Wat schreef de website-configurator in het .htaccess-bestand en hoe kun je dit wijzigen?
Tot voor kort kon je met de website-configurator diverse instellingen voor je website configureren. Deze functie voldeed echter niet meer aan onze veiligheidseisen. Daarom hebben we de website-configurator uitgefaseerd.
Heb je nog .htaccess-bestanden op je webspace? Dan blijven die ongewijzigd bestaan.
In dit FAQ-artikel lees je hoe je deze bestaande .htaccess-bestanden voortaan zelf kunt wijzigen en wat je ermee kunt doen.
Elk .htaccess-bestand dat je met de webconfigurator van STRATO aanmaakt, heeft een header die er ongeveer zo uitziet:
#######################################################################
# Deze .htaccess is door STRATO-Webservermanager gemaakt #
#######################################################################
.htaccess-bestand voor eigen foutpagina
In de hoofdmap of desbetreffende submap van je webspace vind je het .htaccess-bestand. Met deze inhoud bepaal je foutpagina's:
Voorbeeld |
ErrorDocument 401 ""text, 401"" ErrorDocument 403 403.html ErrorDocument 404 404.html ErrorDocument 500 500.html |
Je kunt hier voor elke foutcode een afzonderlijke tekst opslaan of een html-bestand aanwijzen. Zet hiervoor de tekst of de bestandsnaam tussen aanhalingstekens.
.htaccess-bestand om mappenopties te configureren
Voor elke map die je aanmaakt wordt een .htaccess-bestand in je webspace opgeslagen. Dit .htaccess-bestand is alleen vindbaar indien je vooraf de opties voor de map juist hebt geconfigureerd:
Voorbeeld |
Options –Indexes DirectoryIndex index.php |
DirectoryIndex bepaalt hierbij welk bestand als index-bestand moet worden gezien.
Options -Indexes betekent dat de inhoud van de map niet wordt weergegeven als er geen index-bestand wordt gevonden. Is het opgegeven index-bestand niet aanwezig? In dat geval is een foutpagina zichtbaar wanneer slechts je domein of je map is ingevoerd (bijvoorbeeld www.jouwstratodomein.nl/geenpagina).
Options +Indexes zorgt juist voor het tegenovergestelde. Wanneer je niet expliciet een bestand hebt aangewezen dat als index-bestand voor het domein, de map, of de DirectoryIndex dient, ziet de bezoeker de complete inhoud van de map.
.htaccess-bestand om mappen te beveiligen
Voorbeeld |
AuthUserFile /mnt/rid/21/76/57202176/htdocs/.htuser AuthName "Beveiligd deel" AuthType Basic require valid-user |
Het .htaccess-bestand bevindt zich altijd in de hoofdmap. Per submap kun je een wachtwoordbeveiliging inschakelen. De gebruikersnaam en het wachtwoord zijn versleuteld in het bestand opgeslagen. Wil je ook andere mappen beveiligen? Dan moet je het .htaccess-bestand naar die mappen kopiëren.
Om de wachtwoordbeveiliging weer uit te schakelen, hoef je alleen maar het .htaccess-bestand in de desbetreffende map te verwijderen.
.htaccess-bestand om IP-adressen te blokkeren
Het .htaccess-bestand bevindt zich op je webspace in de map die je wilt beschermen.
Voorbeeld |
Order deny,allow deny from all allow from 127.0.0.1 |
Je kunt vervolgens de toegang tot deze map voor individuele adressen blokkeren. In het voorbeeld hierboven worden alle IP-adressen geblokkeerd, behalve het IP-adres 127.0.0.1. In het onderstaande voorbeeld is het precies omgekeerd:
Voorbeeld |
Order deny,allow deny from 127.0.0.1 |
Hoe kan ik HTTP Strict Transport Security (HSTS) activeren?
HTTP Strict Transport Security (HSTS) informeert bezoekers van je website dat de pagina bereikbaar is via een versleutelde verbinding (HTTPS) en dat deze instelling voor langere tijd in de browser moet worden opgeslagen. Dit bespaart bezoekers in de toekomst het invoeren van het websiteadres met https://. Dit is vooral handig als bezoekers een onbeveiligd netwerk gebruiken (bijvoorbeeld een openbaar wifinetwerk in een café) om de pagina te bezoeken.
HSTS via .htaccess
Voorwaarde voor HSTS is dat je website een geldig SSL-certificaat heeft. We raden aan «SSL afdwingen» in de klantenlogin te activeren. Let er bovendien op dat er geen problemen optreden bij het bezoeken van de pagina via «https».
Je kunt HSTS activeren in het .htaccess bestand met de volgende regel:
Header always set Strict-Transport-Security "max-age=31536000"
De parameter «max-age
» wordt gebruikt om de duur in seconden aan te geven hoelang de HSTS-regel in de browser bewaard dient te worden.
Een webpagina in de preload-lijst invoeren.
Google Chrome houdt een lijst bij van domeinen waarvoor HSTS is geactiveerd. Dit helpt om het trust-on-first-use probleem op te lossen. Andere browsers zoals Firefox, Safari of Edge gebruiken deze lijst ook.
De preload-lijst garandeert dat de URL de eerste keer dat hij wordt bezocht direct via «https» wordt benaderd. Je kunt je domein gratis aanmelden bij de website https://hstspreload.org.
Voor een vermelding op de preload-lijst moet aan de volgende punten worden voldaan:
- Een geldig SSL-certificaat
- «SSL afdwingen» moet zowel voor het domein als voor alle subdomeinen geactiveerd zijn.
- Voor het domein is de HSTS-header met geldige waarden opgeslagen en uitgevoerd:
- «
max-age
» mag niet lager ingesteld worden dan 1 jaar (31536000 seconden). - Het «
includeSubdomains
» token is ingesteld. - Het «
preload
» token is ingesteld.
- «
- Bij een domeinforward moet de HSTS header voor het bronadres ingesteld zijn.
Dit is een voorbeeld van een geldige regel voor de preload-lijst:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Beveilig je website door SSL te gebruiken!