Tutela della password Proteggi un sito Web Apache utilizzando .htaccess

Come

DiSteve Krause

Ultimo aggiornamento il7 maggio 2018

Se stai gestendo il tuo sito Web con Apache, proteggere il sito con una password è un processo semplice. Di recente ho eseguito il processo su una finestra di Windows (la maggior parte degli scatti di seguito) tuttavia i passaggi sono praticamente gli stessi per i siti Apache di Windows o Linux.

Passaggio 1: configura il tuo file .htaccess

Tutto il lavoro sarà svolto usando il tuo file .htaccess. Puoi trovare questo file alla radice della maggior parte dei siti Web Apache.

Lo screenshot è stato preso da un'installazione vanilla di WordPress in esecuzione su Windows 2003 Server:

Il file .htaccess viene controllato da Apache prima di visualizzare le pagine Web. In genere viene utilizzato per ReWrites o ReDirects, tuttavia è anche possibile utilizzarlo per sfruttare le funzionalità di sicurezza integrate di Apache.

Quindi, il primo passo è aggiungere alcuni parametri al file. Di seguito è riportato un file .htaccess di esempio. (SUGGERIMENTO: io uso notepad ++ per modificare la maggior parte dei file PHP e correlati)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Inserisci utente e PW" AuthType Basic. richiede un utente valido

Qualche spiegazione:

AuthUserFile: APACHE richiede l'ubicazione del file Utente / Password. Basta inserire il percorso completo del file di database delle password come mostrato sopra. L'esempio sopra è tratto dalla mia finestra di Windows. Se stai eseguendo Linux, sarebbe qualcosa del tipo: AuthUserFile /full/path/to/.htpasswd

AuthName: Questo campo definisce il titolo e il testo per la finestra popup che richiederà il nome utente e PW. Puoi fare tutto ciò che vuoi. Ecco un esempio sulla mia casella di prova:

AuthType: Questo campo indica ad Apache quale tipo di autenticazione viene utilizzata. In quasi tutti i casi, "Basic" va bene (e il più comune).

Richiede un utente valido: Quest'ultimo comando fa sapere ad Apache che l'OMS è autorizzato. Usando "valid-user“, stai dicendo ad Apache CHIUNQUE è autorizzato ad autenticarsi se ha un nome utente e una password validi.

Se si preferisce essere più ESATTI, è possibile specificare un UTENTE o UTENTI specifici. Questo comando sarebbe simile a:

Richiedi all'utente mrgroove groovyguest

In questo caso, solo gli utenti mrgroove e groovyguest potranno accedere alla pagina / directory che stai proteggendo (dopo aver fornito ovviamente il nome utente e la password corretti). A tutti gli altri utenti (inclusi quelli validi) verrà negato l'accesso. Se vuoi consentire a più utenti, basta separarli con spazi.

Quindi, ora che abbiamo effettuato tutte le impostazioni di configurazione, ecco come dovrebbe essere il tuo file .htaccess finito:

La schermata è tratta da una finestra del server Windows 2003 che esegue WordPress:

Passaggio 2: creare il file .htpasswd

La creazione del file .htpasswd è un processo semplice. Il file non è altro che un file di testo contenente un elenco di utenti e le loro password crittografate. Ogni stringa utente deve essere separata sulla sua riga. Personalmente, lo uso e basta notepad ++ o Blocco note di Windows per creare il file.

Di seguito è riportato un esempio di file .htpasswd con due utenti:

Sebbene Apache non "richieda" all'utente di crittografare le password, è un processo semplice sia per i sistemi Windows che Linux.

finestre

Passare alla cartella BIN di Apache (solitamente disponibile in C: \ Programmi \ Apache Group \ Apache2bin) ed eseguire lo strumento htpasswd.exe per generare una stringa nome utente / password crittografata MD5. Puoi anche usare lo strumento per creare il file .htpasswd per te (qualunque cosa funzioni ...). Per tutti i dettagli, basta eseguire l'opzione help dalla riga di comando (htpasswd.exe /?).

In quasi tutti i casi, tuttavia, basta eseguire il comando seguente:

htpasswd -nb password nome utente

Una volta eseguito il comando, lo strumento htpasswd.exe genererà la stringa utente con la password crittografata.

La seguente schermata è un esempio dell'esecuzione dello strumento htpasswd.exe su Windows 2003 Server

Una volta ottenuta la stringa utente, copiarla nel file .htpasswd.

Linux:

Vai a: http://railpix.railfan.net/pwdonly.html per creare stringhe utente con password crittografate. Processo molto semplice.

Passaggio 3: verificare che Apache sia configurato correttamente * facoltativo

Per impostazione predefinita, in Apache sono abilitati i moduli corretti. Detto questo, non fa mai male essere un po 'proattivi e si tratta di un rapido "controllo".

Apri il tuo file httpd.conf di Apache e verifica che il modulo AUTH sia abilitato:

Se trovi che il modulo non è abilitato, correggilo come mostrato sopra. Non dimenticare; è necessario riavviare Apache per rendere effettive le modifiche a httpd.conf.

Questo dovrebbe occuparsene. Tutto fatto.

tag:apache, crittografia, htaccess, sicurezza, finestre