Tổng hợp Cách Tối ưu và bảo mật website bằng file .htaccess

.Htaccess là viết tắt của cụm từ Hypertext Access, file htaccess là một tập tin dùng trong việc cấu hình máy chủ Apache. Bạn có thể cấu hình file .htaccess giúp bạn bảo mật cho website, bảo vệ các thư mục trên website.

Tối ưu và bảo mật website bằng file .htaccessSử dụng file .htaccess để tối ưu và bảo mật website của bạn hơn: bảo vệ các file quan trọng, giới hạn upload, chuyển hướng 301, trang lỗi tùy chỉnh, tắt liệt kê nội dung thư mục, nén nội dung…

Tạo file .htaccess.
Mở Notepad hoặc Notepad++ hoặc phần mềm text editor. Lưu và Đặt tên file htaccess.txt.

2. Nhập nội dung vào file htaccess.txt.

Bảo vệ file file htaccess

  1. order allow,deny
  2. deny from all
  3.  

Tắt chữ ký số của web server

  1. # disable the server signature
  2. ServerSignature Off

Giới hạn file upload

  1. # limit file uploads to 10mb
  2. LimitRequestBody 10240000

Bảo vệ file cấu hình config.php

  1. order allow,deny
  2. deny from all
  3.  

 

Giới hạn truy cập, chặn IP

  1. order allow,deny
  2. #deny from 000.000.000.000
  3. allow from all


Tạo Trang lỗi tùy chỉnh

  1. # custom error docs
  2. ErrorDocument 404 /notfound.php
  3. ErrorDocument 403 /forbidden.php
  4. ErrorDocument 500 /error.php

 

Tắt liệt kê nội dung thư mục

Options All -Indexes
 

 

Chuyển hướng 301

Redirect 301 /old.php http://www.yourdomain.com/new.php


Khóa tên miền tham chiếu

  1. RewriteEngine on
  2. RewriteCond %{HTTP_REFERER} digg.com [NC]
  3. RewriteRule .* – [F]


Chống ăn cắp băng thông

  1. #disable hotlinking of images with forbidden or custom image option
  2. RewriteEngine on
  3. RewriteCond %{HTTP_REFERER} !^$
  4. RewriteCond %{HTTP_REFERER} !^http://(www.)?yourdomain.com/.*$ [NC]
  5. #RewriteRule .(gif|jpg)$ – [F]
  6. #RewriteRule .(gif|jpg)$ http://www.yourdomain.com/stealingisbad.gif [R,L]

 

Nén file

  1. # php compression – use with caution
  2. php_value zlib.output_compression 16386
  3.  

 

Tránh trùng lặp nội dung

  1. # set the canonical url
  2. RewriteEngine On
  3. RewriteCond %{HTTP_HOST} ^yourdomain.com$ [NC]
  4. RewriteRule ^(.*)$ http://www.yourdomain.com/$1 [R=301,L]
     

 

Chống spam comments

  1. RewriteEngine On
  2. RewriteCond %{REQUEST_METHOD} POST
  3. RewriteCond %{REQUEST_URI} .comments-post.php*
  4. RewriteCond %{HTTP_REFERER} !.*yourdomain.com.* [OR]
  5. RewriteCond %{HTTP_USER_AGENT} ^$
  6. RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]


3. Upload htaccess.txt lên server.

Sử dụng ftp client (sử dụng ASCII mode) và đổi tên file là .htaccess.

CHMOD file .htaccess sang 644.

4. Kiểm tra kết quả.

Apache cung cấp khả năng cấu hình qua những files truy cập siêu văn bản .htaccess., cho phép thay đổi tinh chỉnh của Apache (httpd.conf). Đảm bảo file này được ấn định một mức độ bảo mật nhất định, tránh những truy cập bất hợp pháp từ bên ngoài (xem, sửa, xóa) những tinh chỉnh này.

5. Định nghĩa .htaccess:

Để làm được như vậy, trước tiên bạn cần chmod file .htaccess là 644, về chmod bạn có thể tìm hiểu ở nhiều tài liệu, hoặc google. .htaccess có tác dụng trên thư mục hiện hành (nơi chưa nó) và tất cả các thư mục con. Vì vậy, muốn sử dụng .htacess để quản lí truy cập vào website của mình, đơn giản bạn chỉ việc soạn thảo một file .htaccess, và lưu nó vào thư mục root của website.

6.Comment trong .htaccess:

Nếu đã sử dụng và một lần sửa đổi cấu hình Apache thì chắc chắn bạn cũng biết, muốn sử dụng một module nào đó trong những available modules, bạn phải xóa dấu “#” (hash). Dấu “#” này dùng để định nghĩa một đoạn comment trong httpd.conf, và .htaccess cũng vậy. Một ví dụ:

#Enable Rewrite mod << đây là comment, dòng này sẽ không được thực thi #trong .htaccess
RewriteEngine on

 

7. Những chú ý quan trọng:.htaccess là một công cụ rất mạnh trong việc quản lí website. Một lỗi cú pháp nhỏ (thậm chí là một khoản trắng) cũng khiến website của bạn hoạt động không được bình thường như trước. Sau khi áp dụng .htaccess, bạn nên kiểm tra một lượt website của mình xem .htaccess có gây ra lỗi ở phần, trang con nào không? Do vậy trước khi làm việc với .htaccess, bạn nên backup cẩn thận dữ liệu của mình, nếu có trục trặc xảy ra, việc khôi phục trở nên đơn giản.

8. Vấn đề về performance:
.htaccess cho phép bạn cấu hình mà không cần động chạm vào cấu hình chính của Apache. Tuy nhiên, về mặt hiệu năng và bảo mật, nếu có thể, bạn nên sử dụng httpd.conf hơn là sử dụng .htaccess. Cụ thể, khi được cấu hình để sử dụng .htaccess, thi Apache sẽ tìm kiếm tất cả những folder có chứa .htaccess để thực thi, và nó sẽ thực thi tất cả những file .htaccess tìm được. Do vậy, sẽ làm website của bạn trở nên ì ạch một cách không cần thiết. Nếu website của bạn là website cá nhân, hoặc ít người truy cập, thì đó là chuyện nhỏ. Nhưng nếu là một website đại chúng (báo điện tử, trang nhạc, film..) thì đây là một vấn đề rất lón. Do vậy .htaccess chỉ có tác dụng trong trường hợp bạn không có quyền cấu hình trên httpd.conf của Apache.

9. Những kí tự đặc biệt sử dụng khi cấu hình .htaccess

#

Như đã nói ở trên, # đặt trước một dòng để định nghĩa dòng này là một đoạn comment, dòng này sẽ không được thực thi cho đến khi bạn xóa dấu “#” đi. Khi comment, bạn chỉ nên sử dụng các chữ cái, số, dấu gạch ngang hoặc gạch dưới để tránh những lỗi cú pháp không cần thiết.

[F]

Forbidden: Kí tự này dùng để chỉ định server sẽ trả về client trang lỗi 403 nếu truy cập vào những nơi không được phép

[L]

Last rule: kí tự này để ấn định rằng bước trước đã xong thì ngừng và không tiếp tục thực thi lệnh rewrite tiếp theo nữa.

[N]

Next: chỉ thị cho server tiếp tục rewrite cho đến khi tất cả các mục chỉ định được rewrite hoàn toàn.

[G]

Gone: Chỉ định server trả về client trang báo lỗi không tồn tại (no longer exit)

[P]

Proxy: chỉ định server điểu kiển các yêu cầu được ấn định bởi mod_proxy

[C]

Chain: Chỉ định server thực hiện rule hiện hành song song với rule trước đó

[R]

Redirect: chỉ định server đổi hướng request sang một trang khác trong trường hợp trình duyệt gởi yêu cầu duyệt một trang được sửa chữa đường dẫn (rewrite) trước đó.

[NC]

No-case: Chỉ định server match những kí tự tương tự nhau, ví dụ dòng lệnh sau:

  1. RewriteCond %{HTTP_REFERER} !^http://domain.com/.*$ [NC]
  2. #Thì referrer là domain.com || Domain.com || DoMain.com…đều được match.

 

[PT]

Pass Through: có nghĩa là dùng kí tự để buộc “rewrite engine” ấn định bảng giá trị của uri trở thành giá trị của tên files

[OR]

Đây có thể gọi là một toán tử, các biểu thức được nối tiếp nhau bằng toán tử OR, trong đó biểu thức nào đúng, sẽ là quy tắc để lệnh Rewrite áp dụng.
Ví dụ:

  1. RewriteBase /
  2. RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR]
  3. RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR]
  4. RewriteCond %{HTTP_USER_AGENT} ^attach [OR]
  5. RewriteRule ^.* – [F,L]

 

Như vậy, mỗi dòng Rewritecond là một biểu thức chỉ định USER_AGENT, nếu bất cứ USER_AGENT nào match, thì RewriteRule sẽ được áp dụng, sau đó ngừng.
Vì sao ngừng: Một request chỉ có một USER_AGENT, vì vậy không cần thiết phải quay trở lại kiểm tra các biểu thức còn lại, sẽ làm giảm hiệu năng phục vụ.
Lời bàn:như ở trên đã nói, bạn chỉ sử dụng những chức năng này của .htaccess nếu không có quyền cấu hình trên Apache và firewall. Những chức năng lọc và chặn User agents Mod_security và Iptables đều có thể thực hiện được, vì vậy nếu đã có rule cho iptables và Mod_security, việc thêm rule trên cho .htaccess là dư thừa, và không cần thiết.

[NE]

No Escape: Chỉ định server xử lí các gói tin trả về mà không dùng kí tự thoát

[NS]

No Subrequest: Chỉ định server bỏ qua thư mục hiện hành nếu request nhắm vào thư mục con.

[QSA]

Append Query String: chỉ định server gắn chuỗi truy vấn vào cuối cùng của URL

[S=x]

Skip: Chỉ định server bỏ qua không xem xét các X rules tiếp theo nữa nếu một rule đã được thực thi.

[T=MIME-type]

MIME-type: Khai báo định dạng files của server

[]

Chỉ định các kí tự đặt đặt trong [] sẽ được match. Cụ thể [xyx] thì các request có mang theo các kí tự x, y hoặc z sẽ được match.

[]+

Tương tự như trên, nhưng trong trường hợp này, nếu ta đặt [xyz]+ thì tất cả các request có mang theo kí tự x, y, z hoặc x’s, y’s. z’s hoặc sự kết hợp của x,y,z với bất kì kí tự nào đều được match.
[^]

Ngược lại với [], các kí tự được đặt theo dạng [xyz^] sẽ không được match.

[a-z]

Dấu ‘-‘ đặt giữa 2 kí tự bên trong cặp dấu [] sẽ match tất cả các kí tự nằm trong khoảng từ kí tự đầu đến kí tự cuối. Ví dụ [a-bA-B] sẽ match tất cả các kí tự thường vào in hoa abcd và ABCD.

a{n}

Sẽ chỉ định chính xác n kí tự a được match. Ví dụ a{3} thì 3 kí tự a sẽ được match.

a{n,}

Tương tự như trên, nhưng trong trường hợp này sẽ match các kí tự a từ na trở lên.

a{n,m}

Chỉ định một khoảng chính xác các kí tự (m-n)a sẽ được match.

()

Nhóm các phương thức truyền dữ liệu (method).

Ví dụ:

  1. RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
  2. Các request bắt đầu (^) HEAD, TRACE, DELETE hoặc TRACK sẽ được match.


^

Bắt đầu bằng (xem ví dụ ở trên).
$

Kết thúc bằng ( .*$: kết thúc bằng bất cứ gì)
?

Thường dùng chung với (), như trong trường hợp test(ti)? thì test hoặc ti sẽ được match.

!

Phủ định. VD: “!string” sẽ match tất cả các kí tự, ngoại trừ string

Loại đi một chức năng, hoặc một rule đang thực thi nào đó.

Ví dụ:

# không cho xem chỉ mục trong một folder nào đó
Options All –Indexes

 

+

Chỉ định 1 hoặc nhiều kí tự cho trước sẽ được match. Hoặc thêm một chức năng nào đó VD: G+ sẽ match tất cả các kí tự G, Gs, Gx, G..

*

Tất cả đều được match. Ví dụ:

  1. RewriteCond %{HTTP_REFERER} !^http://domain.com/.*$
  2. Thì tất cả request files không mở đầu bằng _http://domain.com đều được match.


|

Hoặc. Ví dụ x|y thì hoặc x hoặc y sẽ được match.

Kí tự thoát. VD: www.domainname.com Chỉ có www được match, chứ không có wwww hoặc wwwww, domainname chứ không có domainnames hoặc domainnamex…
-d

Kiểm tra thư mục có tồn tại hay không?
-f

Kiểm tra file có tồn tại hay không

-s

Kiểm tra giá trị của file có khác 0 hay không?

10. Mã chuyển hướng trang báo lỗi

– 401 – Authorization Required : Lỗi chưa được xác thực user và password
– 400 – Bad request : Lỗi truy cập không hợp lệ, do server không chấp nhận request, hoặc request thiếu một số yêu cầu nào đó.
– 403 – Forbidden : Lỗi truy cập vào trang bị cấm
– 500 – Internal Server Error : Lỗi do server
– 404 – Wrong page : Lỗi truy cập vào trang không tồn tại
– 301 – Moved Permanently: 302 – Moved Temporarily: Lỗi truy cập vào trang đã bị di chuyển.

Nguồn : Internet

Đăng bởi: admin, ngày 19/02/2019 00:23 AM

2018 Copyright © Sài Gòn Web Co.,Ltd . All rights reserved. Design by saigonwebsite.com.vn

Đang online: 2 | Trong ngày: 336 | Truy cập tháng: 13445 | Tổng truy cập: 448105

Zalo
Hỗ Trợ 24/7: 0903 633 141
Hotline: 0903 633 141
Email: info@saigonwebsite.com.vn

MIỄN PHÍ TÊN MIỀN KHI THIẾT KẾ WEBSITE

 

Nhập thông tin của bạn để nhận ưu đãi và tư vấn hỗ trợ tốt nhất.