En este post te mostraré cómo proteger el directorio de una aplicacón web de Laravel para evitar que un usuario acceda al archivo .env o a otros archivos.

Como sabes, cuando usas Apache para servir una app de Laravel, se puede acceder a todo el proyecto desde la web, no solo al directorio public. Por lo tanto, cualquier usuario podría acceder al archivo .env o a otros.

Es por eso que veremos cómo proteger una app de Laravel servida por Apache; ya que si, por ejemplo, la sirves usando artisan serve o con algo como Homestead, este paso no es necesario.

El archivo .htaccess

La forma más fácil y común de hacer esto es colocando un archivo .htaccess, que es soportado en la mayoría de hostings.

Solo tienes que colocar este archivo en la ruta raíz de tu aplicación web de Laravel, en el mismo lugar en donde se encuentra el fichero .env y todos los demás archivos.

Dicho archivo se ve así:

Probando vulnerabilidad

Tengo mi sistema de ventas open source con Laravel. En mi caso si visito el software desde el navegador we, puedo ver claramente el archivo .env:

Por lo tanto un atacante podría ver las credenciales de nuestra base de datos, clave de app, etcétera. Y eso suponiendo que solo tiene acceso al archivo .env

Verificar después de proteger directorio de Laravel con .htaccess

Ahora he agregado el archivo .htaccess como lo dije, y si intento acceder, me lo deniega:

De este modo he protegido correctamente mi aplicación de Laravel al ser expuesta en un servidor Apache. Como lo dije al inicio, si usas otro servicio o método para correr tu app de Laravel, el método puede ser distinto.

Nota: puedes ver el commit en el que agrego este cambio en GitHub. También te recuerdo que en mi blog tengo varios artículos del framework Laravel.