不使用 .htaccess 文件是否存在安全风险？

Question

我有一个 Joomla 网站 www.siteA.com 和另一个 Joomla 网站 www.siteA.com/siteB。

我在站点 A 有一个 .htaccess -文件，但在站点 B 没有。

在站点 B 没有 .htaccess 文件是否存在安全风险？

Answer 1

.htaccess 文件用于覆盖在 apache 配置中设置的其他设置。如果您没有想要更改的内容，那么您不需要（也不应该拥有） .htaccess 文件。

Answer 2

为 Joomla! 编写的 .htaccess 文件！主要用于 mod_rewrite 目的，因此您可以获得 SEF URL 而不会 /index.php/ 卡在中间。那里有一些额外的规则来阻止因错误配置的服务器或编码不当的第 3 方扩展而发生的攻击。不必使用此文件来保护核心 Joomla！系统。这是你的最后一道防线，而不是你的第一道防线。

Answer 3

.htaccess 文件是用于在每个目录级别覆盖选项的配置文件。可以从主 apache 配置（通常在 /usr/local/etc/apache* 中）设置这些相同的选项（以及更多）。如果您拥有自己的服务器并正确设置了 Apache 配置，出于性能原因，禁用 .htaccess 实际上可能会有所收获。

未正确配置权限通常会带来安全风险。如何设置它们取决于您。有些人更喜欢启用 .htaccess，这样他们就可以将特定于应用程序的设置放在一起。

回答您关于 Joomla 的具体问题：默认提供的 .htaccess 文件仅用于 URL 重写。这提供了近乎零的安全优势，因此没有 .htaccess 文件应该不是问题。它还为一些旧的第三方模块增加了一些基本的保护。但是，您应该更新或删除它们，而不是依赖 .htaccess

最后，这取决于您所说的安全是什么意思（几乎所有与安全相关的问题都是如此）。

Answer 4

您有权访问主服务器配置文件吗？如果是这样，您根本不应该使用 .htaccess 文件。不正确配置服务器会带来安全风险，但所有配置都应在主配置文件中完成（例如 /etc/apache2/httpd.conf）。

如果您无权访问主服务器配置文件，可能没有 .htaccess 文件不会带来安全风险。通常，编写主服务器配置文件的人不会留下任何重大的安全漏洞（好吧，至少我们希望如此）。但这取决于您网站的具体情况。例如，可以将主服务器配置为在目录中没有索引文件时允许目录列表。如果您有不希望任何人意外找到的文件，这可能会带来安全风险，但否则不会有任何危害。

Answer 5

使用 htaccess 文件是否存在安全风险？我在工作中将一个 htaccess 文件上传到一个公共网络文件夹，以将页面仅限于员工，但被告知我不应该使用 htaccess 文件或编程，否则我会填满整个网站并冒着安全风险。我使用了以前在其他领域工作时使用过的标准 htaccess 文件，没有任何问题。当网站管理员说“使用 htaccess 存在安全风险”时，这是什么意思？