我有一个Joomla网站www.siteA.com和另一个Joomla网站www.siteA.com/siteB。
我在siteA有一个.htaccess文件,但在siteB没有。
在siteB上没有.htaccess文件是否存在安全风险?
答案 0 :(得分:7)
.htaccess个文件用于覆盖设置,否则在apache配置中设置。如果您没有任何想要更改的内容,那么您不需要(也不应该).htaccess文件。
答案 1 :(得分:3)
为Joomla编写的.htaccess文件!主要用于mod_rewrite目的,因此您可以在中间没有/index.php/的情况下获取SEF URL。在那里有一些额外的规则来阻止错误配置的服务器或编码不良的第三方扩展发生的攻击。没有必要使用此文件来保护核心Joomla!系统。这是你的最后一道防线,而不是你的第一道防线。
答案 2 :(得分:1)
您是否可以访问主服务器配置文件?如果是这样,您根本不应该使用.htaccess文件。如果没有正确配置服务器,则存在安全风险,但所有配置都应在主配置文件中完成(例如/etc/apache2/httpd.conf)。
如果您无法访问主服务器配置文件,则可能不存在安全风险,因为没有.htaccess文件。通常,编写主服务器配置文件的人都没有留下任何重大安全漏洞(好吧,至少我们希望如此)。但这取决于您网站的具体情况。例如,主服务器可以配置为在目录中没有索引文件时允许目录列表。如果您有不希望任何人偶然发现的文件,那么这可能会带来安全风险,但除此之外没有任何损害。
答案 3 :(得分:1)
.htaccess文件是用于在每个目录级别上覆盖选项的配置文件。可以从主apache配置(通常在/ usr / local / etc / apache *中)设置这些相同的选项(以及更多)。如果您拥有自己的服务器并且已经正确设置了Apache配置,那么出于性能原因,实际上可能会增加禁用 .htaccess。
未正确配置权限通常会带来安全风险。你如何设置它们取决于你。有些人喜欢启用.htaccess,以便他们可以将特定于应用程序的设置保存在一起。
回答关于Joomla的具体问题:默认情况下提供的.htaccess文件只比URL重写更多。这提供了接近零的安全性好处,因此没有.htaccess文件应该不是问题。它还为一些旧的第三方模块添加了一些基本保护。但是,您应该更新或删除它们,而不是依赖.htaccess
最后,这取决于您的安全意义(几乎所有与安全相关的问题)。
答案 4 :(得分:0)
USE htaccess文件是否存在安全风险?我在工作中将htaccess文件上传到公共Web文件夹,将页面限制为仅限于工作人员,但被告知我不应该使用htaccess文件或编程,否则我将填满整个网站并冒安全风险。我使用了之前在其他领域工作时使用的标准htaccess文件,没有任何问题。当网站管理员说“使用htaccess是一种安全风险”时,网站管理员的意思是什么?