Foros del Web » Administración de Sistemas » Apache »

esta bien este archivo . HTACCESS

Estas en el tema de esta bien este archivo . HTACCESS en el foro de Apache en Foros del Web. hola, he buscado en varios sitios las mejores opciones para asegurar mi sitio web y he visto que entre las herramientas que debo usar, esta ...
  #1 (permalink)  
Antiguo 27/07/2011, 21:44
Avatar de insyse  
Fecha de Ingreso: abril-2005
Ubicación: Colombia
Mensajes: 206
Antigüedad: 19 años, 7 meses
Puntos: 5
esta bien este archivo . HTACCESS

hola,

he buscado en varios sitios las mejores opciones para asegurar mi sitio web y he visto que entre las herramientas que debo usar, esta el archivo .HTACCESS,

he compilado varias cosas que he encontrado, pero antes de usarlo quiero ponerlo a consideración de ustedes a ver si me dan alguna sugerencia y si esta bien o se puede mejorar.


# AddDefaultCharset UTF-8
#### protección de mi archivo htaccess
<files .htaccess>
order allow,deny
deny from all
satisfy all
</files>

#### personalizo algunas paginas de error
RewriteEngine on
RewriteBase /
ErrorDocument 404 /error404.php
ErrorDocument 403 "Acceso denegado / Access denied"


####No permitir acceso a los archivos INC
<Files *.inc>
Order deny,allow
Deny from All
</Files>

RewriteCond %{REQUEST_URI} ^(/_vti_bin/|/MSOffice/) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^($|.$|.*Almaden|[bcdfgjklmnpqrstvwxyz]{5,}|.*compatible\ \;|.*DTS.Agent|.*Fluffy|.*Girafabot|.*HTTrack|.*Ha rvest|.*LWP|.*Rover|.*Searchhippo|.*TrueRobot|.*Tw iceler|.*Voila|.*Voyager|.*WUMPUS|.*Webcraft@bea\. com|ADSARobot|ASPSeek|ASSORT|ATHENS|Acrobat\ Webcapture|Ah\-ha|Aktuelles|Amzn_assoc|Atomic\_Email\_Hunter|Atta che|Autoemailspider|BDFetch|Beast|Bew|Big.brother| BlackWidow|Blog\_search\_engine|Boitho|Bullseye|Bu mblebee|CCBot|CazoodleBot|CentiverseBot|CherryPick er|ChinaClaw|Crescent|Curl|Cyveillance|DCE|DIIbot| DISCo|DRFVNKYJYKYJ|Deweb|Digger|Digimarc|Disco|Dow nload\ Demon|ECatch|Ecollector|EirGrabber|Email.Extractor |EmailCollector|EmailSiphon|EmailWolf|Exabot|Explo rer|Express\ WebPictures|ExtractorPro|EyeNetIE|FAST|FEZhead|Fas tlwspider|FavOrg|Favorites.Sweeper|Fetch|FlashGet| Franklin.?Locator|FrontPage|Generic|GetRight|GetUR L|GetWebPage|Getleft|Go-Ahead-Got-It|Go-ahead-got-it|Goldfire\_Server|Gooblog|GrabNet|Grafula|Green\ Research|HLoader|HMSEbot|HMView|HTML.?Works|Holmes |HomePageSearch|Http.?generic|IBM_Planetwide|IUPUI .?Research.?Bot|Ichiro|Image\ Stripper|Image\ Sucker|IncyWincy|Industry.?Program|Ingelin|InterGE T|InternetSeer.com|Internet\ Ninja|JOC\ Web\ Spider|Jakarta|Java|JetCar|Just\_a\_Browser|KWebGe t|Larbin|LargeSmall\ Crawler|Leech|.*Libcurl|Libwww|LinkWalker|MCspider |MIDown\ tool|MJ12bot|MSFrontPage|Mac.?Finder|Mass\ Downloader|Metalogger|Microsoft|Mirror|Mister\ PiX|Moreoverbot|Mozilla.*Indy|Mozilla.*NEWT|MsProx y|MySweetSpider|My\-heritrix\-crawler|NICErsPRO|NPBot|NameOfAgent|Naver\ Robot|Navroad|NearSite|Net.Vampire|NetAnts|NetCart a|NetResearchServer|NetSpider|NetZIP|Net\ Vampire|Netprospector|Nost\.info|Nutscrape|Octopus |Offline\_Explorer|OpaL|OpenTextSiteCrawler|Openfi nd|OrangeBot|Others|PRCrawler|PSurf|PackRat|PageGr abber|Page\_verifier|Papa\ Foto|Pavuk|PcBrowser|PlantyNet_WebRobot|Production .?Bot|Program.?Shareware|.*Powerset|Psbot|PushSite |Python|REAP\-crawler|ReGet|Reget|RepoMonkey|Rezzibo|Robozilla|R sync|Scope|ScoutAbout|Search4free|Searchterms\.it| Seekbot|Sensis|Shai|Shelob|ShopWiki|SindiceBot|Sip hon|SiteSnagger|Sitecheck|Sogou|Spegla|SpiderBot|S qWorm|SuperBot|SuperHTTP|SurfWalker|Surfbot|TAkeOu t|Tarspider|Teleport\ Pro|Telesoft|Templeton|TheRarestParser|TinEye|Turn itinBot|UIowaCrawler|UtilMind|VB\-Tec|Veoh|Visicom|VoidEYE|Vspider|W3mir|WEBMASTERS| WGOKSCOXEUQH|WISEbot|Web.by.mail|WebAlta\ Crawler|WebAuto|WebBandit|WebCopier|WebCopy|WebCor p|WebEMailExtrac|WebFetch|WebMiner|WebReaper|WebSa uger|WebSnake|WebStripper|WebWhacker|WebZIP|Web\ Sucker|Webcollage|Website\ eXtractor|Websnatcher|Webvac|Webwalk|Wget|WhosTalk ing|Widow|WordPress|XGET|Xerka|YZGN|Yandex|Yeti|Yo daobot|Zermelo|Zeus|Zeus.*Webster|ZyBorg) [NC,OR]
RewriteCond %{REMOTE_ADDR} ^(201.234.113.210|151.23.89.68|190.100.150.19|200. 93.233.162|78.129.202.15|219.133.77.140) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(http://www.adobe.com/products|http://127.0.0.1) [NC]
RewriteCond %{REMOTE_ADDR} !^72.36.150.160 [NC]
RewriteCond %{REQUEST_URI} !^(/robots.txt) [NC]
RewriteRule ^.*$ - [F,L]

########## Inicio - Reescritura de reglas para bloquear algunos exploit conocidos
## Si experimenta problemas en su sitio, bloquee con las operaciones de abajo
## Esto frena los intentos más comunes de ataques exploit
#
# proc/self/environ? ¡Sin camino!
RewriteCond %{QUERY_STRING} proc\/self\/environ [OR]
# Bloquee cualquier script intentando configurar un valor mosConfig en una URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Bloquee cualquier script intentando de enmerdar código base64_encode en una URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Bloquee cualquier script que incluya una etiqueta <script> en una URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Bloquee cualquier script intentando configurar una variable PHP GLOBALS a través de una URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Bloquee cualquier script intentando modificar una variable a _REQUEST a través de una URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# !Remitir todas las solicitudes bloqueadas a inicio con un error 403 Prohibido!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Fin - Reescritura de reglas para bloquear algunos exploit conocidos


###### Block bad bots Bloquea todas las peticiones del user-agent
# Es posible bloquear a todos los user-agents indeseados que pueden ser potencialmente dañinos o quizá simplemente para mantener la carga del servidor lo más baja posible.
SetEnvIfNoCase user-Agent ^FrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Java.* [NC,OR]
SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]
SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]
SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]
SetEnvIfNoCase user-Agent ^Zeus [NC]
Order Allow,Deny
Allow from all
Deny from env=bad_bot

####### Deshabilitar la navegación por los directorios de tu sitio
Options All -Indexes

Quiero también deshabilitar el informe de errores de PHP pues he leido que puede ser usado por los hackers para ver problemas de seguridad, pero no estoy muy seguro de como escribirlo.


Agradezco los comentarios.
  #2 (permalink)  
Antiguo 29/07/2011, 19:29
Avatar de emprear
Colaborador
 
Fecha de Ingreso: junio-2007
Ubicación: me mudé
Mensajes: 8.388
Antigüedad: 17 años, 4 meses
Puntos: 1567
Respuesta: esta bien este archivo . HTACCESS

Son demasiadas cosas, y la mejor manera de verificarlo es probarlo

Pero así al vuelo te hago algunas observaciones

Tene en cuenta que .htaccess tiene en su espiritu la modificacion de ciertos comportamientos del server por parte del usuario,
pero lo importante es como el administrador tiene configurado el servidor



tu archivo .htaccess
files .htaccess>
order allow,deny
deny from all
satisfy all
</files>
no tiene sentido, de por si el acceso por web a .htaccess está protegido

Los ErrorDocument no requieren de

RewriteEngine on
RewriteBase /

Con esto
<Files *.inc>
Order deny,allow
Deny from All
</Files>
ni siquiera vos tenes acceso a los inc

Lo de los bloqueos, si las expresiones son correctas, puede funcionar, aunque la mayoria de las aplicaciones que ahi figuran, pueden "camuflar" su user_agent

hay muchas. pero aqui te dejo una serie de tips buenos para usar en .htaccess
http://html5boilerplate.com/docs/#.htaccess

Saludos
__________________
La voz de las antenas va, sustituyendo a Dios.
Cuando finalice la mutación, nueva edad media habrá
S.R.

Etiquetas: htaccess, html, php, variables
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 09:18.