Größe von .htaccess Dateien

Seit einiger Zeit arbeite ich an einer .htaccess-Datei, die den Zugriff durch unerwünschte Besucher verhindern soll. Der Grund dafür ist, dass diese durch massenhafte und oft maschinell ausgewertete Seitenaufrufe Serverzeit beanspruchen, die Geld und Energie kostet, und die gerade bei kleinen Webservern dazu führen, dass die Webseite bei Lastspitzen für menschliche Besucher ausgebremst wird und langsam ist. Darüber hinaus enthalten viele Aufrufe ein Gefahrenpotential, da diese gezielt nach eventuellen Sicherheitslücken suchen oder automatisiert Login-Passworte, insbesondere von WordPress-Blogs erraten wollen. Bei Blogs und Foren liefern die automatischen Zugriffe außerdem automatisiert Spam-Kommentare ab, die man oft wieder manuell löschen muss.

Beim Blockieren von IP-Adressen und IP-Bereichen stellt sich immer wieder die Frage, welche man sperren will und welche nicht, denn viele Address-Bereiche sind nicht rein “böse”, sondern enthalten erwünschte und unerwünschte Besucher. Als Daumenregel habe ich beschlossen, alle Zugriffe von Hosting-Plattformen, Colocation-Servern und ähnlichen zu blockieren, auch wenn man dadurch den einen oder anderen sinnvollen Webdienst blockiert. Da ich überwiegend Seiten auf deutsch erstelle, habe ich zudem möglichst alle Zugriffe aus dem Ausland gesperrt. Zugelassen habe ich nur Internetanschlüsse aus Deutschland, Österreich und der Schweiz sowie aus Luxemburg. Zudem habe ich Zugriffe aus England und USA weitgehend zugelassen. Auf diese Weise sperrt man natürlich vereinzelt auch legitime Besucher aus, doch da dort durch den Sprachunterschied nur wenige gewollte Zugriffe zustande kommen, ist das relative Spamaufkommen aus nichtdeutschen Regionen überdurchschnittlich hoch.

Durch diese Regeln ist die .htaccess-Datei mittlerweile auf etwa 2500 Zeilen bzw. 60 kB angewachsen. Da die .htaccess-Datei prinzipiell bei jedem Aufruf geprüft werden muss, habe ich die Hoffnung, dass diese vom Server in irgendeiner Form gecacht wird, sichere Informationen dazu habe ich bislang nicht gefunden. Subjektiv habe ich zuweilen den Eindruck, dass mit dem Anwachsen der .htaccess-Datei auch die Ladezeit meiner Webseiten ansteigt, aber im Gegenzug muss der Webserver nicht mehr auf ungewollte Anfragen antworten. Über die bisherige Dauer meines Experiments würde ich sagen, dass die Ladezeiten in etwa gleich geblieben sind, aber sich deutlich stabiler und mit weniger Lastspitzen verteilen.

Fazit:

Ein sehr großer Teil von Exploit- oder Login-Versuchen wird komplett abgewiesen, sodass die Webseiten zumindest etwas sicherer gegen Hacking-Versuche sind. Dazu kommt, dass ich quasi keinerlei Kommentar- oder Forumsspam mehr verzeichne. Die Größe der .htaccess-Datei hat anscheinend keine negativen Auswirkungen auf die Seitengeschwindigkeit, oder falls doch, gleichen sich diese mit dem Performancegewinnen durch abgewiesene Spam-Abfragen aus. Soweit ich es beurteilen kann, ist das generelle Aussperren von einem Großteil der Weltbevölkerung zwar gefühlsmäßig sehr schade, führt aber nur sehr selten dazu, dass man tatsächlich mal einen erwünschten Seitenbesucher abweist. Ich sehe die Einführung der .htaccess-Sperren insgesamt als recht erfolgreich an und werde darum weiterhin versuchen, die bestehende .htaccess-Datei weiter anzupassen und zu optimieren.