У меня есть личный сайт, который я хочу заблокировать для всех, кроме меня. Я немного использовал файл .htaccess и мне это очень нравится (они даже не видят веб-страницу, только окно входа в систему), но защитит ли это меня от всего? И могут ли поисковые системы все еще сканировать меня?
Я думаю о добавлении списков паролей здесь, и я хочу, чтобы они были заблокированы.
С точки зрения блокировки поисковых систем через строку user-agent, это довольно тривиально. С точки зрения блокировки пользователей по их строке user-agent, забудьте об этом, это пустая трата времени.
Если вы настраиваете учетную запись для базовой аутентификации, имейте в виду, что они подвержены атакам методом перебора, и пароли отправляются в виде простого текста. Я бы порекомендовал использовать SSL, если вы собираетесь установить это для дополнительной безопасности. Вас также может заинтересовать ModSecurity, если вас беспокоит грубое принуждение.
Я бы порекомендовал опубликовать ваш файл .htaccess, прежде чем ставить его на место, чтобы он мог быть оценен на наличие проблем.
Файл .htaccess представляет собой набор инструкций для вашего веб-сервера. Если вы скажете ему требовать аутентификацию перед отображением страниц, это будет применяться ко всем, включая поисковые системы (и только у вас есть пароль).
Убедитесь, что ваш файл паролей не находится в общедоступном каталоге. Вы можете использовать эту директиву, чтобы полностью заблокировать доступ к файлам, начинающимся с ".ht", хотя, если весь ваш сайт защищен паролем, это не должно быть проблемой.
<FilesMatch "^\.ht(.*)$">
Deny from all
</FilesMatch>
Обратите внимание, что если ваше соединение не зашифровано по протоколу SSL, эта настройка не будет полностью безопасной. Любой, кто находится между вами и веб-сервером, может перехватить ваше соединение и узнать ваш пароль - например, если вы используете общедоступный Wi-Fi в кафе. Однако подумайте, сколько безопасности вам нужно, потому что SSL может быть сложным и дорогим в настройке. Для практических целей файла .htaccess должно быть достаточно, чтобы держать нежелательных посетителей подальше от вашего сайта.
PS Используйте аутентификацию HTTP Digest вместо Basic - это немного более безопасно.