Basic Authentication, staging, demo veya sınırlı yönetim dizinleri için hızlı bir ek koruma katmanıdır. `.htpasswd` mümkünse web root dışında tutulmalı, mutlak dosya yolu kullanılmalı ve kullanıcı adı/parola yalnız HTTPS üzerinden gönderilmelidir.
401 Unauthorized
AuthType Basic
AuthUserFile /home/user/.htpasswd
Require valid-user
password mismatchBasic Authentication, staging, demo veya sınırlı yönetim dizinleri için hızlı bir ek koruma katmanıdır. `.htpasswd` mümkünse web root dışında tutulmalı, mutlak dosya yolu kullanılmalı ve kullanıcı adı/parola yalnız HTTPS üzerinden gönderilmelidir.
Apache, LiteSpeed, Plesk proxy veya NGINX-only yapıyı ayırmadan `.htaccess` sonucu beklemeyin.
Mevcut dosyayı tarihli yedekleyin; Apache/LiteSpeed hata kaydındaki directive ve satırı bulun.
Redirect, rewrite, header ve erişim kurallarını aynı anda topluca değiştirmeyin.
curl ile status, Location, Content-Type ve redirect sayısını ölçüp cache katmanlarını ayrıca kontrol edin.
Parola dosyasını herkesin indirebileceği web root içinde tutmayın.
Anlamı: Girilen kullanıcı doğrulanamıyor.
Muhtemel neden: Yanlış parola, dosya yolu veya format.
Anlamı: Apache parola dosyasına erişemiyor.
Muhtemel neden: Relative path veya izin.
Anlamı: AuthConfig override izni kapalı.
Muhtemel neden: AllowOverride AuthConfig yok.
Anlamı: Basic Auth bilgileri TLS olmadan korunmuyor.
Muhtemel neden: HTTPS zorunlu değil.
Anlamı: Dizin seviyesi Basic Auth tüm endpointleri koruyor.
Muhtemel neden: WordPress/API aynı rootta.
Anlamı: Load balancer izleme URL’si parola istiyor.
Muhtemel neden: Tüm site korumalı.
Anlamı: `-c` mevcut dosyayı yeniden oluşturdu.
Muhtemel neden: Yeni kullanıcı eklerken tekrar `-c` kullanıldı.
Anlamı: Panel kendi parola dizini ve kurallarını yönetiyor.
Muhtemel neden: Panel otomasyonu.
Bu ifadeyle eşleşen kayıt bulunamadı.
htpasswd -c /home/USER/.htpasswd demoYeni parola dosyası ve ilk kullanıcıyı oluşturur; mevcut dosyada kullanmayın.
htpasswd /home/USER/.htpasswd yoneticiMevcut parola dosyasına kullanıcı ekler veya parolasını günceller.
cut -d: -f1 /home/USER/.htpasswdHash göstermeden kullanıcı adlarını listeler.
stat -c '%a %U:%G %n' /home/USER/.htpasswd .htaccess 2>/dev/null || stat -f '%Lp %Su:%Sg %N' /home/USER/.htpasswd .htaccessParola ve kural dosyalarının izinlerini gösterir.
curl -sS -o /dev/null -w 'Without auth: %{http_code}\n' https://example.com/staging/; curl -sS -u demo:PAROLA -o /dev/null -w 'With auth: %{http_code}\n' https://example.com/staging/Kimlik doğrulamasız ve doğrulamalı cevabı karşılaştırır.
apachectl -M 2>/dev/null | grep -E 'auth_basic|authn_file|authz_user'Basic Auth için gerekli modülleri gösterir.
AuthUserFile .htpasswd
Require valid-userAuthType Basic
AuthName "Yetkili Erişim"
AuthUserFile /home/USER/.htpasswd
Require valid-userAuthUserFile /var/www/html/.htpasswdAuthUserFile /home/USER/.htpasswdhtpasswd -c /home/USER/.htpasswd ikincihtpasswd /home/USER/.htpasswd ikinciAuthType Basic
Require valid-userRewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://example.com%{REQUEST_URI} [R=302,L]
AuthType Basic
AuthName "Yetkili Erişim"
AuthUserFile /home/USER/.htpasswd
Require valid-userBasic Auth directive’leri Apache uyumlu sunucularda `.htaccess` bağlamında kullanılabilir.
Directory Privacy ve Password-Protected Directories özellikleri dosyaları güvenli biçimde yönetebilir.
Tüm uygulamayı korumak API, webhook ve ödeme callback’lerini engelleyebilir.
Hayır. NGINX `.htaccess` dosyalarını okumaz. Kuralın `server` veya `location` yapılandırmasına çevrilmesi gerekir.
Genellikle hayır; Apache `.htaccess` dosyasını istek sırasında değerlendirir. Ancak sunucu VirtualHost, modül veya AllowOverride değişikliğinde reload/restart gerekir.
Mevcut dosyanın tarihli yedeği alınmalı, aktif document root doğrulanmalı ve değişiklik staging veya düşük trafikli zamanda test edilmelidir.
cPanel’de çoğunlukla `public_html`, Plesk’te `httpdocs` içindedir; addon domain ve subdomainlerin document root’u farklı olabilir.
LiteSpeed Apache uyumluluğu sayesinde kuralların büyük bölümünü destekler; bazı modül ve handler davranışları farklı olabilir.
Apache/LiteSpeed error log içindeki tam directive ve satır kaydıdır. Dosyayı rastgele silmek yerine loga göre geri alınmalıdır.
Alan adı, document root, proxy, WordPress ve sunucu yapısı doğrulanmadan doğrudan eklenmemelidir. Örnekler uyarlanıp test edilmelidir.
cPanel, Plesk, LiteSpeed, WordPress, özel PHP ve WISECP yapılarında yönlendirme, rewrite, CORS, erişim ve 500 hatalarını loglarla birlikte inceliyoruz.