как защитить директорию

[SPoX]

здравствуйте дорогие друзья
я уже давно использую oxyclassifieds у меня 8.4 версия и есть проблема каторую я не могу решить
в папке шаблона поставил защиту от прямого входа и доступа к файлам

с помощью .htaccess поставил так

Options -Indexes

на половину это сработало если попытатся набрать Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся шаблона/ выдает ошибку 404

но если набрать в браузере Для просмотра ссылки Войди или Зарегистрируйся шаблона/login.html или же Для просмотра ссылки Войди или Зарегистрируйся шаблона/header.html то содержимое файла доступно для всех

я попробовал в .htaccess поставить так

Order allow,deny
Deny from all

но потом даже сам двиг не может читать папку шаблона и все пропадает

что делать прошу помогите мне

 

[Unak]

Order allow,deny Deny from all

<Files ~ "\.(html|php)$">
order deny,allow
deny from all
</Files>
Это должно помочь

 

[SPoX]

<Files ~ "\.(html|php)$">
order deny,allow
deny from all
</Files>
Это должно помочь

не помогло сейчас вся директория Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся шаблона/
открывается без проблем

 

[Unak]

order allow,deny
<Files ~ "\.(jpg|png|css|js)$">
allow from all
</Files>
Эта конструкция разрешит загрузку файлов только если их расширения перечислены в списке, проверял, все работает.
Все остальное будет отброшено.

 

[denverkurt]

здравствуйте дорогие друзья
я уже давно использую oxyclassifieds у меня 8.4 версия и есть проблема каторую я не могу решить
в папке шаблона поставил защиту от прямого входа и доступа к файлам

с помощью .htaccess поставил так

Options -Indexes

на половину это сработало если попытатся набрать Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся шаблона/ выдает ошибку 404

но если набрать в браузере Для просмотра ссылки Войди или Зарегистрируйся шаблона/login.html или же Для просмотра ссылки Войди или Зарегистрируйся шаблона/header.html то содержимое файла доступно для всех

я попробовал в .htaccess поставить так

Order allow,deny
Deny from all

но потом даже сам двиг не может читать папку шаблона и все пропадает

что делать прошу помогите мне

убогий движок значит. нормальные движки подгружают нужные скрипты и шаблоны локально, средствами файловой системы, вот для этих случаев и помогает запрет доступа через .htaccess
в вашем же случае получается что движок запрашивает шаблон через веб-сервер?... тут .htaccess не поможет
можно еще попробовать открыть только для айпишников сервера, может быть получится. попробуйте прописать примерно так:

Order allow,deny
Deny from all
Allow from 127.0.0.1 12.34.56.78

127.0.0.1 - loopback
12.34.56.78 - тут укажете внешний айпишник сервера

 

[willy-rumster]

Вот на примере с phpMyAdmin:
##Конфигурируем авторизацию на уровне Apache (доп.безопасность

nano /etc/phpmyadmin/apache.conf
##Находим в файле блок «» и дописываем директиву «AllowOverride All». ##Отредактированный блок в итоге должен выглядеть так:
<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php
AllowOverride All
##Остальной текст оставляем как есть.
## При помощи директивы “AllowOverride” мы сообщили Apache, что все директивы могут быть переопределены через внешний файл настроек – «.htaccess».

##Создадим новый конф. файл .htaccess в директории с phpmyadmin:

nano /usr/share/phpmyadmin/.htaccess
##Прописываем в этом файле необходимость авторизации на уровне web-сервера:

AuthType Basic
AuthName "Restricted Files"
AuthUserFile /var/www/wordpress/.htpasswd
Require valid-user

//В конфигурационном файле мне пришлось воспользоваться следующими директивами:
//AuthType – директива определяет тип идентификации пользователя. В качестве значения я указываю Basic. Насколько мне известно, вариантов кроме Basic до сих пор в Apache не реализовано (поправьте, если ошибаюсь).
//AuthName – директива используется совместно с предыдущей. В ней мы пишем текст, который будет отображаться в диалоге запроса логина/пароля. Значением директивы может быть абсолютно любой текст.
//AuthUserFile – значением директивы выступает путь к файлу, содержащий информацию о пользователях и их паролях, которые могут получить доступ к закрытому ресурсу. На данном этапе этого файла нет, мы создадим его чуть позже.
//Require – директива позволяет определить принцип аутентификации. Она может принимать несколько значений (например, мы можем перечислить пользователей или группы пользователей, которые могут получать доступ к закрытому ресурсу). //Значение Valid-user подразумевает, что получить доступ к закрытому ресурсу могут получить все пользователи, доступные в файле AuthUserFile.

##Создание htpasswd файла

//Необходимые настройки сделаны. Теперь создадим файл, путь к которому мы указывали в директиве AuthUserFile. Для этого вбиваем команду:

htpasswd -c /var/www/wordpress/.htpasswd user_name

//Имя пользователя выбираем любое, с системными пользователями оно не переплетается. Утилита htpasswd запросит пароль для нового пользователя.
//Придумываем пароль и после завершения создания пользователя перезапустим apache:

service apache2 restart

//Проверяем авторизацию на уровне web-сервера
//Попробуем обратиться к phpMyAdmin. Если все описанные выше манипуляции были проделаны правильно, то страница входа phpMyAdmin сразу будет недоступна. Вместо нее появится окно с запросом имени пользователя и пароля. Вводим данные, которые мы указали утилите htpasswd и только после этого попадаем на страницу входа в phpMyAdmin.