.htaccess de BeamReactor #Cette documentation décrit la politique globale .htaccess du moteur BeamReactor.
Elle ne concerne pas un plugin en particulier, mais définit le contrat de sécurité entre Apache et le moteur.
BeamReactor repose sur un principe simple :
> Apache ne doit jamais être un chemin d’exécution.
Si un fichier devient accessible par erreur, le modèle de sécurité est déjà compromis.
Les plugins peuvent contenir des ressources statiques (images, JS, CSS), mais aucune logique exécutable.
.htaccess dans plugins/ ## Deny access to all files by default
Order Deny,Allow
Deny from all
# Allow images
<FilesMatch "\.(jpg|jpeg|png|gif|webp|svg|ico)$">
Allow from all
</FilesMatch>
# Allow JavaScript files
<FilesMatch "\.js$">
Allow from all
</FilesMatch>
# Allow PHP-generated JavaScript
<FilesMatch "\.js.php$">
Allow from all
</FilesMatch>
# Optional: Allow CSS if necessary
<FilesMatch "\.css$">
Allow from all
</FilesMatch>
# Allow web fonts
<FilesMatch "\.(woff|woff2|ttf|eot)$">
Allow from all
</FilesMatch>
Notes importantes :
.php ne sont jamais accessiblesindex.php?obj=...Le répertoire user/ contient des données runtime, jamais des endpoints.
user/ #IndexIgnore *
user/backups/ #Deny from all
Téléchargement uniquement via le moteur (ex. BeamReactor).
user/conf/ #Deny from all
Configurations sensibles.
user/content/ #IndexIgnore *
Contenu interprété par le moteur, jamais servi brut.
user/data/ #Deny from all
Inclut :
Accès strictement interne.
user/fonts/ #IndexIgnore *
user/gallery/ #IndexIgnore *
Images uniquement, sans listing.
user/skins/ #IndexIgnore *
Assets de thèmes.
Ces répertoires ne doivent jamais être accessibles depuis le web :
Deny from all
modules/inc/lib/rss/Ils contiennent de la logique interne.
Les fichiers sont accessibles, mais le listing est interdit :
IndexIgnore *
ui/javascript/.htaccess est une ligne de défense critiqueBeamReactor part du postulat suivant :
> Si Apache peut exécuter ou lire ce fichier, alors le moteur a déjà perdu.