Privacy directory: Proteggere le cartelle con una password (.htaccess/.htpasswd)

Con la funzione Privacy directory in cPanel è possibile aggiungere un'ulteriore protezione tramite password a singole cartelle del sito web. I visitatori che accedono a quest'area nel browser dovranno prima inserire un nome utente e una password per poter visualizzare i contenuti.

Questa funzione è particolarmente utile se determinate aree del sito web non devono essere accessibili pubblicamente. Esempi tipici sono le installazioni di test, le aree di download interno, le aree clienti semplici, le versioni di staging, gli ambienti di sviluppo o le cartelle amministrative ausiliarie.

Dal punto di vista tecnico, questa funzione opera solitamente attraverso una combinazione di file .htaccess e .htpasswd. Il file .htaccess controlla l'accesso alla directory, mentre il file .htpasswd contiene gli utenti autorizzati e le loro password memorizzate in modo crittografato. cPanel gestisce automaticamente la configurazione di questi file tramite un'interfaccia grafica.

Nota importante:
La protezione delle directory si applica all'accesso tramite browser web, ovvero tramite HTTP o HTTPS. L'accesso tramite FTP, SFTP, SSH o Gestione file di cPanel non viene bloccato da questa restrizione. Gli utenti con accesso ai file o all'hosting possono continuare a vedere i file, a condizione che i loro rispettivi diritti di accesso lo consentano.

Per cosa è indicata la protezione delle directory?

La protezione delle directory di cPanel è un modo semplice ed efficace per proteggere specifiche aree del sito web dall'accesso pubblico. È particolarmente adatta per aree statiche o semi-pubbliche che non dispongono di un proprio sistema di login.

I contesti di utilizzo appropriati includono, ad esempio:

  • Versioni di prova di un sito web prima della pubblicazione,
  • Ambienti di staging o di sviluppo,
  • Cartelle di download interno,
  • Condivisioni temporanee per i clienti,
  • Aree di progetto semplici,
  • Aree di documentazione non pubbliche,
  • Installazioni demo protette,
  • Protezione aggiuntiva per cartelle amministrative ausiliarie.

La protezione delle directory è particolarmente pratica se si desidera mettere in sicurezza un'area rapidamente e senza programmazione. Tuttavia, non sostituisce un sistema completo di gestione di utenti, ruoli o permessi all'interno di un'applicazione web.

Cosa la protezione delle directory non può fare

La protezione tramite password a livello di directory è utile, ma presenta chiari limiti. Protegge dall'accesso diretto tramite browser, ma non costituisce una soluzione di sicurezza completa per applicazioni complesse.

  • Non sostituisce un login sicuro per CMS o e-commerce.
  • Non protegge dagli accessi tramite FTP, SFTP, SSH o Gestione file.
  • Non sostituisce i regolari aggiornamenti dei software del sito web.
  • Non corregge le vulnerabilità di sicurezza in plugin, temi o script.
  • Non protegge i contenuti del database indipendentemente dall'applicazione.
  • Non è intesa come unica misura di sicurezza per dati altamente sensibili.

Per i contenuti particolarmente riservati, si dovrebbe inoltre verificare se sia davvero necessario collocarli nella directory web accessibile al pubblico. Se possibile, i file molto sensibili non dovrebbero essere memorizzati in una cartella raggiungibile direttamente tramite il sito web.

Come funziona tecnicamente la protezione?

Quando un visitatore apre una cartella protetta nel browser, il server web richiede innanzitutto le credenziali di accesso. Il contenuto viene mostrato solo se il nome utente e la password sono corretti. La richiesta appare solitamente come una finestra di login del browser.

Sullo sfondo vengono normalmente utilizzati due componenti a questo scopo:

  • .htaccess: Contiene le istruzioni relative al fatto che la directory è protetta e specifica quale tipo di autenticazione viene utilizzata.
  • .htpasswd: Contiene gli utenti autorizzati e i relativi hash delle password.

Non è necessario creare questi file manualmente. cPanel si occupa di questo tramite la funzione Privacy directory. Ciò riduce gli errori ed è la via più sicura per la maggior parte dei clienti.

Importante:
Modificate le voci .htaccess o .htpasswd generate automaticamente solo se sapete esattamente cosa state facendo. Voci errate possono rendere inaccessibile l'area protetta o causare un errore del server sul sito web.

Passo 1: Aprire Privacy directory in cPanel

Per proteggere una cartella con password, aprite innanzitutto la funzione corrispondente in cPanel.

  1. Accedete al vostro account cPanel.
  2. Andate alla sezione File.
  3. Cliccate su Privacy directory (o Directory Privacy).
  4. Ora vedrete la struttura delle cartelle del vostro account di hosting.

A seconda della lingua e del tema di cPanel, la denominazione potrebbe variare leggermente. La funzione si trova normalmente nell'area degli strumenti per i file.

Passo 2: Selezionare la cartella corretta

La selezione della cartella corretta è fondamentale. Se proteggete accidentalmente la cartella sbagliata, un'altra area del sito web potrebbe improvvisamente richiedere una password.

  • Cliccate sull'icona della cartella per aprire le sottocartelle.
  • Cliccate sul nome della cartella che desiderate proteggere.
  • Un simbolo a forma di lucchetto indica spesso che una directory è già protetta.

Se ad esempio proteggete la cartella public_html/test, la protezione riguarderà questa cartella di test e normalmente anche le sottocartelle in essa contenute. Se invece proteggete la stessa cartella public_html, l'intero sito web principale potrebbe essere accessibile solo dopo aver inserito le credenziali.

Consiglio pratico:
Proteggete sempre e solo la cartella che deve essere effettivamente privata. Per un'installazione di test, una sottocartella come public_html/test o public_html/staging è solitamente più sensata rispetto all'intera cartella public_html.

Passo 3: Attivare la protezione tramite password

Dopo aver selezionato la cartella desiderata, attivate la protezione vera e propria.

  1. Cliccate su Modifica accanto alla cartella desiderata o selezionate il nome della cartella.
  2. Attivate la casella di controllo Proteggi questa directory con password.
  3. Inserite un nome chiaro nel campo Nome per la directory protetta.
  4. Cliccate su Salva.

Questo nome verrà mostrato ai visitatori nella finestra di login o nella finestra di dialogo di autenticazione. Utilizzate quindi un nome neutro e comprensibile come Area interna, Area clienti o Ambiente di test.

Evitate denominazioni che rivelino informazioni tecniche non necessarie, come i nomi esatti dei progetti, note di sistema interne o indizi su contenuti particolarmente sensibili.

Passo 4: Creare gli utenti per la cartella protetta

Dopo l'attivazione della protezione, è necessario disporre di almeno un utente autorizzato. Senza un utente, nessuno potrà accedere all'area protetta.

Creare un utente:
Nella sezione Crea utente, inserite un nome utente e una password sicura. Se possibile, utilizzate il generatore di password. Successivamente, salvate l'utente.

Prestate attenzione ai seguenti punti per i nomi utente e le password:

  • Non utilizzate nomi utente facilmente indovinabili come admin o test.
  • Utilizzate password lunghe e casuali.
  • Utilizzate credenziali uniche per ogni utente.
  • Non condividete le password in chiaro via e-mail.
  • Eliminate gli utenti quando l'accesso non è più necessario.

Se più persone necessitano dell'accesso, è preferibile creare un utente separato per ciascuna di esse. In questo modo potrete rimuovere specifici accessi in un secondo momento, senza dover cambiare la password per tutti.

Ereditarietà: le sottocartelle sono protette automaticamente

Ereditarietà della protezione:
Quando si protegge una directory, normalmente vengono protette anche le sottocartelle in essa contenute. Se ad esempio proteggete /admin, la protezione si applica anche a sottocartelle come /admin/images o /admin/downloads.

Questa ereditarietà è desiderabile in molti casi. Tuttavia, può anche riservare sorprese se in una cartella protetta sono presenti file che dovrebbero essere integrati pubblicamente. Verificate quindi se all'interno dell'area protetta sono necessari immagini, file CSS, file JavaScript o download.

Se un sito web pubblico appare improvvisamente privo di immagini o formattazione, la causa potrebbe risiedere nel fatto che i file CSS, JS o le immagini si trovano in una directory protetta e il browser non è autorizzato a caricarli senza login.

Esempi tipici di applicazione

1. Proteggere un sito web di test da motori di ricerca e visitatori

Se state preparando un nuovo sito web in una sottocartella come public_html/test, potete proteggere questa cartella con una password. In questo modo, clienti, sviluppatori o collaboratori interni possono verificare il sito web, mentre questo rimane inaccessibile ai normali visitatori.

2. Mettere in sicurezza una cartella di download

Una cartella contenente documenti privati, PDF o file di progetto può essere ulteriormente protetta. Attenzione però: per documenti particolarmente riservati, una semplice protezione delle directory potrebbe non essere sufficiente. In questi casi, è opportuno valutare se sia più indicato un portale clienti professionale o un altro metodo di trasmissione sicuro.

3. Protezione aggiuntiva per aree amministrative ausiliarie

La protezione delle directory può fungere da ulteriore ostacolo per determinate aree amministrative. Tuttavia, non sostituisce il sistema di login vero e proprio della vostra applicazione e non dovrebbe essere utilizzata come unica protezione per software obsoleti o non sicuri.

Gestire gli utenti, modificare le password o eliminare gli utenti

Nella funzione Privacy directory è possibile visualizzare gli utenti autorizzati per la cartella selezionata. Da lì è possibile rimuovere utenti o aggiornare le password.

Le tipiche attività di gestione includono:

  • Creare un nuovo utente per un'altra persona,
  • Modificare la password di un utente esistente,
  • Rimuovere un utente il cui accesso non è più necessario,
  • Disattivare l'accesso al termine del progetto,
  • Eliminare un utente in seguito a un cambio di personale.

Se una password è stata compromessa o è nota a troppe persone, è necessario modificarla immediatamente. È ancora meglio utilizzare account utente separati, in modo da poter disattivare i singoli accessi in modo mirato.

Rimuovere completamente la protezione tramite password

Se l'area protetta deve tornare a essere accessibile pubblicamente, è possibile disattivare la privacy della directory.

  1. In cPanel, aprite Privacy directory.
  2. Selezionate la cartella protetta.
  3. Rimuovete la spunta dalla voce Proteggi questa directory con password.
  4. Salvate la modifica.
  5. Verificate l'accesso nel browser.

A seconda del browser, può essere utile eseguire la verifica in una finestra di navigazione in incognito o in un altro browser, poiché il browser potrebbe mantenere in memoria le credenziali salvate.

Risoluzione dei problemi: problemi comuni e soluzioni

Problema Possibile causa Soluzione
La finestra di login non appare La protezione non è stata salvata o è stata scelta la cartella errata. Verificare la selezione della cartella e l'attivazione in Privacy directory.
L'utente non riesce ad accedere Nome utente o password errati, il browser memorizza i vecchi dati. Reimpostare la password e verificare l'accesso in una finestra del browser in incognito.
Il sito web mostra un errore 500 Regole .htaccess errate o in conflitto. Verificare le ultime regole modificate o ripristinare un backup.
Le immagini o i CSS non si caricano Le risorse si trovano all'interno di una cartella protetta. Collocare le risorse pubbliche all'esterno dell'area protetta o verificare la struttura.
Impossibile creare l'utente Problema di permessi o cPanel non riesce a scrivere i file di protezione. Verificare i permessi dei file o contattare il supporto.

Impossibile creare l'utente: verificare i permessi

Se il salvataggio di un utente non va a buon fine, la causa potrebbe risiedere nei permessi o nei file di protezione esistenti. cPanel deve essere in grado di creare o adattare i file necessari per la privacy della directory.

Verificate in Gestione file se la cartella interessata dispone di permessi adeguati. Spesso, per le directory sono comuni permessi come 0755. In determinati casi, potrebbero essere richiesti permessi più restrittivi. Evitate tuttavia di impostare i permessi genericamente su 0777, poiché ciò può rappresentare un rischio per la sicurezza.

Avviso di sicurezza:
Non utilizzate 0777 come soluzione rapida per i problemi di permessi. Diritti di scrittura troppo aperti possono compromettere la sicurezza del vostro sito web. In caso di dubbi, fate verificare i permessi.

Privacy directory e WordPress

Sui siti web WordPress, la protezione delle directory può essere utile, ma dovrebbe essere impiegata con cautela. WordPress utilizza le proprie regole di routing e il proprio file .htaccess. Regole di protezione aggiuntive possono avere ripercussioni sul sito web a seconda della struttura delle cartelle.

Esempi appropriati:

  • Protezione tramite password per un'installazione di staging in una sottocartella,
  • Protezione di una cartella di download separata,
  • Protezione temporanea di un nuovo sito web prima della pubblicazione.

È meno indicato proteggere cartelle centrali di WordPress come wp-admin, wp-content o wp-includes senza un'attenta valutazione. Ciò può compromettere funzioni, risorse o richieste AJAX. Se si desidera una protezione aggiuntiva per i login di WordPress, la configurazione specifica dovrebbe essere esaminata attentamente.

Best practice per una protezione sicura delle directory

  • Proteggete solo le cartelle che devono essere effettivamente private.
  • Utilizzate password sicure e univoche.
  • Create utenti separati per persone diverse.
  • Eliminate gli utenti quando l'accesso non è più necessario.
  • Non memorizzate dati altamente sensibili in modo permanente nell'area web pubblica.
  • Verificate le aree protette in una finestra del browser in incognito.
  • Dopo l'attivazione, verificate che immagini, CSS e JavaScript si carichino correttamente.
  • Non modificate manualmente i file .htaccess e .htpasswd senza un backup.
  • Utilizzate HTTPS in modo che le credenziali non vengano trasmesse in chiaro.

FAQ sulla Privacy directory di cPanel

La protezione delle directory protegge anche dall'accesso FTP?

No. La protezione delle directory si applica solo all'accesso tramite browser web via HTTP o HTTPS. FTP, SFTP, SSH e la Gestione file di cPanel non ne sono influenzati.

Le sottocartelle sono protette automaticamente?

Sì, di norma la protezione si estende anche alle sottocartelle della directory protetta. Questo può essere desiderato, ma va tenuto in considerazione per le immagini, i file CSS o JavaScript.

Posso creare più utenti per una cartella protetta?

Sì. È possibile creare più utenti autorizzati. Questo è utile se diverse persone necessitano dell'accesso e si desidera poter rimuovere i singoli accessi separatamente in un secondo momento.

Perché il browser richiede continuamente la password?

Le possibili cause includono credenziali errate, vecchie password memorizzate nella cache, una configurazione errata o risorse caricate da altre aree protette. Verificate l'accesso in una finestra del browser in incognito.

Posso usarla per proteggere il mio sito WordPress?

Sì, ad esempio per un'installazione di test o una cartella di staging. Tuttavia, le cartelle centrali di WordPress non dovrebbero essere protette senza una dovuta riflessione, poiché ciò può compromettere le funzionalità del sito.

La protezione delle directory è sufficientemente sicura per i documenti riservati?

È utile per semplici aree protette. Per dati particolarmente riservati o personali, tuttavia, si dovrebbe valutare attentamente se sia più indicato un portale clienti professionale, un metodo di trasmissione sicuro o un'altra soluzione.

Riepilogo:
Con la Privacy directory di cPanel è possibile proteggere in modo rapido ed efficace le singole cartelle del sito web con un nome utente e una password. La funzione è particolarmente adatta per aree di test, download interni e condivisioni temporanee per i clienti. La protezione si applica all'accesso tramite browser, ma non a FTP, SFTP o alla Gestione file. Utilizzate password sicure, account utente separati e verificate dopo l'attivazione che il sito web continui a funzionare correttamente.
Avete bisogno di aiuto per mettere in sicurezza un'area del vostro sito web?

Se non siete sicuri di quale cartella debba essere protetta o se si verificano problemi dopo l'attivazione, il supporto di CURIAWEB sarà lieto di assistervi.

Crea una richiesta di supporto
Hai trovato utile questa risposta? 1 Utenti hanno trovato utile questa risposta (1 Voti)

Gli articoli più popolari

Guida .htaccess: impostazioni nascoste, reindirizzamenti e sicurezza

Guida a .htaccess: Impostazioni nascoste, reindirizzamenti e sicurezza Il file .htaccess è un...
Modificare le immagini direttamente nel cPanel: miniature, ridimensionamento e conversione

Modificare le immagini direttamente in cPanel: Miniature, Ridimensionamento e Conversione Le...
Guida al Gestore file: gestisci i file del sito direttamente nel browser

Guida a Gestione file: Gestire i file del sito web direttamente nel browser Il Gestione file...
Ripristino di file e cartelle: come utilizzare il backup di cPanel

Ripristinare file e cartelle: come utilizzare il backup di cPanel Può succedere in un attimo:...
Guida FTP e SFTP: trasferire file in modo sicuro e gestire gli account

Guida FTP & SFTP: Trasferire file in modo sicuro e gestire gli account Se caricate...