Como proteger un directorio en un sitio web con contraseña

Posted: noviembre 13th, 2010 | Author: | Filed under: Internet, Recursos Web | Comentarios desactivados en Como proteger un directorio en un sitio web con contraseña

Gestores FOREX y asesoria en inversiones. Mercado de divisas.

Al momento de desarrollar un nuevo sitio web suele suceder que debemos publicar el sitio para que el clienta pueda verlo, pero no queremos que el resto del mundo acceda hasta el momento en que este listo. Tampoco queremos que los buscadores lo indexen, ya que daran de alta el contenido que puede ser de prueba o bien podemos tener el sitio en una url temporal, como un subdominio o un dominio de desarrollo. Para evitar dolores de cabeza más tarde viendo como el contenido es indexado mezclando los sitios podemos colocar una contraseña y evitar el indexado erróneo.

Una solución simple en Apache es utilizar un archivo .htaccess y .htpasswd para crear una simple autenticación de usuario. El procedimiento que debemos seguir es simple. Primero definimos un nombre de usuario y contraseña, por ejemplo:

  • Usuario: usuario
  • Contraseña: 123456

El siguiente paso es comprender como funciona el sistema de autenticación de Apache. Debemos crear un archivo .htpasswd que contendrá el usuario y contraseña. Creamos un archivo .htpasswd con el siguiente contenido (si lo hacemos en windows con notepad debemos tener cuidado al guardar de seleccionar todas las extensiones de archivo, ya que por defecto esta marcada la opción Archivos de Texto que nos agrega .txt al final):

usuario:gtXa5NHfNQI9U

El archivo .htpasswd contiene simplemente eso. Como pueden ver la contraseña se encuentra encodeada en base 64, por lo cual si trabajos en un servidor compartido no debemos confiar a este sistema una seguridad de relevancia. Es una simple barrera, no un sistema infalible…

Para encodear la contraseña a base 64 podemos buscar en Google alguna de las webs que hacen esto online, por ejemplo: http://www.motobit.com/util/base64-decoder-encoder.asp

Colocamos el nombre de usuario, dos puntos y la contraseña encodeada.

Hecho esto colocamos este archivo en un directorio que no sea visible desde el servidor web. Es decir que si tipeamos una URL no podamos acceder al mismo. Si estamos trabajando en un servidor Apache en Linux, podríamos tener nuestro sitio web en una ruta como la siguiente:

/var/www/vhosts/sitioweb.com/

Por lo general tendremos un directorio httpdocs que es donde colocamos los archivos web, pero tendremos cuidado de NO colocar el .htpasswd ahí para que no sea visible desde Internet. Colocamos el archivo en la siguiente ubicación:

/var/www/vhosts/sitioweb.com/.htpasswd

Hecho esto pasamos a proteger el directorio, por ejemplo podría ser el siguiente:

/var/www/vhosts/sitioweb.com/httpdocs/nuevo

El archivo .htaccess contendrá lo siguiente:

AuthName «Restricted Area»
AuthType Basic
AuthUserFile /var/www/vhosts/sitioweb.com/.htpasswd
AuthGroupFile /dev/null
require valid-user

Como ven desde el .htaccess pedimos que Apache autentique con el archivo .htpasswd. El archivo .htaccess quedaría ubicado así:

/var/www/vhosts/sitioweb.com/httpdocs/nuevo/.htaccess

Listo, con estos dos archivos en su lugar y con las rutas correctas, veremos el mensaje que pide usuario y contraseña al acceder al sitio web.

Al momento de desarrollar un nuevo sitio web suele suceder que debemos publicar el sitio para que el clienta pueda verlo, pero no queremos que el resto del mundo acceda hasta el momento en que este listo. Tampoco queremos que los buscadores lo indexen, ya que daran de alta el contenido que puede ser de prueba o bien podemos tener el sitio en una url temporal, como un subdominio o un dominio de desarrollo. Para evitar dolores de cabeza más tarde viendo como el contenido es indexado mezclando los sitios podemos colocar una contraseña y evitar el indexado erróneo.


Comments are closed.