IQhost.pl
Hosting Migracja Domeny O nas Kontakt
Zaloguj się Załóż konto
DOMENY, DNS I SSL • 3 MIN READ

Ochrona przed hotlinkowaniem

Jak w DirectAdmin zablokować innym stronom korzystanie z Twoich obrazków, plików PDF, wideo. Ochrona przed kradzieżą zawartości i marnotrawieniem transferu.

Zespół IQHost 14 maj 2026 3m read
#IQHost #domeny #hosting

Hotlinking to sytuacja, gdy inna strona „kradnie" Twoje obrazki, wideo lub pliki, osadzając je bezpośrednio (przez <img src="https://twojadomena.pl/zdjecie.jpg">) we własnej treści. Twoje pliki, Twój serwer wysyła je użytkownikom tamtej strony — a Ty płacisz transferem i prądem za cudzy ruch. DirectAdmin oferuje gotowy mechanizm blokowania takich zachowań w sekcji Ochrona przed hotlinkowaniem. Pokażemy jak to skonfigurować.

Co zyskasz

  • Zablokujesz inne strony przed osadzaniem Twoich obrazków/plików.
  • Zaoszczędzisz transfer — pliki nie będą wysyłane do cudzych odwiedzających.
  • Poznasz, kiedy hotlink protection ma sens, a kiedy szkodzi (Twoja własna podstrona też może być zablokowana, jeśli źle skonfigurujesz).

Wymagania wstępne

  • Domena dodana na koncie.

Wskazówka

Jak działa hotlink protection? Serwer sprawdza nagłówek HTTP Referer — z jakiej strony przyszedł użytkownik. Jeśli Referer wskazuje na obcą domenę, serwer odmawia podania pliku (zwraca 403 lub przekierowuje na obrazek-zastępczy). Jeśli Referer jest pusty (bezpośrednie wejście) lub wskazuje na Twoją domenę — plik jest serwowany normalnie.

Krok 1: Otwórz „Ochrona przed hotlinkowaniem"

W DA: Zarządzanie kontami → Ochrona przed hotlinkowaniem.

Strona Ochrona przed hotlinkowaniem

Sekcja ochrony — wybór domeny, lista chronionych rozszerzeń, lista dozwolonych domen.

Strona Ochrona przed hotlinkowaniem w DA

Krok 2: Wybierz domenę i włącz ochronę

U góry wybierz domenę, dla której konfigurujesz ochronę. Włącz checkbox Włącz ochronę przed hotlinkowaniem.

Krok 3: Wskaż rozszerzenia plików do ochrony

DA pyta, jakie typy plików mają być chronione. Domyślnie zaznacza typowe:

  • Obrazki: jpg, jpeg, gif, png, webp
  • Wideo: mp4, avi, mov, webm
  • Audio: mp3, wav, ogg
  • Dokumenty: pdf, doc, docx, zip

Możesz dopisać własne rozszerzenia (bez kropki). Dla typowej strony WordPress wystarczają obrazki + pdf.

Krok 4: Lista dozwolonych domen

To kluczowe — wskaż z których domen twoje pliki mogą być serwowane (poza domeną główną, która jest dozwolona automatycznie):

  • Domyślnie: Twoja własna domena (automatycznie)
  • Dodaj: wszystkie subdomeny, których używasz (np. blog.twojadomena.pl, sklep.twojadomena.pl) — bez tego wyświetlanie obrazka na blogu będzie blokowane!
  • Dodaj: wersję z www. i bez (np. twojadomena.pl i www.twojadomena.pl) — to z punktu widzenia Referera dwie różne domeny
  • Dodaj: Google obrazy (google.com, images.google.com) — jeśli chcesz, by Twoje zdjęcia były widoczne w wynikach wyszukiwarki obrazów
  • Dodaj: Facebook, Twitter, LinkedIn — jeśli linkujesz do swojej strony w social media i chcesz, by ich preview-y działały

::: callout warn Częsty błąd: ludzie włączają ochronę bez dodania własnych subdomen i wersji www, po czym dziwią się, że obrazki na ich blogu zniknęły. Najpierw dokładnie wymień wszystkie swoje domeny/subdomeny.

Krok 5: Obrazek-zastępczy (opcjonalnie)

Możesz wskazać URL obrazka, który będzie podawany zamiast oryginału przy hotlinkowaniu. Klasyczne zastosowanie: zamiast Twojego zdjęcia ktoś widzi obrazek typu „skradzione z twojadomena.pl" albo logo Twojej firmy z URL-em.

Dobry obrazek zastępczy:

  • Lekki (< 50 KB) — żeby nie zżerać dużo transferu
  • Z czytelnym URL-em Twojej strony
  • Czasem zabawny — bo trafia do osób, które kradną Twoje treści (i czasem trafia też do nieświadomych użytkowników z dobrymi intencjami, którzy są zaskoczeni)

Bez obrazka zastępczego serwer zwraca 403 Forbidden — obrazek się po prostu nie pojawia.

Krok 6: Zapisz konfigurację

Klik Zapisz. DA dopisuje reguły do .htaccess domeny. Działa natychmiast.

Krok 7: Przetestuj

Najlepszy test: poproś znajomego, by spróbował osadzić Twój obrazek na własnej stronie / blogu. Powinien zobaczyć:

  • Pusty kwadrat (jeśli przeglądarka nie pokazuje broken image)
  • Broken image icon
  • Obrazek zastępczy (jeśli ustawiony)

Twoja domena nadal pokazuje obrazek normalnie. Łatwy test bez znajomego: weź URL obrazka, otwórz go bezpośrednio w przeglądarce — powinien działać (Referer jest pusty, więc dozwolone). Następnie wejdź np. na https://www.google.com/imghp, wklej URL — Google powinno załadować preview (jeśli dodałeś Google do dozwolonych) lub nie (jeśli nie dodałeś).

Kiedy nie włączać hotlink protection

  • Strona portfolio fotografa — chcesz, żeby ludzie pokazywali Twoje zdjęcia. Ochrona = mniej promocji.
  • Strona z darmowymi materiałami (np. free stock photos) — sam udostępniasz, nie chcesz blokować.
  • CDN — jeśli Twoja strona wszystko serwuje przez Cloudflare/Bunny.net, hotlink protection w DA jest bez znaczenia (pliki idą z CDN, nie z Twojego serwera). Tam są osobne mechanizmy.
  • Małe strony bez problemu — jeśli nikt nie hotlinkuje, nie ma sensu komplikować.

Alternatywne / zaawansowane metody

  • Watermark na obrazkach — wodny znak z logo/URL strony nawet jeśli ktoś hotlinkuje, dostaje promocję Twojej marki.
  • Lazy loading + CDN — odciąża serwer niezależnie od hotlinków.
  • Ręczna edycja .htaccess z bardziej szczegółowymi regułami (np. blokuj tylko konkretne domeny, nie wszystkie):
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^https?://(.+\.)?zlosliwa-strona\.pl [NC]
RewriteRule \.(jpg|jpeg|png|gif|pdf)$ - [F,L]

Najczęstsze problemy

1. „Włączyłem ochronę i moja własna strona nie wyświetla obrazków"

Najpewniej nie dodałeś wszystkich wersji swojej domeny do listy dozwolonych. Sprawdź:

  • Czy strona używa www.twojadomena.pl czy twojadomena.pl — obie wersje muszą być dozwolone.
  • Czy używasz subdomen (blog.twojadomena.pl) — dodaj je.
  • Czy używasz HTTPS — sprawdź czy w polu nie wpisałeś http:// kiedy używasz https://.

2. „Hotlink protection nie działa — ludzie nadal kradną zdjęcia"

Możliwe przyczyny:

  • Brak ochrony dla danego rozszerzenia — sprawdź czy w liście jest np. webp, svg.
  • Atak przez wpisanie URL-a bezpośrednio — bez Referera nie ma jak zablokować. Mechanizm działa tylko gdy obrazek jest osadzony przez <img>.
  • Cloudflare / CDN przed Twoim serwerem — pliki są kechowane na CDN i serwowane stamtąd, omijając Twoje reguły. Skonfiguruj ochronę na poziomie CDN.

3. „Czy hotlink protection wpływa na SEO?"

Tak, ostrożnie. Jeśli zablokujesz Google z osadzania Twoich obrazków, mogą one znikąć z Google Image Search. To może mniej ruchu z wyszukiwarki obrazów. Decyzja zależy od strategii — Google Images = ruch, ale niska konwersja; chronisz oryginalne treści.

4. „Mam dużo subdomen — czy muszę dodawać każdą?"

Tak, w DA. Niektóre wersje DA wspierają wildcards (*.twojadomena.pl) — sprawdź jak Twoja wersja. Alternatywa: użyj .htaccess z regułą RewriteCond %{HTTP_REFERER} ^https?://(.+\.)?twojadomena\.pl która pokrywa wszystkie subdomeny.

5. „Hotlink protection vs CSRF/embed token?"

To różne mechanizmy. Hotlink chroni pliki statyczne (obrazki). CSRF/embed tokens chronią akcje POST w aplikacji. Często używane razem.

6. „Pusty Referer — czy mogę zablokować bezpośredni dostęp?"

Można, ale nie zalecane. Pusty Referer występuje też przy:

  • Wpisaniu URL-a w pasku przeglądarki ręcznie
  • Linkach z aplikacji (np. mailem)
  • Wielu firewallach korporacyjnych (które usuwają Referer)

Blokowanie pustego Referera = blokowanie wielu legalnych użytkowników.

Słowniczek

  • Hotlinking — osadzanie pliku z cudzego serwera bezpośrednio na własnej stronie. Inaczej: „kradzież" transferu i treści.
  • HTTP Referer — nagłówek HTTP wskazujący, z jakiej strony przyszedł użytkownik. Mechanizm hotlink protection bazuje na tym nagłówku.
  • 403 Forbidden — kod odpowiedzi HTTP oznaczający „dostęp zabroniony". Tym serwer odpowiada, gdy hotlink protection blokuje dostęp.
  • Watermark — znak wodny w obrazku, ostrzegający przed kradzieżą lub promujący markę.

Related

Feedback

Czy ten artykuł pomógł?

Potwierdź