladi. Shuning uchun xavfsizlik buyruqlarini qo‘shishdan oldin qisqa nazorat ro‘yxati bilan harakat qilish, uzilish xavfini kamaytiradi.
- Mavjud .htaccess faylining zaxirasini kompyuteringizga yuklab oling.
- SSL sertifikatingiz faol va to‘g‘ri o‘rnatilganligini tekshiring.
- Yo‘naltirish qoidalarini birma-bir qo‘shing; barcha qoidalarni bir vaqtning o‘zida o‘zgartirmang.
- 500, 403 va 404 xatoliklarini brauzer va server xatolik qaydlaridan tekshiring.
- WordPress, Laravel yoki maxsus dasturning o‘ziga xos rewrite qoidalarini o‘chirmang.
- Parol himoyasi ishlatgan hududlarda HTTPS majburiyatini sinab ko‘ring.
- CDN, kesh plagini va xavfsizlik plagini ishlatsangiz, ziddiyat ehtimolini baholang.
- Mobil, desktop va turli brauzerlarda kirish, forma va to‘lov oqimlarini sinab ko‘ring.
Qoidalarni qismlarga bo‘lib qo‘llash amaliyotda juda muhimdir. Masalan, avval Options -Indexes qo‘shib sinab ko‘ring, so‘ngra HTTPS yo‘naltirishini qo‘shing, keyin parol himoyasiga o‘ting. Shu tariqa muammo chiqqanda qaysi qator muammoga sabab bo‘lganini tezda topishingiz mumkin.
Eng Ko‘p Uchraydigan Xatolar va Yechim Yo‘llari
500 Internal Server Error
Ushbu xato odatda sintaksis xatosi, qo‘llab-quvvatlanmaydigan direktiva yoki noto‘g‘ri modul ishlatishdan kelib chiqadi. Masalan, mod_headers faol bo‘lmagan holda Header buyrug‘ini ishlatish xato chiqarishi mumkin. Yechim uchun oxirgi qo‘shgan qatorlaringizni vaqtincha olib tashlang, server xatolik qaydlarini tekshiring va hosting muhitingiz tegishli modulni qo‘llab-quvvatlashini tekshiring.
Parol Ekrani Doimiy Qaytib Kelmoqda
Foydalanuvchi nomi va parol to‘g‘ri bo‘lishiga qaramay ekran qayta-qayta kelayotgan bo‘lsa, .htpasswd yo‘li noto‘g‘ri bo‘lishi, parol hash formati server tomonidan qo‘llab-quvvatlanmasligi yoki fayl ruxsatlari xato bo‘lishi mumkin. AuthUserFile qatorida to‘liq fizik yo‘l ishlatganingizga ishonch hosil qiling.
HTTPS Yo‘naltirishi Cheksiz Tsikl Yaratmoqda
CDN yoki proksi orqasidagi saytlarda server, so‘rovni ichkarida HTTP kabi ko‘rishi va doimiy HTTPS’ga yo‘naltirishga urinishi mumkin. Bu holatda X-Forwarded-Proto kabi sarlavhalarni hisobga oluvchi maxsus qoida talab qilinishi mumkin. CDN panelingizdagi SSL rejimining Full yoki Full Strict kabi to‘g‘ri darajada bo‘lishi ham muhimdir.
Rasmlar yoki CSS Fayllari Ochilmayapti
Hotlink, FilesMatch yoki xavfsizlik sarlavhasi qoidalari juda keng yozilgan bo‘lsa, qonuniy statik fayllar ham bloklanishi mumkin. Brauzer ishlab chiquvchi vositalarida Network bo‘limini tekshirib, qaysi fayl qaysi HTTP kodi bilan bloklanayotganini ko‘rishingiz mumkin.
WordPress Saytlarda .htaccess Xavfsizligi
WordPress saytlarda .htaccess fayli doimiy bog‘lamalar uchun muhim ahamiyatga ega. Shu sababli WordPress tomonidan yaratilgan BEGIN WordPress va END WordPress orasidagi qoidalarni keraksiz ravishda o‘zgartirmaslik kerak. Xavfsizlik qoidalarini odatda ushbu bloklarning ustiga yoki ostiga qo‘shish xavfsizroqdir.
WordPress uchun qo‘llanilishi mumkin bo‘lgan amaliy choralar quyidagilardir:
- wp-admin papkasiga qo‘shimcha Basic Auth himoyasi qo‘llash.
- wp-content/uploads ichida PHP ishlashini bloklash.
- xmlrpc.php ishlatilmasa, kirishni cheklash.
- readme.html va litsenziya fayllarining ko‘rinishini kamaytirish.
- HTTPS yo‘naltirishini WordPress sayt manzillari bilan mos qilish.
Ayniqsa wp-admin uchun ham WordPress foydalanuvchi paroli, ham .htaccess parol himoyasi ishlatish, ikki qatlamli mudofaa ta’minlaydi. Ammo AJAX ishlatadigan ba’zi plaginlar wp-admin/admin-ajax.php fayliga ehtiyoj sezgani uchun butun wp-admin papkasini ko‘r-ko‘rona yopish ba’zi xususiyatlarni buzishi mumkin. Shu sababli jonli saytda sinab ko‘rish shart. WordPress hosting WordPress tezlashtirish
.htaccess Xavfsizligi Uchun Professional Maslahatlar
Tajribali tizim administratorlari eng ko‘p e’tibor beradigan masala, xavfsizlik va barqarorlik o‘rtasidagi muvozanatdir. Juda agressiv qoidalar qisqa muddatda xavfsiz ko‘rinsa-da, uzoq muddatda xizmat ko‘rsatish xarajatini oshirishi mumkin. Shuning uchun har bir qoidaning maqsadi, qamrovi va sinov natijasi qayd etilishi kerak.
- Muhim o‘zgarishlardan oldin sanali zaxira oling: htaccess-2026-01-15.bak kabi.
- Bitta .htaccess fayliga keraksiz yuzlab qoidalar qo‘shishdan saqlaning.
- 301 yo‘naltirishlari doimiy bo‘lgani uchun brauzer va qidiruv tizimi keshini hisobga oling.
- Xavfsizlik sarlavhalarini qo‘shgandan so‘ng brauzer konsolidagi xatolarni tekshiring.
- Parol bilan himoyalangan papkalarda ulashilgan zaif parollar o‘rniga shaxsga asoslangan foydalanuvchilar yarating.
- Test, staging va zaxira papkalarini qidiruv tizimlaridan oldin server darajasida yoping.
Yana bir muhim jihat – xavfsizlik qoidalarini muntazam ko‘rib chiqishdir. Bugun ishlatilgan bir integratsiya ertaga olib tashlangan bo‘lishi mumkin; ammo unga maxsus ochiq qoldirilgan bir yo‘l .htaccess ichida unutilishi mumkin. Har chorakda qisqa xavfsizlik tekshiruvi o‘tkazish, keraksiz ruxsatlarni tozalash va eski yo‘naltirishlarni tartibga solish yaxshi odatdir.
Xulosa: Kichik Fayl, Katta Xavfsizlik Qatlami
.htaccess faylini shifrlash va sayt xavfsizligini oshirish buyruqlari, to‘g‘ri ishlatilganda veb-saytingizning hujumlarga qarshi birinchi mudofaa chizig‘ini mustahkamlaydi. Papkalarni parol bilan himoyalash, HTTPS majburiyatini joriy qilish, papka ro‘yxatini yopish, nozik fayllarga kirishni bloklash va xavfsizlik sarlavhalarini faollashtirish; aksariyat veb-saytlar uchun qo‘llash mumkin, o‘lchovli va samarali qadamlardir.
Shunga qaramay, .htaccess xavfsizligi yakka o‘zi yetarli emas. Ishonchli hosting infratuzilmasi, yangilangan dastur, SSL sertifikati, muntazam zaxiralash va kuchli parol siyosati bilan birgalikda o‘ylanishi kerak. Hostragons’da veb-saytingizni joylashtirgan holda SSL, hosting va domen nomi boshqaruvi kabi asosiy xavfsizlik komponentlarini yagona paneldan boshqarishingiz; ehtiyoj sezganingizda yanada xavfsiz tuzilma sari bosqichma-bosqich ilgarilashingiz mumkin. veb-hosting paketlari domen sotib olish SSL sertifikatlari
Ko‘p Beriladigan Savollar
.htaccess faylini shifrlash haqiqatan ham fayllarni shifrlaydimi?
Yo‘q. Odatda bu ibora, papkalarning foydalanuvchi nomi va parol bilan himoyalanishi ma’nosida ishlatiladi. Basic Auth kirishni cheklaydi; ma’lumot uzatilishining xavfsiz bo‘lishi uchun SSL bilan HTTPS ishlatilishi kerak.
.htpasswd faylini public_html ichida saqlash xavfsizmi?
Tavsiya etilmaydi. Eng xavfsiz yondashuv .htpasswd faylini public_html tashqarisida, veb orqali to‘g‘ridan-to‘g‘ri kirib bo‘lmaydigan papkada saqlashdir. Shu tariqa noto‘g‘ri sozlash xavfida ham faylning ko‘rsatilish ehtimoli kamayadi.
.htaccess o‘zgarishidan so‘ng 500 xatosi olsam nima qilishim kerak?
Avval oxirgi qo‘shgan qatorlaringizni olib tashlang yoki zaxira faylga qayting. So‘ngra server xatolik qaydlarini tekshiring. Xato ko‘pincha imloviy xato, qo‘llab-quvvatlanmaydigan direktiva yoki faol bo‘lmagan Apache modulidan kelib chiqadi.
WordPress wp-admin papkasini .htaccess bilan shifrlash to‘g‘rimi?
Ha, qo‘shimcha xavfsizlik qatlami ta’minlashi mumkin. Ammo ba’zi plaginlar admin-ajax.php kabi fayllarga ehtiyoj sezgani uchun qo‘llashdan so‘ng kirish, izoh, savatcha, to‘lov va forma jarayonlari albatta sinab ko‘rilishi kerak.
HTTPS yo‘naltirishi SEO nuqtai nazaridan zararlimi?
To‘g‘ri qo‘llangan 301 HTTPS yo‘naltirishi zararli emas; aksincha xavfsiz va izchil URL tuzilmasi ta’minlaydi. Muhimi yo‘naltirish zanjiri yaratmaslik va barcha ichki bog‘lamalarni yakuniy HTTPS manzillari bilan mos tutishdir.