Как защитить папки и файлы на сайте паролем через .htaccess

Где применяется

Использовать данный метод можно всегда, когда нужно от лишних глаз пользователей и разных программных ботов закрыть файлы, дирректории (папки на сервере) или, скажем, админку в WordPress.

Стойкость высокая обеспечивается лишь серьёзным паролем, простые пароли можно вскрывать простым подбором, поэтому постарайтесь придумать пароль посложнее. В идеале: цифры, буквы заглавные и маленькие латинского алфавита, а также разные специальные символы, как то «тире», «подчёркивание», «дефис», «собака», «кавычки», «процент» и прочие.

Также, этот способ защитит от подбора пароля в основную админку путём двойной авторизации. Пока не будет пройдена первая авторизация со стороны сервера, к второй путник просто не будет допущен. Это будет отличной защитой для админки Вордпресса в папке WP-admin.

Ещё можно закрыть свой сайт на время агрессивной DDOS атаки на весь сайт или туже админпанель, либо определённый раздел вебсайта. При этом, доступ для самого админа или редакторов, вебмастера, программиста может сохраниться при условии знания ими логина и пароля.

Вариантов на самом деле много: от доступа в платную зону и скачивания файлов оттуда до распределения зон пользования разными сотрудниками.

Файл .htaccess

В нужной папке создаем файл .htaccess с помощью FTP-клиента. Непосредственно в Windows создать файл не получится, так как система будет ругаться на пустое название, ведь в ОС Windows до точки идет название, а после расширение файла. Таким образом Windows этот файл воспринимается с расширением .htaccess и пустым названием.

Открываем файл на редактирование в любом текстовом редакторе и записываем в него следующие строки:

AuthType Basic   AuthName admin require valid-user

Где admin — это логин, который будет использоваться для авторизации. Сохраняем файл на сервере.

Дополнительные настройки

AuthType — тип используемой аутентификации. Для базовой аутентификации эта директива должна иметь значение: BasicAuthName — имя области действия аутентификации. Текст, помогающий посетителю понять, куда он пытается получить доступ. Например, может быть написано: «Private zone. Only for administrator!»AuthUserFile — путь к файлу с паролями (.htpasswd).AuthGroupFile — путь к файлу групп, если он существует.Require — одно или несколько требований, которые должны быть выполнены для получения доступа к закрытой области.

Создаём файлы

Нам нужно создать всего два файла и поместить их в ту директорию, которую мы хотим защитить. В случае с ограничением доступа в админку Вордпресса, нужно добавить их в папку WP-ADMIN на сервере, в случае защиты всего сайта (домена) кладём в корневую директорию.

Итак, открываем любой текстовый редактор, например, Notepad++ и создаём пока два пустых файла: .htaccess и .htpasswd . Точки в начале обязательны. Таким образом, это текстовые файлы без имени, но с разными расширениями.

В .htaccess вставляем вот такой текст:

Всего 4 строчки. Нам интересна только третья. После AuthUserFile нужно вставить полный путь до защищаемой папки, в которой будет лежать файл .htpasswd. Впрочем, он может лежать и в любом другом месте на сайте, тогда указываем полный путь от корня сервера к нему.

Используемые источники:

• https://code66.ru/htaccess-i-htpasswd/
• https://it-blog.ru/other/kak-ustanovit-parol-k-razdelu-sajta-s-pomoshhyu-htaccess-i-htpasswd/