网站安全性不容小视,尤其是是对于后台管理目录的访问需要格外的严格控制,否则一旦被人得到网站管理员的密码,再通过后台管理可能的上传操作就可以拿下整个网站了。但是,目前一般来说我们对后台管理的权限都是通过程序本身的密码限制的,而程序本身的密码又受到了自身的安全性限制。因此需要更为底层的访问限制来保障网站的安全性。当然,备份工作也不能忽视。
.htaccess文件便是Apache下的一个分布式配置文件,其对于网站的各种功能配置有非常重要的作用,我们也可以通过这个文件来限制对网站的访问。下面我将具体说明配置方法:
1、为网站的重要目录(比如后台管理)设置Apache访问控制密码。
首先建立一个名称为.htpasswd的文本文件,里面输入设置好的访问控制用户名和密码。文件内容因涉及到加密算法,需要打开 http://tool.veryhuo.com/htaccess/在线生成页面,然后选择“文件夹密码保护”栏目,让你后输入你想要的用户名和密码,最后点击“创建.htpasswd内容”按钮,下面将会显示该文件的内容。
注意,该文件的内容应该类似于:
username:gQQ/SeV/5y2bM
冒号前面的是用户名,后面的是加密后的密码,请不要手动更改。创建完成后,请将此文件上传至无法通过HTTP访问到的目录下,然后记录下这个文件的绝对路径。
上传后,手动建立一个内容如下的名为.htaccess的文件:
AuthUserFile /home/foo/bar/.htpasswd
AuthGroupFile /dev/null
AuthName “Please enter your ID and password”
AuthType Basic
require valid-user
其中第一行“/home/foo/bar/.htpasswd”为.htpasswd文件的绝对地址,请根据实际情况进行修改。然后将此文件上传到需要保护的目录下即可。
此时,访问受保护的目录,将会弹出一个需要登录获取访问权限的窗口,输入你设置的用户名和密码,才能看见程序的登陆页面。并且,这个密码是非常安全的。它并没有记录在网站的数据库中,也没有记录在网站的目录下。并且,任何对受保护目录的访问都需要进行授权。因此安全性非常高。
2、阻止某些IP对网站的访问。
比如希望阻止某一IP对网站的访问以提高安全性,可以直接将IP地址拒绝。也是通过.htaccess文件实现。在.htaccess文件中加入以下内容:
order deny,allowdeny from 127.0.0.1
上面的127.0.0.1即是网站拒绝需要访问的IP地址。然后将.htaccess文件上传到网站的根目录下即可。