Nginx – deny .htaccess
Au cas où vous n’auriez pas supprimé les .htaccess dans l’article de comment migrer de apache à nginx il faut au moins les protéger d’une éventuelle lecture par un lecteur mal intentionné. C’est simple :
location ~*\.htaccess$ {
deny all;
}
Et ça veut dire que pour toutes les url (non sensible à la casse ~*) finissant ($) par .htaccess (le \ devant servant à échapper le . de la regexp), on en refuse tout simplement l’accès (deny all).
Le client va se manger une jolie erreur 403 quand il essaiera de consulter le htaccess ;-)
Évidemment les .htpasswd et autres où vous auriez pu stocker vos mdp ou autres sont à protéger aussi.
Petit indice : les deux noms de fichiers contiennent ‘.ht‘ pourquoi ne pas faire une regexp là dessus? Enjoy it!
Sources :