Fecha actualización: 2016-1-25. Fecha publicación: 2016-1-25. Categoría: Web, Seguridad. Autor: Oscar olg
Fecha actualización: 2016-1-25. Fecha publicación: 2016-1-25. Categoría: Web, Seguridad. Autor: Oscar olg
.htaccess
en cualquier tipo de webAddDefaultCharset utf-8
: Con esta linea consigues asociar todos los archivos de tu web con una codificación de caracteres en este caso el utf-8
ErrorDocument 404 /404.html
: Cuando se produce un error de "pagina no encontrado 404" la pagina que se visualiza es la 404.html
. Se puede definir una linea diferente para cada tipo de error (500, 501, 400...)ErrorDocument 401 /401.html
o ErrorDocument 500 /500.html
DirectoryIndex
: Cuando creamos una carpeta por defecto hay un archivo al cual los navegadores leen automaticamente, el cual suele ser el
o index.htm
. Con esta instrucción le indicamos el archivo por defecto que deseamos visualizarDirectoryIndex index.php index.cgi
. Si por alguna razón en alguna carpeta no tenemos creado el
intentaria visualizar el index.cgi
y luego el index.php
Header always set X-Frame-Options "SAMEORIGIN"
: Se elimina la posibilidad de que se pueda insertar la web en un framde
o en un object
.frame
el cual se utiliza para generar visitas indeseadas, ademas de ser una tecnica NO PERMITIDA por GOOGLEHeader always set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"
: En el caso de que tengas paginas con https://
esta linea te sirve para evitar ataques de hackershttps://
protegidos al cual a traves de esta pagina (https://hstspreload.appspot.com) puedes incluirte. Esta lista tambien es utilizado por el navegador FirefoxHeader set X-XSS-Protection "1; mode=block"
: Se utiliza para evitar ataques de tipo cross-site scripting.Header set X-Content-Type-Options nosniff
: Mejora la seguridad de tu sitio (y sus usuarios) contra algunos tipos de drive-by-downloads.Header set Content-Security-Policy "default-src 'self'"
: En una pagina web se suele hacer referencias a sitios externos, como las redes sociales, con esta linea nos aseguramos que cuando un usuario hace click en un hipervinculo externo realmete se le redirije a ese sitio.mod_gzip_on Yes
: El Gzip es una aplicación el cual esta instalada en la mayoria de los servidores apache. El software comprime la información de las diferentes extensiones de archivo (.html, .js, .jpeg...) antes de enviarlas al navegador del usuario que visita la pagina. mod_gzip_item_include file\.(html?|css|js|phpl)$
FileETag none
: Desactiva las etiquetas. El FileTag es una etiqueta que se asigna a cada archivo para compararlo con la version que existe en la cache del navegador del usuario, en el caso de que sean iguales se evita el proceso de descarga de ese archivo.none
es debido a que su funcionamiento no es del todo correcto en los navegadores con lo que suele descargar el archivo aunque la del cache sea igual.RewriteEngine On
13 RewriteCond %{HTTP_HOST} !^www.
14 RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]
: Con estas 3 lineas nos aseguramos de que todas las peticiones de nuestra web sean con www o sin wwwExpiresActive On
: Esta linea va seguida de otras como esta 16 ExpiresByType image/jpg "access 1 year"
o como esta 17 ExpiresByType text/html "access 2 day"
, en el que indicamos cuanto tiempo se guardan esos archivos en el cache del navegador del usuario.Redirect 301 /pagina_antigua.html http://www.ejemplo.com/nueva_pagina.html
Redirect 301 / http://nuevo_sitio.com/
Deny from All
Order deny, allow
y 2 Deny from All
3 Allow from xxx.xxx.xxx.xxx
Order deny, allow
2 Allow from All
3 Deny from xxx.xxx.xxx.xxx
4 Deny from xxx.xxx.xxx.yyy
FilesMatch "(\.(bak|config|dist|fla|inc|ini|log|psd|sh|sql|swp)|~)$"
2 Order allow,deny
3 Deny from all
4 Satisfy All
5 /FilesMatch