Riadenie prístupov na webovú stránku

Návod pre mierne pokročilých

V prípade ak sa na Vašej stránke množia spamové komentáre, dochádza k častým pokusom o preniknutie od automatizovaných robotov, váš web bol napadnutý, resp. iným spôsobom zneužitý alebo jednoducho chcete pre bezpečnosť z určitej krajiny jednoduchým spôsobom prístup zamedziť, budú ako prvé kroky k náprave potrebné:


  • overiť stupeň napadnutia Vášho webu nástrojom Webscanner
  • blokovať prístup na webovú stránku na základe krajiny, z ktorej IP adresa pochádza
  • blokovať IP adresy, z ktorých útoky pochádzajú

Zablokovanie prístupu na základe krajiny

Je dôležité analyzovať prístupy na stránku, z ktorej napadnutie pochádza – je to možné buď externým, ale veľmi využívaným nástrojom Google Analytics alebo cez offline analýzu pomocou nami doporučeného nástroja Apache viewer . V tomto kroku je potrebné zistiť GeoIP kód krajiny (podľa normy iso3166). Pri tejto analýze tiež pomôže klasifikácia podľa nasledujúceho zoznamu krajín Po zistení priameho kódu krajiny viete riadiť prístup direktívami v súbore .htaccess , pričom každú neželanú krajinu viete pridať jednoduchým príkazom:

<IfModule mod_geoip.c>
GeoIPEnable On
</IfModule>

<IfModule mod_setenvif.c>
SetEnvIf GEOIP_COUNTRY_CODE PL dny
SetEnvIf GEOIP_COUNTRY_CODE RU dny
SetEnvIf GEOIP_COUNTRY_CODE CN dny
</IfModule>

<RequireAll>
Require all granted
Require not env dny
</RequireAll>

Tento kód napríklad blokuje prístup z Ukrajiny, Ruska a Číny. Tento postup je možné kopírovať pre viac krajín, prípadne direktívu tzv. „otočiť“. 

V prípade potreby môžeme povoliť prístup len z vybraných krajín. Kód uvedený nižšie povoľuje prístup zo Holandska, Francúzska a Poľska.

<IfModule mod_geoip.c>
GeoIPEnable On

SetEnvIf GEOIP_COUNTRY_CODE NL allowed_country
SetEnvIf GEOIP_COUNTRY_CODE FR allowed_country
SetEnvIf GEOIP_COUNTRY_CODE PL allowed_country
# Add more countries as needed with the SetEnvIf directive
</IfModule>

<RequireAny>
Require env allowed_country
Require all denied
# Deny access to all other requests
</RequireAny>

Taktiež je možné použiť rôzne bezplatné nástroje (väčšinou v Angličtine) na generovanie kódu, ktorý cez htaccess súbor môžete použiť. Nami odporúčaná stránka je countryipblocks.net.


Zablokovanie prístupu na základe ip adresy

V niektorých prípadoch môže byť potrebné obmedziť prístup k webu z niektorej IP adresy alebo naopak prístup povoliť iba pre niektorú IP adresu, či už z dôvodu bezpečnosti alebo testovania webu. Prístup je možné riadiť pomocou súboru .htaccess pomocou direktív Order, Allow a Deny spomenutých už vyššie pre prístup z určitej lokácie. Direktíva Allow povoľuje prístup z IP adresy, Deny prístup blokuje. 

Pokiaľ teda potrebujete napríklad blokovať prístup z IP 93.23.11.7  , pridáte do  .htaccess

Deny from 93.23.11.7

Tieto direktívy sa spracúvajú v troch krokoch, poradie spracovania určuje direktíva Order.

Narozdiel od typického firewallu platí vždy posledné zachytené pravidlo, direktívy sú spracované v skupinách, najprv Allow, potom Deny, alebo naopak. Možné poradia určené direktivou Order sú:

Order Deny,Allow

Prvé sú spracované direktívy Deny, následne Allow, Akákoľvek adresa, ktorá spadá pod Deny bude zamietnutá, ak nespadá aj pod direktívu Allow. Ak požiadavka nespadá ani pod Deny, ani pod Allow, je povolená.  

Order Allow,Deny

Ako prvé sú spracované direktívy Allow a následne Deny. Pokiaľ prístup spadá pod pravidlá definované v Deny, bude prístup blokovaný bez ohľadu na to, či spadá aj pod pravidlá z direktív Allow. Ak IP adresa nespadá ani pod jednu z direktív, je blokovaná. 

V nasledovnom kóde je prístup povolený iba z IP 37.13.22.16, z ostatných adries je prístup zamietnutý:

Order Deny,Allow
Deny from all
Allow from 37.13.22.16

Aktualizované 5. septembra 2024

Bol pre vás tento návod nápomocný?

Mohlo by vás tiež zaujímať:

Spýtajte sa nás, radi poradíme
Po - Ne 8:00-22:00
Kontaktovať podporu