Защита сайта, .htaccess .ftpaccess .htpasswd

Привет.

Пожалуйста оцените / дополните некоторые пункты для защиты сайта:

Защита папок в которые грузятся аватарки, фотки и проч

- .htaccess кидается в закрываемую папку

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК

Options -Indexes



# ЗАПРЕТ ДОСТУПА К ФАЙЛАМ

Order Deny, Allow

Deny from all



# ЗАПРЕТ НА ЗАПУСК ФАЙЛА

RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 

Защита файла который отвечает за вход в админку CMS

1. входим на страницу admin/admin.php

2. - запрашивается пароль из .htpasswd

3. вводим пароль и логин

4. потом пароль в форме на странице admin/admin.php

- .htaccess в корне сайта

- в папке admin/ нет файла index

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК

Options -Indexes



# НАЗВАНИЕ ТОГО ЧЕГО ЗАЩИЩАЕМ

AuthName “not hack”



# АДРЕС ФАЙЛА С ПАРОЛЕМ

AuthUserFile AuthUserFile home/.htpasswd



# МЕТОД ШИФРОВАНИЯ ПАРОЛЯ

AuthType Basic



# ЧТО ДЛЯ КОГО

<Files “admin/admin.php”>

Require valid-user

</Files>

Защита папок с файлами конфигурации CMS

- .htaccess в корне сайта

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК

Options -Indexes



# ЗАПРЕТ ДОСТУПА К ФАЙЛАМ

Order Deny, Allow

Deny from all

Возникшие вопросы:

1.

В первом примере я не переборщил с облием запрещаемых расширений?

2.

Стоит ли закрывать admin/admin.php паролем из .htpasswd ?

- будет ли система CMS'ки нормально фунционировать?

3.

Закрывать/запрещать или нет запуск файлов php и проч (RemoveHandler,
AddType application/x-httpd-php-source) в директории с файлами

конфигурации CMS'ки?

- правда сами файлы имеют расширение .php :)

- просто непонятно зачем в инстркции к CMS на папку с конфигами нуно ставить CHMOD 777

4.

Стоит ли в коневом .htaccess писать такое?

# ЧТОБ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ПРОЧИТАТЬ ФАЙЛ С ПАРОЛЯМИ

##############################################

<Files .htpasswd>

deny from all

</Files>

5.

Если мне нужно запретить доступ и запуск файлов в нескольких директориях сайта

но мне не хочется в кажду директорию кидать по .htaccess как мне в корневом .htaccess

выставить данные права?

Допустим есть папки:

site.ru/avatar/

site.ru/user-photo/

site.ru/templates/

в корневом .htaccess такое писать?

<Files site.ru/avatar/* "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\ .shtml">

Order allow,deny

Deny from all

</Files>

- и так для каждой папки!?

- или можно попроще сделать?

Спасибо.

blacks добавил 10.07.2009 в 18:39

Файл для закрытия директрий для аттач файлов (аватарки, фото

пользователей и проч) сегодня стал немного побольше

- добавил пару "функций"

Но есть сомнения что в чем-то переборщил / где-то продублировали и могут быть пересечения.

Подскажите пожалуйста что не так (если такое есть)

# запрет листинга всех папок и под-папок
Options -Indexes

# Всё просто. Во все каталоги, доступные для записи,
# закачиваем (или добавляем строчки к существующему)
#.htaccess с содержимым:
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

# Отключаем PHP.
RemoveType php

<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 

# запрет доступа к файлам
Order Deny, Allow
Deny from all