Proteger directorio raíz de Laravel

Directorio de Laravel sin proteger con htaccess

En este post te mostraré cómo proteger el directorio de una aplicacón web de Laravel para evitar que un usuario acceda al archivo .env o a otros archivos.

Como sabes, cuando usas Apache para servir una app de Laravel, se puede acceder a todo el proyecto desde la web, no solo al directorio public. Por lo tanto, cualquier usuario podría acceder al archivo .env o a otros.

Es por eso que veremos cómo proteger una app de Laravel servida por Apache; ya que si, por ejemplo, la sirves usando artisan serve o con algo como Homestead, este paso no es necesario.

El archivo .htaccess

La forma más fácil y común de hacer esto es colocando un archivo .htaccess, que es soportado en la mayoría de hostings.

Solo tienes que colocar este archivo en la ruta raíz de tu aplicación web de Laravel, en el mismo lugar en donde se encuentra el fichero .env y todos los demás archivos.

Dicho archivo se ve así:

Options -Indexes

# Si quieres, agrega más extensiones entre los paréntesis, separadas por |
<Files ~ "\.(env|json|config.js|md|gitignore|gitattributes|lock)$">
    Order allow,deny
    Deny from all
</Files>

# Aquí especifica nombres de archivos igualmente dentro de los paréntesis, separados por |
<Files ~ "(artisan)$">
    Order allow,deny
    Deny from all
</Files>

Probando vulnerabilidad

Tengo mi sistema de ventas open source con Laravel. En mi caso si visito el software desde el navegador we, puedo ver claramente el archivo .env:

Directorio de Laravel sin proteger con htaccess

Por lo tanto un atacante podría ver las credenciales de nuestra base de datos, clave de app, etcétera. Y eso suponiendo que solo tiene acceso al archivo .env

Verificar después de proteger directorio de Laravel con .htaccess

Ahora he agregado el archivo .htaccess como lo dije, y si intento acceder, me lo deniega:

Proteger directorio raíz de Laravel con Apache

De este modo he protegido correctamente mi aplicación de Laravel al ser expuesta en un servidor Apache. Como lo dije al inicio, si usas otro servicio o método para correr tu app de Laravel, el método puede ser distinto.

Nota: puedes ver el commit en el que agrego este cambio en GitHub. También te recuerdo que en mi blog tengo varios artículos del framework Laravel.

Estoy aquí para ayudarte 🤝💻

Estoy aquí para ayudarte en todo lo que necesites. Si requieres alguna modificación en lo presentado en este post, deseas asistencia con tu tarea, proyecto o precisas desarrollar un software a medida, no dudes en contactarme. Estoy comprometido a brindarte el apoyo necesario para que logres tus objetivos. Mi correo es parzibyte(arroba)gmail.com, estoy como@parzibyte en Telegram o en mi página de contacto

No te pierdas ninguno de mis posts 🚀🔔

Suscríbete a mi canal de Telegram para recibir una notificación cuando escriba un nuevo tutorial de programación.

parzibyte

Programador freelancer listo para trabajar contigo. Aplicaciones web, móviles y de escritorio. PHP, Java, Go, Python, JavaScript, Kotlin y más :) https://parzibyte.me/blog/software-creado-por-parzibyte/