Закрываем служебные директории MODX в Apache

В одной статье, касающейся безопасности, Василий дал очень хорошую рекомендацию по защите служебных папок. Реализовав это на своём хостинге, решил написать инструкцию, так как начинающие изучать MODX могут столкнуться с ошибкой 404, как Я например.

Создаём файл .htpasswd, с помощью этого сервиса, например, указав свой логин и пароль отличные от админки, иначе нет смысла. Получаем примерно следующее содержимое:
adminushka:$apr1$kxblZfgQ$6DKqx/ta4ciDgHM92u3ww/
Там же можно сгенерировать код для .htaccess. Но именно с такой записью будет ошибка 404 при попытке зайти в админку. Размещаем .htpasswd в директории сайта выше www/public_html.

В директориях manager, core, connectors добавляем/изменяем следующие записи в файл .htaccess. Если файла нет, то его нужно создать.

/manager/.htaccess
RewriteEngine Off

AuthType Basic
AuthName "Restricted Access"
AuthUserFile /home/user/.htpasswd #заменить на свой путь
Require valid-user
<Files .htpasswd>
   deny from all  #запрет доступа из браузера к .htpasswd
</Files>
ErrorDocument 401 "401 Authorisation Required"

/core/.htaccess
IndexIgnore */*
<Files *.*>
    Order Deny,Allow
    Deny from all
</Files>

AuthType Basic
AuthName "Restricted Access"
AuthUserFile /home/user/.htpasswd #заменить на свой путь
Require valid-user
<Files .htpasswd>
   deny from all  #запрет доступа из браузера к .htpasswd
</Files>
ErrorDocument 401 "401 Authorisation Required"

/connectors/.htaccess
AuthType Basic
AuthName "Restricted Access"
AuthUserFile /home/user/.htpasswd #заменить на свой путь
Require valid-user
<Files .htpasswd>
   deny from all  #запрет доступа из браузера к .htpasswd
</Files>
ErrorDocument 401 "401 Authorisation Required"

Код
ErrorDocument 401 "401 Authorisation Required"
необходим, для того, чтобы избежать 404 ошибку, при входе в админку. Как Я понял с англоязычных форумов, то при настройке авторизации через .htaccess меняется адрес страницы, поэтому получается 404.

Теперь при попытке входа в админку необходимо будет сначала пройти базовую авторизацию:

Скришот честно взял отсюда)

Более подробно о настройках безопасности можно почитать здесь.
Борода
01 марта 2016, 10:41
modx.pro
32
6 827
+5

Комментарии: 1

Дмитрий
27 августа 2018, 21:20
0
Имейте в виду, комментарии в строках
AuthUserFile /home/user/.htpasswd #заменить на свой путь
нужно удалять. Apache выдает ошибку при их наличии.
    Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
    1