Refuser l'accès à certains fichiers avec .htaccess
Récemment, je parlais de l'importance de restreindre l'accès à certains types de fichiers qui pourraient être accessibles par les visiteurs d'un site web. Cela incluait les fichiers .htaccess, .htpasswd, les configurations .ini de Zend_Config ainsi que les bases de données SQLite, pour ne nommer que de ceux-là.
À l'aide d'une instruction FileMatch et d'une expression régulière qu'on place dans le fichier .htaccess d'Apache, on peut facilement y arriver.
Les fichiers débutants par .ht :
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
</FilesMatch>
Les extensions .ini :
<FilesMatch "\.ini$">
Deny from all
</FilesMatch>
Différentes extensions possibles pour SQLite :
<FilesMatch "\.(sqlite|sqlite2|sqlite3|sq|sq2|sq3)$">
Deny from all
</FilesMatch>
En résumé, il faut se rappeler que l'utilisation de cette instruction permet de :
- cacher les fichiers indiqués de l'index d'un répertoire
- envoyer un statut HTTP 403 Forbidden si un visiteur tente d'accéder aux fichiers
- protéger les fichiers importants
- éviter de laisser glisser des indices qui pourraient compromettre la sécurité
