htaccess — ploshadka.net

Как создать пароль на доступ к сайту в htaccess

Admin — Mon, 03 Aug 2020 08:00:00 +0000

Создание пароля в файле .htaccess для закрытого доступа к сайту.

Содержимое файла .htaccess:

AuthType Basic
AuthName "Защищенная зона"
AuthUserFile /home/.../.htpasswd
Require valid-user

# Запрещаем доступ из браузера к файлу .htpasswd
deny from all

В целях безопасности не лишним будет файл htpasswd разместить на директорию выше сайта (обычно это public_html, следовательно положить на уровень выше).

Внутри файла .htpasswd должны быть пароли в следующем виде:

UserName1:$apr1$dfkmDs$kgsg83mdgskgjDms3mKD

где после двоеточия указан пароль зашифрованный в MD5. Можно также и другие форматы, например, crypt или SHA.

localhost/../public/_wdt/c402cd 404 (Not Found)

Admin — Sat, 07 Mar 2020 20:55:32 +0000

Фреймворк svelte. Исправление ошибки в console.log.

Ошибки вида:

request @ (index):11
(anonymous) @ (index):11
setTimeout (async)
xhr.onreadystatechange @ (index):11
XMLHttpRequest.send (async)
request @ (index):11
(anonymous) @ (index):11
setTimeout (async)
xhr.onreadystatechange @ (index):11
XMLHttpRequest.send (async)
request @ (index):11
(anonymous) @ (index):11
setTimeout (async)
xhr.onreadystatechange @ (index):11
XMLHttpRequest.send (async)
request @ (index):11
load @ (index):11
loadToolbar @ (index):11
(anonymous) @ (index):11
(anonymous) @ (index):11
(index):11 GET http://localhost/symfony-svelte/public/_wdt/c402cd 404 (Not Found)

Для исправления создать файл .htaccess в корне сайта и записать туда пути к рабочей директории:

создать файл и добавить туда
.htaccess

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /svelte/public/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /svelte/public/index.php [L]
IfModule>

Как автоматически обновлять сайт через github

Admin — Tue, 15 Oct 2019 08:00:30 +0000

Как установить GIT на свой сайт и подтягивать изменения из репозитория на GitHub.

Можно заливать на сервер данные из GitHub с помощью сторонних ресурсов, типа DeployHQ. Но здесь мы не будем рассматривать готовые инструменты, а пойдем путем создания своего деплоя через команды в bash файле.

Читайте в другой статье, если потребуется обновлять репозиторий со стороны сервера.

1. Создаём ssh ключ

Статья по созданию и настройки ssh ключа.

Иначе будут ошибки при соединении с GitHub сервером:

Host key verification failed.
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

2. Устанавливаем git на сервер

Сначала инсталлируем git на свой сервер:

yum install git

Подробнее о том как проинсталлировать GIT на сервер.

3. Создаем новый репозиторий

Создаём на сайте гитхаб новый репозиторий:
github.com

4. Создаем файл исключений на нашем сервере

Добавляем на удаленный сервер файл с файлами, которые будем игнорировать

.gitignore

5. Клонируем на свой сервер репу

На сервере в директории сайта запускаем команды по очереди:

git init
git add -A
git commit -m "first commit"
git remote add origin https://github.com/ploshadka/repository.git
git push -u origin master

Вводим свой логин и пароль от github.

6. Клонируем себе

Через программу GitHub Desktop, PhpStorm или консоль, склоннировать репозиторий на локальный компьютер.

Ошибки

Если в логах будут ошибки:

fatal: could not read Username for ‘https://github.com’: No such device or address

Надо зайти в

".git/config"

И поменять

[remote "origin"]
url = https://github.com/ploshadka/some-name.git

на

[remote "origin"]
url = git@github.com:ploshadka/some-name.git

7. Клонируем себе

Создаём на сервере файл bash в котором будет содержимое:

#!/bin/bash
# Запуск через cron каждую минуту

# Время
date=$(date '+%d/%m/%Y %H:%M:%S');

# Переходим в категорию GIT
cd '/home/ваш-путь к сайту'

git pull
echo "$date"
echo "Была выполнена команда подтягивающая изменения из гит."

Ошибки

Если данные переносятся на сервер (например, восстанавливается backup), то в первый раз обязательно надо подтянуть изменения из GIT вручную. Иначе скрипт не отработает. Будет сообщать об ошибке доступа.

Запускаем:

git pull

И соглашаемся на добавление ssh ключа GitHub в разрешенные для связи с ним.

8. Настроить Cron

Настроить cron на запуск этого скрипта, например, каждую минуту.

Для нашего скрипта это будет выглядеть так:

*/1 * * * * root sh /какая-то директория/scripts/git-pull >/какая-то директория/scripts/git-pull.log 2>&1

В той же директории при каждой команде будет записываться лог из последнего действия. Если что-то не работает, там всегда можно будет это обнаружить.

9. Безопасность

Git хранит в служебной директории .git полную копию всего репозитория. Обязательно закройте директорию .git в настройках HTTP сервера, чтобы никто не смог получить доступ к исходным кодам вашего сайта в публичном доступе без авторизации.

Для этого создайте в папке .git файл .htaccess и добавьте туда директиву:

Deny from all

Критическая ошибка в Яндекс Вебмастере

Admin — Fri, 27 Oct 2017 08:00:34 +0000

Не так давно Яндекс поменял алгоритмы определения полезных и бесполезных сайтов. Все малополезные сайты, на его взгляд, он отмечает фатальной ошибкой.

Сообщение об ошибки выглядит так:

Если перейти дальше будет сообщение:

Сайт может угрожать безопасности пользователя, или на нём были обнаружены нарушения правил поисковой системы. Наличие этой проблемы негативно сказывается на положении сайта в результатах поиска.

При переходе подробнее можно увидеть следующее:

Всё это звучит как приговор и радоваться не приходится:

Нарушения и угрозы безопасности на сайте …
Малополезный контент, спам, избыток рекламы
Позиции сайта в результатах поиска понижены
Сайт не соответствует основным принципам, по которым наши алгоритмы оценивают его качество: содержит бесполезный контент, чрезмерное количество рекламы, поисковый спам и т. п.

Обычно ограничения снимаются в течение месяца после устранения нарушения.

Что делать?

Понять в чем же причина довольно сложно, потому что ошибка имеет общий вид и вбирает в себя всевозможные специальные и случайные нарушения.

От Яндекса есть ссылки на инструкцию, что делать. Там общие черты и всевозможные причины:
Малополезный контент
Некачественные сайты

Бессмысленно писать в Яндекс поддержку. Они отвечают, но типовыми сообщениями. А когда ты всё же добиваешься человеческого ответа, то он не обнадеживает и нередко звучит следующим образом (своими словами пересказ слов поддержки):

Отметка «Малополезный контент, спам, избыток рекламы» является наиболее частой причиной наложенных санкций. Тем не менее, у поисковика гораздо больше критериев, по которым он судит. Значительная её часть приведена по ссылкам (даны на этой странице выше). Иногда накладываются ограничения из нескольких параметров, но чаще больше.

Сказать, что именно является причиной санкций в вашем случае не представляется возможным, потому что сразу наложились несколько вариантов. Если вы и дальше будете развивать свой сайт, делать качественный контент для удобства посетителей, то после очередной проверки, ограничения могут быть сняты автоматически.

Всё это хорошо, но иногда это полнейшая чушь и вот почему. Вы можете хоть тысячу полезных страниц создать для сайта, но если он имеет технические недочеты, всё это это будет насмарку. Потому что, если сайт нормальный и не создан для спама, причина может быть в технических проблемах сайта. Но ответят они вам так, что вы не поймёте. Так что лучше сосредоточится на технических моментах, которые нередко возникают по вине движка и тщательно перепроверить свой сайт.

Сначала проверяем сайт на вирусы.

Убираем мобильные редиректы

Потом смотрим файл .htaccess, там не должно быть редиректов на другие сайты.

В том числе надо избегать любых мобильных редиректов, в том числе и на свои сайты. Яндекс может за такой редирект понизить в выдаче, влепив фатальную ошибку, приняв его за вредоносный скрипт.

Проверьте плагины кэширования. Например, плагин кэширования на одном из моих сайтов внёс в файл .htaccess следующую мобильную переадресацию:

RewriteCond %{HTTP_USER_AGENT} ^.*(\bCrMo\b|CriOS|Android.*Chrome\/[.0-9]*\s(Mobile)?
|\bDolfin\b|Opera.*Mini|Opera.*Mobi|Android.*Opera|Mobile.*OPR\/[0-9.]+|Coast\/[0-
9.]+|Skyfire|Mobile\sSafari\/[.0-9]*\sEdge|IEMobile|MSIEMobile|fennec|firefox.*maemo|
(Mobile|Tablet).*Firefox|Firefox.*Mobile|FxiOS|bolt|teashark|Blazer|Version.*Mobile.*Safari|
Safari.*Mobile|MobileSafari|Tizen|UC.*Browser|UCWEB|baiduboxapp|baidubrowser|
DiigoBrowser|Puffin|\bMercury\b|Obigo|NF-Browser|NokiaBrowser|OviBrowser|OneBrowser|TwonkyBeamBrowser|SEMC.*Browser|
FlyFlow|Minimo|NetFront|Novarra-Vision|MQQBrowser|MicroMessenger|
Android.*PaleMoon|Mobile.*PaleMoon|Android|blackberry|
\bBB10\b|rim\stablet\sos|PalmOS|avantgo|blazer|elaine|
hiptop|palm|plucker|xiino|Symbian|SymbOS|Series60|
Series40|SYB-[0-9]+|\bS60\b|Windows\sCE.*(PPC|Smartphone|Mobile
|[0-9]{3}x[0-9]{3})|Window\sMobile|Windows\sPhone\s[0-9.]+|WCE;|Windows\sPhone\s10.0|Windows\sPhone\s8.1|
Windows\sPhone\s8.0|Windows\sPhone\sOS|XBLWP7|
ZuneWP7|Windows\sNT\s6\.[23]\;\sARM\;|\biPhone.*Mobile|\biPod|\biPad|
Apple-iPhone7C2|MeeGo|Maemo|J2ME\/|\bMIDP\b|\bCLDC\b|webOS|
hpwOS|\bBada\b|BREW).*$ [NC]

Такая штука может не понравиться Яндексу. Лучше этого избегать.

Если ошибок на сайте не видно, переадресаций и вирусов нет, следует обратить внимание на количество рекламы. Возможно Яндексу не нравится, что несколько рекламных блоков видны на одном пространстве экрана монитора. Следует уменьшить часть рекламных блоков.

Неправильный файл robots.txt

Это чуть ли не основная причина большинства проблем. Очень важно запретить все лишние страницы на сайте. Для этого делаем правильный robots.

После того как всё исправили. Из того, что казалось, нужно исправить, отправляем сайт на проверку. И ждём месяц в надежде, что это было недоразумение.

Можно даже обойтись без этой кнопки. Если конкретно те ошибки, из-за которых Яндекс поставил бан исправлены, сайт может вылезти из-под санкций чуть ли не через несколько дней после исправления.

Переводим свой сайт с HTTP на HTTPS. Бесплатный сертификат SSL.

Admin — Mon, 02 Oct 2017 04:15:48 +0000

В этой статье описана процедура получение бесплатного сертификата и перехода на защищенный протокол https.

Последняя статья по редиректам.

Как уже писал в предыдущей статье, наступила эра защищенных сайтов. Поисковик Google теперь ранжирует незащищенные сайты хуже, чем те, которые работают по защищенному протоколу. С 1 октября 2017 года этот алгоритм вступил в основную силу.

Теперь не будут возникать сомнений, переходить ли на защищенный https или нет. Очевидно, что теперь выбора не остаётся.

Получение SSL сертификата

С поиском платных компаний выдающих защищенные сертификаты, думаю проблем не возникнет. Остановимся сразу на бесплатном варианте. Сейчас он единственный и называется Let’s Encrypt. Сертификат SSL выдаётся на 3 месяца и его следует продлевать по истечении срока. Продление можно делать в автоматическом режиме.

Официальный сайт:
Let’s Encrypt

Есть разные способы установки сертификата на свой сайт. Ниже будут приведены способы установки SSL сертификата на VPS сервера с nginx под управлением CentOS 7 и CentOS 6. Вообщем-то инструкции есть и на официальном сайте.

Для панели управления Vesta есть упрощенное получение этого сертификата.

Установка SSL на CentOS 7 (Nginx)

Подключаемся к своему сайту через протокол SSH.

Для установки сертификата нужно подключить репозиторий EPEL. Для этого по очереди вводим команды:

yum -y install yum-utils
yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

Дальше устанавливаем Certbot:

sudo yum install certbot-nginx

Теперь, если мы хотим, чтобы в файл nginx.conf добавились настройки автоматически, то применяем эту команду:

sudo certbot --nginx

Если хотим (я предпочитаю первый вариант) изменять файл конфигурации потом самостоятельно, то эту:

sudo certbot --nginx certonly

Появится следующее сообщение:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel):

Вписываем свой e-mail адрес. Дальше попросят подтвердить соглашение:

Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree
in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory

Соглашаемся. И снова нас спросят, теперь о желании получать рассылку:

Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.

Соглашаемся или нет, ставим Y или N.

Далее будет выведен перечень ваших доменов на текущем IP:

Which names would you like to activate HTTPS for?
...
...
...

Ставим цифры через пробел тех сайтов, для которых хотим чтобы были выписаны сертификаты.

Не нужно выписывать сертификат отдельно на каждый сайт, если он находится на одном сервере. Однако есть одно НО, которое иногда очень важно!

Сертификат будет выдан один и с названием первого в списке сайтов. Иными словами, если захочется посмотреть сертификат на сайте «б» или «в», то в нём будет указано название сайта «a».

Если это не критично, можно устанавливать один сертификат на все домены. А иначе устанавливать отдельный сертификат для каждого.

Следующий шаг надо выбрать стоит ли перенаправлять весь трафик на зашифрованный протокол.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.

Указываем перенаправление.

На этом установка сертификатов от letsencrypt завершена (но не закончена):

Congratulations, all renewals succeeded. The following certs have been renewed:
/etc/letsencrypt/live/ploshadka.net/fullchain.pem (success)

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=ploshadka.net

В сообщении выше будут ссылки на проверку сертификата для каждого из сайтов.

Сертификат будет установлен в созданную папку, название которой будет перенимать название первого из списка ваших сайтов:

/etc/letsencrypt/live/ploshadka.net/fullchain.pem

Для папки /etc/letsencrypt рекомендуется делать резервную копию.

Настройка файла nginx.conf

Открываем файл конфигурации nginx. В Vesta под CentOS 7 команда такая:

nano /home/admin/conf/web/nginx.conf

Там для каждого сайта появятся строки, добавленные Let’s Encrypt-ом. Эти не трогаем:

listen 443 ssl; # managed by Certbot
# ssl_certificate /etc/letsencrypt/live/ploshadka.net/fullchain.pem; # managed by Certbot
#ssl_certificate_key /etc/letsencrypt/live/ploshadka.net/privkey.pem; # managed by Certbot
#include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
# ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

А закомментированные строчки редиректа мы раскомментируем:

# Redirect non-https traffic to https
if ($scheme != "https") {
return 301 https://$host$request_uri;
} # managed by Certbot

После изменений в nginx надо перезапустить эту службу.

Теперь все URL с http будут переправляться на https.

Добавляем автоматическое продление для сертификатов

В файл cron надо добавить следующую директиву:

certbot renew

Разработчики рекомендуют выполнять эту команду 2 раза в день, чтобы вовремя продлить сертификаты. Команда ни на что не влияет пока сертификаты не требуют продления. Также просят проверку сертификатов сделать в случайную минуту. Вероятно, чтобы не было одновременных нагрузок. Люди любят округлять цифры до часа.

Установка SSL на CentOS 6 (Nginx)

Для CentOS установка сертификата SSL от Let’s Encrypt вызвала ряд проблем и ошибок. Помучался я около часа в поисках ответов. И пришел к выводам, что лучше снести CentOS 6 и поставить CentOS 7, что и сделал сам и вам рекомендую.

Настройка сайта для https

Дальнейшая настройка зависит от движка сайта. Как настроить https для WordPress.

WordPress сайт не работает после переноса на другой хостинг

Admin — Thu, 28 Sep 2017 08:00:01 +0000

Иногда после переноса сайта на другой хостинг он перестаёт работать. Или не работают только внутренние страницы, особенно если включены ЧПУ ссылки.

Причин, конечно же, может быть много. Но иногда мы упускаем самое простое. Например, ошибка 404 на внутренних страницах WordPress может возникать, когда отсутсвует файл «.htaccess».

При копировании файлов с одного хостинга на другой можно случайно забыть перенести файл htaccess, потому что он скрыт.

Также если вдруг возникла ошибка 404 проверьте есть ли файл .htaccess в корне сайта и не очистился ли он случайно от данных. Например, вы что-то сохраняли в него, а место на диске не было. В итоге файл может оказаться пустым.

Как закрыть папку на сайте от просмотра

Admin — Tue, 12 Sep 2017 20:50:41 +0000

Для защиты данных на своём сайте важно закрывать директории от удалённого просмотра их содержимого. Особенно это касается папок созданных вручную, а не через CMS.

Потребовалось мне не так давно достать одно видео с бэкграунда одного из сайтов. В коде адреса на него не было и выводилось оно через base64. А это css ссылка имеющая в себе зашифрованный код изображения или видео, в котором ссылки на источник не видно. Выглядит она примерно так:

hEUgAAJqYAAB7Cky7XuAMAAAXs5LixK3q1s4gAACn304
dbABXFBVEX//v/sY7WJD+//VsI7/f//7VsZDr18f16u
PmXdvKD27OzbjYsI7//f3YtJX79PLwb39T58/D9+vr
8+fjYtphxKv79/T//fv++/zs2MjdvqLevXgxa3ky7
fz6N7ewqbapzyfwqrv5dr39Lv3tDatfwajcvJ/06eD
58+7cvaDp1Xixq/dwab++Pb++vLzo0b7t3dD3M327
unnzrrpbcup3ZtJPjo1MLevaHn0...../>

И такой код, например для видео, содержит череду беспорядочных знаков, которых хватило бы на несколько десятков страниц А4.

Я уже почти отчаялся в поисках ответов, как же достать ссылку из этого зашифрованного формата. Интернет «молчит» и сам похоже не знает как узнать ссылку из base64.

А потом совершенно случайно, подумал, а что если напрямую зайти в директорию изображения. Вдруг папка открыта.

Директорию с изображениями нашел по другим картинкам, которые тянулись из неё. И о чудо, как на ладони весь список изображений и видео вывелся на странице.

Чтобы такого безобразия на вашем сайте не было надо защищать директории от посягательств из вне. Для этого в директории папки, которую нужно защитить от просмотра, надо создать файл «.htaccess». А в нём прописать следующее:

Options All -Indexes
Deny from all

Теперь при прямой ссылке на эту папку будет возникать ошибка доступа к ней:

Как сделать редирект одной страницы на другую

Admin — Tue, 05 Sep 2017 06:22:00 +0000

Как перенаправить страницу сайта на главную страницу. Ставим редирект с одной страницы на другую.

Перенаправление страниц важно для SEO оптимизации. За время развития сайта могут отмереть какие-нибудь ссылки или за счет движка появится дубли страниц. По хорошему все подобные ссылки нужно перенаправлять на страницу, наиболее соответствующую запросу пользователя.

Редирект делается через файл .htaccess, который находится в корне директории сайта. Для перенаправления с одной страницы на другую нужна такая конструкция:

redirect 301 /some_path/ /kuda_perenapravlyaem/

Где /some_path/ — страница, с которой нужно перенаправить.

Подобная команда имеет один важный недостаток. Она будет перенаправлять все страницы сайта в котором будет встречаться указанный путь. Однако, в других случаях, именно команда redirect 301 приходит на помощь, когда, например, не работают более продвинутые команды редиректа в htaccess. Имеется ввиду RewriteCond и RewriteRule.

ЧПУ ссылки на локальном веб-сервере

Admin — Fri, 18 Aug 2017 06:01:14 +0000

Если выключены ЧПУ ссылки на сайте WordPress, то на локальном веб-сервере, например, в MAMP PRO, могут перестать открываться внутренние страницы. Прежде всего нужно убедиться, что файл .htaccess перенесен в локальную директорию сайта.

Если файл .htaccess имеется, но ссылки не работают, может помочь смена значений в файле. Нужно поменять пути с этих:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

На следующие:

# BEGIN WordPress

RewriteEngine On
RewriteBase /wordpress/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /wordpress/index.php [L]

# END WordPress

Где /wordpress/ — название вашего сайта.