HOME > Modules > htaccess Master

htaccess Master

운영하시는 홈페이지의 보안 이슈 대응 / 퍼포먼스 향상 / 트래픽 절감을 목적으로 하는 모듈입니다.
데모 확인
  • 현재 이 곳 Tiny RB Demo 홈페이지에 모든 htaccess Master 모듈의 옵션이 적용되어 있습니다.
  • 예제 데모 1)
    Option #02 적용에 따라 해킹에 의한 악성파일이 첨부파일폴더(rb/files/)에 업로드되더라도 실행 안됨.
    http://kimsq.tinyweb.co.kr/rb/files/test.php
    (위 링크 클릭하셔서 소스보기 해보시면 php파일임에도 php로 실행하지 않습니다.)
  • 예제 데모 2)
    Option #04 적용에 따라 웹 서버의 404 Not Found 에러페이지를 원하는 페이지로 변경했습니다.
    http://kimsq.tinyweb.co.kr/rb/?r=home&_themePage=404
    (웹 서버에 없는 파일(URL)을 호출하면 위 페이지로 갑니다.)
  • 이 외에도 많은 기능이 있으니 기능 목록을 확인하세요.
설치 / 사용 주의사항
  1. 유저(호스팅 사용자 계정)에게 .htaccess 파일 사용을 허락하는 Apache 서버 환경에서 구동합니다.
  2. 일부 기능은 서버 환경에 따라 작동하지 않을 수 있습니다.
  3. KimsQ RB 설치 폴더에 .htaccess 파일이 퍼미션 707 형태로 존재해야 구동이 가능합니다.
  4. .htaccess 파일이 오류가 생길 경우 홈페이지 전체가 접속불가 상태가 됩니다. 문제가 생길 경우 서버로 FTP 접속하셔서 .htaccess 파일을 지우시기 바랍니다.
기능 목록
  • Option #01 - (필수) KimsQ RB Database 정보파일 (./_var/db.info.php) 보호 db.info.php 파일에는 DB에 접근하는 DB User 아이디와 비밀번호가 있습니다. 이 파일을 접근 불가능하게 보호합니다. 적용 후 URL로 파일을 직접 호출해 보시면 서버차원에서 보호되는 것을 확인 하실 수 있습니다.
  • Option #02 - (필수) KimsQ RB 첨부파일 폴더 (./files) 및 템프파일 폴더 (./_tmp) 보호 업로드 관련 기능의 취약점을 이용한 해킹을 대비합니다. 별도의 .htaccess 파일이 생성됩니다. (files 폴더와 _tmp 폴더 안에) 적용 후엔 첨부파일 폴더와 템프파일 폴더에 악의적으로 PHP코드가 심어진 파일이 들어오더라도 PHP로 실행하지 않습니다.
  • Option #03 - (필수) .htaccess 파일 (./.htaccess) 보호 웹 서버 유저 (호스팅사용자) 별로 일부 아파치 환경설정을 바꿀 수 있는 .htaccess 파일을 보호합니다. 적용 후엔 .htaccess 파일을 서버차원에서 보호합니다. 아파치 환경설정을 변경해 악의적인 목적을 달성하는 해킹을 예방합니다.
  • Option #04 - 웹 서버의 404 Not found 에러 (파일없음) 페이지 변경 잘못된 URL주소로 들어왔을 때 웹 서버 기본 404 Not found 에러 페이지는 홈페이지 운영에 도움이 되지 않습니다. 메인페이지로 보내시거나 또는 별도의 킴스큐 에러 안내 페이지를 만들어 적용해 보세요.
  • Option #05 - 웹 서버의 403 Forbidden 에러 (권한없음) 페이지 변경 URL 오류나 보안이 적용된 경로에 들어왔을 때 웹 서버 기본 403 Forbidden 에러 페이지는 홈페이지 운영에 도움이 되지 않습니다. 메인페이지로 보내시거나 또는 별도의 킴스큐 에러 안내 페이지를 만들어 적용해 보세요.
  • Option #06 - 웹 서버의 500 Internal Server 에러 (프로그램오류) 페이지 변경 프로그램에 오류가 났을 때 웹 서버 기본 500 Internal Server 에러 페이지는 개발작업 중에만 필요합니다. 메인페이지로 보내시거나 또는 별도의 킴스큐 에러 안내 페이지를 만들어 적용해 보세요.
  • Option #07 - 홈페이지 주소에서 WWW 없애기 도메인 주소에서 WWW 가 앞에 있는 것과 없는 것은 별도의 홈페이지 취급을 합니다. 세션 로그인 유지라든가 네이버/다음의 API 신청 시에도 WWW 없이 하나의 도메인만 신청하는 편의성을 확보합니다. 일부 API 신청할때는 WWW 있고 없고 두개를 신청해야 한답니다.
  • Option #08 - (권장) 이미지 파일 무단링크 방지 (jpg,jpeg,png,gif,bmp) 우리 서버에 있는 이미지 파일을 다른 홈페이지에서 http 방식으로 링크하는 것을 방지합니다. 트래픽 절약에 상당히 효과가 있지만, 홈페이지 이용회원들의 반발이 있을 수도 있으니 검토가 필요합니다.
  • Option #09 - (권장) 데이터 파일 무단링크 방지 (pdf,zip,hwp,doc,docx,ppt,pptx,pps,ppsx,xls,xlsx) 우리 서버에 있는 데이터 파일을 다른 홈페이지에서 http:// 방식으로 링크하는 것을 방지합니다. 트래픽 절약에 상당히 효과가 있지만, 홈페이지 이용회원들의 반발이 있을 수도 있으니 검토가 필요합니다.
  • Option #10 - (필수) 최적 CACHE 설정 - 트래픽 대폭 감소 브라우저 캐시 관련 파일 종류별로 최적 만기일을 설정합니다. 설정이 없을 경우 보통 1주일이 지나면 새로 다운로드 받습니다. 파일 종류별로 캐시 만기일을 최적 설정해 놓을 경우 약 1개월 후 부터는 웹 사이트의 재 방문율이 높을경우 평균 트래픽이 20%이상 감소합니다.
  • Option #11 - (필수) 악성 봇 (bots) 차단 홈페이지 전체를 통채로 긁어가는 용도의 어플이 있습니다. 이와 비슷한 어플들을 악성 봇으로 판단하여 차단합니다. 이런 어플을 사용하는 사람들은 나름의 이유가 있겠습니다만, 홈페이지 운영에 있어서는 트래픽은 곧 돈입니다. 필수로 설정하십시오.
  • Option #12 - (필수) 디렉토리 리스팅 방지 웹서버의 특정 폴더에 index 파일이 없을 경우 디렉토리 전체를 리스트하지 않게 합니다. 대부분의 서버에 이미 설정되어 있습니다. 단, 외국 일부 웹호스팅 업체나 개인적으로 서버 세팅을 하셨을 경우 설정이 미처 되어 있지 않을 수 있습니다.
  • Option #13 - 일부 데이터 파일을 브라우저에서 바로 열리는 경우없이 무조건 다운로드 (pdf,csv,hwp,doc,docx,ppt,pptx,pps,ppsx,xls,xlsx) 위 파일 확장자를 가진 파일은 윈도우 설정에 따라 브라우저에서 바로 열리기도 합니다. 무조건 다운로드 되도록 하는 설정이나, 아쉽게도 일부 서버 환경에서만 적용됩니다.
  • Option #14 - (권장) 서버 서명 (Signature) 출력 안함 서버 관련 에러페이지를 보면 하단에 서버 서명 (Signature) 이 출력됩니다. 그 서명안에 서버 버전 정보와 호스트명 그리고 포트번호가 나오는데 해커에 의해 악용될 수 있으니 지우도록 합시다.
2012. 06. 28 (버전 1.1.0) 업데이트 : 홈페이지 주소에서 WWW 없애기 옵션과 반대로 WWW 붙이기 옵션을 추가했습니다.
자료 다운로드 및 문의,평가 바로가기 (KimsQ Market)
Tiny's Recent Tweets
Donations