home iconHome / wordpress / Come proteggere i caricamenti se l'utente non è connesso?

Come proteggere i caricamenti se l'utente non è connesso?

    • vote up icon 90 vote down icon
    • translation icon
    • view icon62276 calendar icon2011-12-22

    Uso WordPressper un sitoprivatoin cuigli utenti caricanofile. Utilizzoil "Private WordPress"perimpedire l'accesso al sito se l'utentenon è loggato.

    Vorreifare lo stesso coni file caricatinella cartella dei caricamenti.

    Quindi,se un utentenon è connesso,non saràin grado di accedere a: https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf setentano di accederemanon sono registrati,dovrebberoessere reindirizzati allapagina di accesso,adesempio.

    Hotrovato unplug-in chiamatofileprivati ​​ma l'ultima volta che è stato aggiornato è statonel 2009e non sembrafunzionare sulmio WordPress.

    Qualcuno conosce unmetodo? Ilmetodo di collegamento a caldo sarà sufficienteperproteggerlo?

    Ho anchetrovato questometodo: 

     # BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^.*uploads/private/.*
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
RewriteRule . /index.php [R,L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

    Ma allora qualsiasi utente che replicail cookiepotrebbepassare questo,giusto? Saluti

    media security media-library uploads
    • C'è qualchemotivoper cuinonpuoi usare una directory di caricamento diversa,come quella al difuori della radice del sito?
    • Nonproprio,ma hogià un sacco difile allegati aipostin quella directory,nonmi dispiace spostarmi dappertutto se riesco atrovare una soluzione adeguata
    • Nel casoin cui reindirizzi automaticamentegli utenti alla schermata di accesso,unmodo sempliceperproteggerei caricamenti è controllareil referrer.Seil referrer è vuoto (accesso diretto) o diverso dal dominio che ospitai file,loblocchi.

2  risposta

  • voti
    • accept answer icon
    • translation icon
    • calendar icon 2012-01-02

    Controllare solo seil cookieesiste,non è unaprotezionemolto rigida.

    Per ottenere unaprotezionepiùforte,puoipassare o "proxy"tutte le richieste alla cartella caricata (esempi di uploadsnell'esempio seguente)tramite uno scriptphp: 

     RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/(.*)$ dl-file.php?file=$1 [QSA,L]

    Tutte le richieste difile caricati (cheincludonoimmagininei post) andrebbero a dl-file.php che quindipuò verificare se l'utente è connesso omeno.

    Se l'utentenon è loggato,verràmostratoilmodulo di login deltuo sito. Dopo che l'utente haeffettuato l'accesso,verrà reindirizzato alfilee potrà scaricarlo subito.

    dl-file.php esemplare.

    Qualcosa di similepuòesseretrovatoin \wp-includes\ms-files.phpnellatuainstallazione di wordpress,ma quello èpermultisitoe senzail controllo dell'accessoe reindirizzamenti.

    A seconda della quantità ditraffico che hai,potrebbeessere saggiointegrarlameglio coniltuo server,ades. Intestazioni X-Accel-Redirect o X-Sendfile.

    • come si regola dl-file.php se vogliomemorizzarei filein una sottodirectory come wp-content/uploads/secure?
      • translation icon
      • vote icon1
      • calendar icon2012-01-11
      • edit icon
    • Questa è l'unica soluzione veramente sicura.Qualsiasi altra cosa chepuoitrovare sul Web,come controllare l'intestazione del referer,controllarei cookie,non consentire l'elenco delle directory,è unamezzamisurapoichépuoifacilmentefalsificare leintestazioni delle richieste HTTPper aggirarlo.
    • Ragazzi ... questami è sembrata la soluzioneperfetta ...ilproblema è che sto usando PDFJS di Mozillaper accedere ad alcuni PDF dalla cartella di caricamentoe PDFJS utilizzaintestazioni di contenutoparzialeper ottenere solo lepagine a cui èinteressato ...quindi questa soluzionenon vabene perme. eventuali suggerimenti??
    • @OttoNascarella: Le richieste di contenutoparziale a PHP sono state risolte ad oggi,questo èindipendente da questa domanda di wordpress.Ineffetti,la domanda ègiàpiuttosto vecchia: [Download ripristinabili quando si utilizza PHPperinviareilfile?] (Http://stackoverflow.com/q/157318/367456)
    • @hakre E che dire di alcune di quelleimmagini usate sullaprimapagina del sito webe di qualsiasi utente che viene a visitareil sito? Mi dà unerrore 404 senon hoeffettuato l'accesso.
    • Qualcunopotrebbe spiegare questa riga di codice `list ($basedir)=array_values (array_intersect_key (wp_upload_dir (),array ('basedir'=> 1))) + array (NULL);`e come è diverso da `$basedir=wp_upload_dir () ['basedir'] `
    • @TomasEklund:iltuo èmoltoprobabilmentemeno complicato.Unmotivoper l'originale èmoltoprobabilmente la compatibilità con le versioniprecedenti di PHP.
    • Grande.Qualcunopuò rendere questa soluzione unpluginper wordpress?
    • translation icon
    • calendar icon 2017-04-13

    Se desideri un approcciobasato supluginper risolvere questoproblema,ecco una soluzione ragionevolmentebuona che ho (finalmente)trovato:

    1. Installailplug-in "Download Monitor",disponibile su:
      https://wordpress.org/plugins/download-monitor/
    2. Nella dashboard di WordPress,vai allanuova voce dimenu "Download"e aggiungi unnuovo "Download",come descrittonella documentazione delplug-in sito web qui: https://www.download-monitor.com/kb/adding- download/. Prendinota dello shortcode "Download"fornitoperte (es. Salvain Blocnotes). Tienipresente cheilfile viene salvatoin /wp-content/uploads/dlm_uploads/
    3. Nellametabox "Opzioni di download",specifica "Solomembri" (come documentato qui https://www.download-monitor.com/kb/download-options/)e fai clic su "Pubblica".
    4. Nellapaginain cui desideri che venga visualizzato soloil download deimembri,aggiungi lo shortcode di cui haipresonota alpassaggio 2e "Pubblica/Aggiorna" lapagina,come documentato qui: https://www.download-monitor.com/kb/shortcode-download/. Puoimodificareilmodello del linkperil download come descritto qui https://www.download-monitor .com/kb/content-templates/ o creane unotuo (ades.per rimuovereil "conteggio" dei download)
    5. Vai allatuapagina,dovresti vedere un linkperil download (ma chenon rivela l'URL delfile di download). Senavighinella stessapaginain unanuovafinestra delbrowser (ofinestra dinavigazionein incognito),dovresti scoprire cheil downloadnonfunzionapiù.

    Ciò significa che chiunquenon abbiaeffettuato l'accessononpuòné scaricareilfilené vedere l'URL reale delfile. Senel casoin cui qualcunonon autorizzato scopra l'URL delfile,ilplugininterrompe anche lanavigazione degli utenti verso l'URL delfile realebloccando l'accesso alla cartella /wp-content/uploads/dlm_uploads/.

    Bonus: se lofaiper un sitoin cui ènecessario chegli utentipossano accedere solo come "Membri" (manon hannoi permessi di WordPress come lamodifica dellapagina oessere un amministratore),installailplug-in "Membri" https://wordpress.org/plugins/members/,crea unnuovo ruolo utente chiamato "Membro",e dargli la capacità unica di "leggere",creare unnuovo utentein WordPresse assicurarti di dargli un ruolo di "membro".

    Se desideriproteggereil contenuto dellepagine,ilplug-in "Membri"fornisce alcune opzioni oppure sono disponibili altriplug-in. Se desideri che lapagina di accessoperi membri abbia un aspettomigliore rispetto almodulo di accessopredefinito di WordPress,usa qualcosa come "Theme My Login": https://wordpress.org/plugins/theme-my-login/

    • Ilprocesso che ho descritto sopra è anche spiegato qui,anche se comepuoi vederenon deveessere specifico soloperi PDF: http://www.thedigitalcrowd.com/website-development/wordpress/wordpress-restrict-access-in-pdf-download-con-dati-login-membri-privati/