Como proteger o acesso a um diretório no seu alojamento web?

Procédure

Objetivo

Esta documentação guia-o passo a passo através da segurança do acesso a um diretório específico no seu alojamento web utilizando a proteção por palavra-passe. Há duas maneiras de fazer isso:

• Método 1: Usando o Painel LWS, que gera automaticamente os ficheiros necessários.
• Método 2: Criação manual de ficheiros .htaccess e .htpasswd se preferir gerir a configuração por si próprio.

Porquê proteger um diretório?

A proteção de um diretório com uma palavra-passe é essencial quando tem informações sensíveis ou privadas às quais só quer que determinadas pessoas tenham acesso. Isto pode ser útil para diretórios que contenham ficheiros administrativos, documentos reservados a uma equipa ou dados confidenciais. Esta proteção garante que apenas as pessoas autorizadas podem aceder a estes ficheiros.

Detalhes importantes

• O diretório raiz (htdocs): É importante notar que o diretório raiz não pode ser protegido usando o método simplificado do Painel LWS. Este método não permite proteger o diretório raiz do seu sítio. Se quiser proteger este diretório, terá de usar o método manual, criando e configurando os ficheiros .htaccess e .htpasswd diretamente.
• Propagação da proteção para subdirectórios: Quando protege um diretório, esta proteção é automaticamente aplicada a todos os subdirectórios e ficheiros contidos nesse diretório. Isto significa que se adicionar proteção a uma pasta, todas as páginas e recursos dentro dessa pasta também serão protegidos por palavra-passe. Se pretender excluir determinados subdirectórios da proteção, isso requer uma configuração específica no ficheiro .htaccess.

Pré-requisitos

• Alojamento Web gerido pelo Painel LWS (excluindo o pacote de domínio).
• Acesso ao seu Painel LWS ou a capacidade de manipular ficheiros no seu alojamento através de FTP ou de um gestor de ficheiros.
• Um nome de utilizador e uma senha que deseja atribuir para aceder ao diretório protegido.

Método 1: Proteção através do Painel LWS

Passo 1: Aceder ao Painel LWS

1. Inicie sessão na sua área de cliente LWS.
2. Selecione o domínio para o qual pretende adicionar proteção.
3. Na secção "Ficheiros", clique em "Proteção de pastas".
   

Passo 2: Preencher o formulário de proteção

1. Introduza um nome de utilizador e uma palavra-passe. Esta informação será utilizada para aceder ao diretório protegido.
   
2. Especifique o diretório a ser protegido (4) para terminar (com exceção do diretório raiz).

Etapa 3: Ativar a proteção

1. clique no botão de validação (5)
2. Uma vez validado o formulário, o painel LWS gera automaticamente os ficheiros necessários: .htaccess e .htpasswd são criados e colocados no diretório a proteger. Não os apague, caso contrário o diretório deixará de ser seguro.
3. A proteção por palavra-passe é activada imediatamente. A partir desse momento, qualquer pessoa que tente aceder ao diretório terá de introduzir o nome de utilizador e a palavra-passe que foram definidos.

Método 2: Proteção manual através de ficheiros .htaccess e .htpasswd

Se preferir gerir você mesmo a configuração da proteção por palavra-passe, pode criar manualmente os ficheiros .htaccess e .htpasswd. Eis como o fazer, passo a passo.

Passo 1: Criar o ficheiro .htpasswd

O ficheiro .htpasswd contém as credenciais (nome de utilizador e palavra-passe) utilizadas para aceder ao diretório protegido. Este ficheiro deve ser colocado num local seguro, fora do alcance dos visitantes do seu sítio.

1. Ligue-se ao seu gestor de ficheiros através do Painel LWS ou utilize um cliente FTP como o FileZilla.
2. Vá para o diretório onde deseja armazenar o arquivo .htpasswd. IMPORTANTE: Recomenda-se que não o coloque no diretório que pretende proteger. Pode criar uma pasta privada na raiz do seu site, como private/, para colocar este ficheiro.
3. Crie um ficheiro chamado .htpasswd neste diretório.

4. Adicione um nome de utilizador e uma palavra-passe a este ficheiro com o formato :

   nome de utilizador:palavra-passe

   Exemplo: Se quiser que o utilizador seja "admin" com a palavra-passe "secret123", deve começar por encriptar a palavra-passe (pode utilizar um gerador online para o efeito). Após a encriptação, pode ter o seguinte aspeto:

   admin:$apr1$N9j7h9gk$JdFqjD/yDg2wMNtnTsdwU.

   Pode utilizar geradores online, como o gerador htpasswd, para criar a palavra-passe segura.

Passo 2: Criar ou modificar o ficheiro .htaccess

O ficheiro .htaccess é responsável pela gestão das regras de acesso ao seu diretório. Deve ser colocado no diretório que pretende proteger. Se o ficheiro .htaccess já existir, é necessário modificá-lo.

1. Vá para o diretório que pretende proteger (por exemplo, uma pasta privada).
2. Se o ficheiro .htaccess ainda não existir, crie-o nesse diretório. Se este ficheiro já existir, abra-o para o editar.

3. Adicione as seguintes linhas ao arquivo .htaccess para ativar a proteção por senha:

   AuthType Basic AuthName "Área protegida" AuthUserFile /path/to/.htpasswd Require valid-user

   Explicação das linhas :

   • AuthType Basic: define o tipo de proteção (neste caso, proteção básica por palavra-passe).
   • AuthName "Área protegida": Este texto será apresentado na caixa de diálogo do pedido de início de sessão. Pode personalizá-lo (por exemplo: "Acesso restrito").
   • AuthUserFile /path/to/.htpasswd: é aqui que especifica o caminho absoluto para o ficheiro .htpasswd que criou no passo anterior. Exemplo: se o arquivo .htpasswd estiver em uma pasta privada, o caminho pode ser /home/user/private/.htpasswd.
   • Exigir utilizador válido: Isto significa que um utilizador válido, cujo nome de utilizador e palavra-passe estejam no ficheiro .htpasswd, poderá aceder ao diretório.

   IMPORTANTE: Certifique-se de que utiliza o caminho absoluto para o ficheiro .htpasswd, para que o servidor possa encontrar este ficheiro onde quer que esteja localizado.

Verificação e resultado esperado

• Deverá ser redireccionado para uma janela de início de sessão quando tentar aceder ao diretório protegido. Depois de ter introduzido as informações corretas, será autorizado a aceder ao conteúdo.
  
• Se receber uma mensagem de erro, certifique-se de que o caminho para o ficheiro .htpasswd está correto e que o ficheiro contém credenciais encriptadas válidas.

Erros comuns

1. Erro 403 (Acesso negado):
   • Verifique se o arquivo .htpasswd está em um diretório seguro e se seu caminho está especificado corretamente no arquivo .htaccess.
   • Certifique-se de que o ficheiro .htpasswd contém as credenciais encriptadas e que está corretamente formatado.
2. Palavra-passe incorrecta :
   • Se a palavra-passe não funcionar, verifique se está corretamente encriptada no ficheiro .htpasswd. Utilize um gerador de palavras-passe encriptadas online para gerar uma nova palavra-passe segura.
3. Erro 404 (Ficheiro não encontrado):
   • Certifique-se de que o ficheiro .htaccess está no diretório correto e que tem o nome correto (com um ponto final à frente).

Conclusão

Proteger um diretório com uma senha é um método simples e eficaz de proteger informações confidenciais no seu site. Pode optar por fazê-lo através do Painel LWS, que gera automaticamente os ficheiros necessários, ou manualmente, criando e configurando os ficheiros .htaccess e .htpasswd. Ambos os métodos asseguram que apenas as pessoas com as credenciais corretas podem aceder ao conteúdo do diretório.

[tips_related_readings]

• Protegendo seu site com SSL
• Gestão avançada de ficheiros .htaccess

[/dicas]