Arama Yap Mesaj Gönder
Biz Sizi Arayalım
+90
X
X
X
X

Bize Ulaşın

Konum Halkalı merkez mahallesi fatih cd ozgur apt no 46 , Küçükçekmece , İstanbul , 34303 , TR
Apache Basic Authentication

Apache Klasörü `.htaccess` ile Nasıl Şifrelenir?

Basic Authentication, staging, demo veya sınırlı yönetim dizinleri için hızlı bir ek koruma katmanıdır. `.htpasswd` mümkünse web root dışında tutulmalı, mutlak dosya yolu kullanılmalı ve kullanıcı adı/parola yalnız HTTPS üzerinden gönderilmelidir.

htpasswdBasic AuthAuthUserFile401Staging
Apache / LiteSpeed Diagnostics
401 Unauthorized
AuthType Basic
AuthUserFile /home/user/.htpasswd
Require valid-user
password mismatch
01Dosyayı ve document root’u doğrulayın
02Yedek alıp hata logunu okuyun
03Sunucu ve uygulama bağlamını ayırın
04curl ile canlı sonucu doğrulayın
01
Güvenli teknik yaklaşım

.htaccess ve .htpasswd Şifre Koruması nasıl analiz edilir?

Basic Authentication, staging, demo veya sınırlı yönetim dizinleri için hızlı bir ek koruma katmanıdır. `.htpasswd` mümkünse web root dışında tutulmalı, mutlak dosya yolu kullanılmalı ve kullanıcı adı/parola yalnız HTTPS üzerinden gönderilmelidir.

01

Sunucu türünü belirleyin

Apache, LiteSpeed, Plesk proxy veya NGINX-only yapıyı ayırmadan `.htaccess` sonucu beklemeyin.

02

Yedek ve log alın

Mevcut dosyayı tarihli yedekleyin; Apache/LiteSpeed hata kaydındaki directive ve satırı bulun.

03

Tek kural değiştirin

Redirect, rewrite, header ve erişim kurallarını aynı anda topluca değiştirmeyin.

04

Dışarıdan test edin

curl ile status, Location, Content-Type ve redirect sayısını ölçüp cache katmanlarını ayrıca kontrol edin.

Parola dosyasını herkesin indirebileceği web root içinde tutmayın.

02
Canlı sorun sözlüğü

Apache, yönlendirme ve erişim mesajları

01kritik

401 sürekli tekrarlanıyor

Anlamı: Girilen kullanıcı doğrulanamıyor.

Muhtemel neden: Yanlış parola, dosya yolu veya format.

02uyari

AuthUserFile not found

Anlamı: Apache parola dosyasına erişemiyor.

Muhtemel neden: Relative path veya izin.

03uyari

AuthType not allowed here

Anlamı: AuthConfig override izni kapalı.

Muhtemel neden: AllowOverride AuthConfig yok.

04uyari

Parola HTTP üzerinden gidiyor

Anlamı: Basic Auth bilgileri TLS olmadan korunmuyor.

Muhtemel neden: HTTPS zorunlu değil.

05uyari

REST API 401 oluyor

Anlamı: Dizin seviyesi Basic Auth tüm endpointleri koruyor.

Muhtemel neden: WordPress/API aynı rootta.

06uyari

Health check başarısız

Anlamı: Load balancer izleme URL’si parola istiyor.

Muhtemel neden: Tüm site korumalı.

07uyari

htpasswd -c kullanıcıları sildi

Anlamı: `-c` mevcut dosyayı yeniden oluşturdu.

Muhtemel neden: Yeni kullanıcı eklerken tekrar `-c` kullanıldı.

08bilgi

cPanel/Plesk farklı dosya üretti

Anlamı: Panel kendi parola dizini ve kurallarını yönetiyor.

Muhtemel neden: Panel otomasyonu.

Bu ifadeyle eşleşen kayıt bulunamadı.

03
Kopyalanabilir kontroller

curl, Apache log ve dosya testleri

İlk kullanıcı oluşturma

htpasswd -c /home/USER/.htpasswd demo

Yeni parola dosyası ve ilk kullanıcıyı oluşturur; mevcut dosyada kullanmayın.

Yeni kullanıcı ekleme

htpasswd /home/USER/.htpasswd yonetici

Mevcut parola dosyasına kullanıcı ekler veya parolasını günceller.

Kullanıcıları listeleme

cut -d: -f1 /home/USER/.htpasswd

Hash göstermeden kullanıcı adlarını listeler.

Dosya izinleri

stat -c '%a %U:%G %n' /home/USER/.htpasswd .htaccess 2>/dev/null || stat -f '%Lp %Su:%Sg %N' /home/USER/.htpasswd .htaccess

Parola ve kural dosyalarının izinlerini gösterir.

401 testi

curl -sS -o /dev/null -w 'Without auth: %{http_code}\n' https://example.com/staging/; curl -sS -u demo:PAROLA -o /dev/null -w 'With auth: %{http_code}\n' https://example.com/staging/

Kimlik doğrulamasız ve doğrulamalı cevabı karşılaştırır.

Apache auth modülleri

apachectl -M 2>/dev/null | grep -E 'auth_basic|authn_file|authz_user'

Basic Auth için gerekli modülleri gösterir.

04
Doğru ve hatalı yapı

.htaccess kural karşılaştırmaları

Klasör koruması

Riskli / Hatalı
AuthUserFile .htpasswd
Require valid-user
Doğru Yaklaşım
AuthType Basic
AuthName "Yetkili Erişim"
AuthUserFile /home/USER/.htpasswd
Require valid-user

Web root içinde parola dosyası

Riskli / Hatalı
AuthUserFile /var/www/html/.htpasswd
Doğru Yaklaşım
AuthUserFile /home/USER/.htpasswd

Yalnız ilk oluşturmada -c

Riskli / Hatalı
htpasswd -c /home/USER/.htpasswd ikinci
Doğru Yaklaşım
htpasswd /home/USER/.htpasswd ikinci

HTTPS zorunluluğu

Riskli / Hatalı
AuthType Basic
Require valid-user
Doğru Yaklaşım
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://example.com%{REQUEST_URI} [R=302,L]
AuthType Basic
AuthName "Yetkili Erişim"
AuthUserFile /home/USER/.htpasswd
Require valid-user
05
Altyapıya göre uygulama

Apache, cPanel, Plesk, LiteSpeed ve uygulamalar

Apache / LiteSpeed

Basic Auth directive’leri Apache uyumlu sunucularda `.htaccess` bağlamında kullanılabilir.

  • AllowOverride AuthConfig iznini doğrulayın.
  • Parola dosyasını web root dışında tutun.
  • HTTPS ve rate limit ile birlikte kullanın.

cPanel / Plesk

Directory Privacy ve Password-Protected Directories özellikleri dosyaları güvenli biçimde yönetebilir.

  • Panel aracını kullanıyorsanız manuel dosyayı karıştırmayın.
  • Addon domain root’unu doğru seçin.
  • Kullanıcı silme ve parola rotasyonunu panelden yönetin.

WordPress / WISECP / Staging

Tüm uygulamayı korumak API, webhook ve ödeme callback’lerini engelleyebilir.

  • Staging’i ayrı subdomain yapın.
  • Webhook gerektiren entegrasyonları test edin.
  • Production admin güvenliğini yalnız Basic Auth’a bırakmayın.
Yanlış müdahaleler

Kesinlikle yapmayın

  • Parola dosyasını herkesin indirebileceği web root içinde tutmayın.
  • Mevcut `.htpasswd` dosyasında yeni kullanıcı eklerken `-c` kullanmayın.
  • Basic Auth’u HTTPS olmadan yayınlamayın.
  • Ödeme webhook, API ve sağlık kontrolü etkisini test etmeden tüm siteyi kilitlemeyin.
İşlem sonrası kontrol

Çözümü doğrulayın

  • Yetkisiz istek 401 ve doğru kullanıcı 200/uygun kod dönüyor.
  • Parola dosyası URL üzerinden indirilemiyor.
  • HTTPS ve sertifika doğrulaması başarılı.
  • API, webhook ve yönetim akışları planlandığı şekilde çalışıyor.
06
İç SEO içerik kümesi

İlgili .htaccess çözümleri

07
Birincil kaynaklar

Apache, WordPress ve panel belgeleri

08
Sık sorulan sorular

.htaccess ve .htpasswd Şifre Koruması hakkında merak edilenler

.htaccess ve .htpasswd Şifre Koruması kuralı NGINX’te çalışır mı?

Hayır. NGINX `.htaccess` dosyalarını okumaz. Kuralın `server` veya `location` yapılandırmasına çevrilmesi gerekir.

.htaccess değişikliği için Apache restart gerekir mi?

Genellikle hayır; Apache `.htaccess` dosyasını istek sırasında değerlendirir. Ancak sunucu VirtualHost, modül veya AllowOverride değişikliğinde reload/restart gerekir.

Dosyayı düzenlemeden önce ne yapılmalı?

Mevcut dosyanın tarihli yedeği alınmalı, aktif document root doğrulanmalı ve değişiklik staging veya düşük trafikli zamanda test edilmelidir.

cPanel ile Plesk’te dosya nerede bulunur?

cPanel’de çoğunlukla `public_html`, Plesk’te `httpdocs` içindedir; addon domain ve subdomainlerin document root’u farklı olabilir.

LiteSpeed `.htaccess` kurallarını destekler mi?

LiteSpeed Apache uyumluluğu sayesinde kuralların büyük bölümünü destekler; bazı modül ve handler davranışları farklı olabilir.

500 hatasında ilk bakılacak yer neresi?

Apache/LiteSpeed error log içindeki tam directive ve satır kaydıdır. Dosyayı rastgele silmek yerine loga göre geri alınmalıdır.

Bu kodlar doğrudan canlı siteye eklenebilir mi?

Alan adı, document root, proxy, WordPress ve sunucu yapısı doğrulanmadan doğrudan eklenmemelidir. Örnekler uyarlanıp test edilmelidir.

EKA YAZILIM VE BİLİŞİM SİSTEMLERİ

.htaccess ve Apache kurallarını siteyi erişilemez hâle getirmeden düzenleyelim

cPanel, Plesk, LiteSpeed, WordPress, özel PHP ve WISECP yapılarında yönlendirme, rewrite, CORS, erişim ve 500 hatalarını loglarla birlikte inceliyoruz.

Sunucu Desteği AlWhatsApp
Top