Italiano
it

Proteggere l'accesso diretto a PDF e ZIP a meno che l'utente non sia loggato (senza plugin)

29 set 2017, 20:54:38
Visualizzazioni: 13.6K
Voti: 6

Sto lavorando su un sito di supporto WordPress con contenuti riservati solo agli utenti registrati, inclusi file PDF e ZIP caricati.

Cerco un modo per prevenire l'accesso diretto a questi file PDF e ZIP nella directory wp-content/uploads senza utilizzare plugin.

Leggendo vecchie domande, ho trovato questa soluzione molto vicina (ma i commenti sono chiusi): https://wordpress.stackexchange.com/a/37743/18608 che rileva l'accesso diretto al file, salva la richiesta del file e verifica se l'utente è loggato. Se non lo è, viene reindirizzato alla pagina di login WordPress. Se è loggato, il file viene caricato.

Questo è l'originale .htaccess:

RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/(.*)$ dl-file.php?file=$1 [QSA,L]

Tuttavia, lo script blocca l'accesso a tutti i file dentro wp-content/uploads, incluse le immagini - quindi a meno che l'utente non sia loggato, anche le immagini dei post (che non necessitano protezione) vengono nascoste nel front-end.

Sto cercando di modificare la RewriteRule per verificare solo i file PDF o ZIP, così che dl-file.php venga chiamato solo per queste tipologie di file.

Ho provato questo, ma restituisce "404-File not found." quando si accede a un PDF o ZIP con utente loggato, quindi anche se il controllo del tipo di file sembra funzionare, il check dl-file.php fallisce.

RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/([^/]*\.(pdf|zip))$ filecheck.php?file=$1 [QSA,L]

Come posso modificare questo per chiamare dl-file.php solo per richieste di file pdf o zip, ma passando comunque le informazioni corrette a dl-file.php?

Grazie, Jonathon

/*
 * dl-file.php
 *
 * Protegge i file caricati con il login.
 * 
 * @link http://wordpress.stackexchange.com/questions/37144/protect-wordpress-uploads-if-user-is-not-logged-in
 * 
 * @author hakre <http://hakre.wordpress.com/>
 * @license GPL-3.0+
 * @registry SPDX
 */

require_once('wp-load.php');

is_user_logged_in() || auth_redirect();

list($basedir) = array_values(array_intersect_key(wp_upload_dir(), array('basedir' => 1)))+array(NULL);

$file =  rtrim($basedir,'/').'/'.str_replace('..', '', isset($_GET[ 'file' ])?$_GET[ 'file' ]:'');
if (!$basedir || !is_file($file)) {
    status_header(404);
    die('404 &#8212; File non trovato.');
}

$mime = wp_check_filetype($file);
if( false === $mime[ 'type' ] && function_exists( 'mime_content_type' ) )
    $mime[ 'type' ] = mime_content_type( $file );

if( $mime[ 'type' ] )
    $mimetype = $mime[ 'type' ];
else
    $mimetype = 'image/' . substr( $file, strrpos( $file, '.' ) + 1 );

header( 'Content-Type: ' . $mimetype ); // invia sempre questo
if ( false === strpos( $_SERVER['SERVER_SOFTWARE'], 'Microsoft-IIS' ) )
    header( 'Content-Length: ' . filesize( $file ) );

$last_modified = gmdate( 'D, d M Y H:i:s', filemtime( $file ) );
$etag = '"' . md5( $last_modified ) . '"';
header( "Last-Modified: $last_modified GMT" );
header( 'ETag: ' . $etag );
header( 'Expires: ' . gmdate( 'D, d M Y H:i:s', time() + 100000000 ) . ' GMT' );

// Supporto per Conditional GET
$client_etag = isset( $_SERVER['HTTP_IF_NONE_MATCH'] ) ? stripslashes( $_SERVER['HTTP_IF_NONE_MATCH'] ) : false;

if( ! isset( $_SERVER['HTTP_IF_MODIFIED_SINCE'] ) )
    $_SERVER['HTTP_IF_MODIFIED_SINCE'] = false;

$client_last_modified = trim( $_SERVER['HTTP_IF_MODIFIED_SINCE'] );
// Se stringa vuota, restituisce 0. Altrimenti tenta di convertire in timestamp
$client_modified_timestamp = $client_last_modified ? strtotime( $client_last_modified ) : 0;

// Crea un timestamp per la nostra modifica più recente...
$modified_timestamp = strtotime($last_modified);

if ( ( $client_last_modified && $client_etag )
    ? ( ( $client_modified_timestamp >= $modified_timestamp) && ( $client_etag == $etag ) )
    : ( ( $client_modified_timestamp >= $modified_timestamp) || ( $client_etag == $etag ) )
    ) {
    status_header( 304 );
    exit;
}

// Se siamo arrivati fin qui, serviamo il file
readfile( $file );
caricamenti htaccess media libreria media sicurezza
4
Commenti

Nota che se inserisci questo commento all'inizio della risposta /** Plugin Name: Zip Plugin **/ diventa un plugin, ma quello che stai chiedendo sembra non avere nulla a che fare con WordPress, è una pura domanda su Apache HTAccess

Tom J Nowell Tom J Nowell
29 set 2017 21:45:01

Grazie - il post originale a cui mi riferivo contiene il file dl-file.php con il controllo di login/redirect che è specifico di WordPress - è quello che non riesco a far funzionare. Sto cercando di verificare i file pdf e zip, e far funzionare il controllo condizionale del login per la parte di redirect. Ho aggiunto più dettagli per chiarezza.

d38 d38
29 set 2017 22:47:45

Ho appena notato che hai cambiato dl-file.php in filecheck.php? Presumo sia lo stesso file?

MrWhite MrWhite
30 set 2017 00:54:45

Grazie, lo è - L'ho cambiato qui, ma l'ho mantenuto uguale per l'esempio. Mi era sfuggito il riferimento.

d38 d38
30 set 2017 01:16:15
Tutte le risposte alla domanda 1
6
7 
RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/([^/]*\.(pdf|zip))$ filecheck.php?file=$1 [QSA,L]

Questa regola sembra corretta, a meno che non abbiate sottodirectory aggiuntive all'interno della directory /uploads? Un'alternativa è aggiungere una condizione supplementare alla regola originale che riscriva la richiesta solo se termina con .pdf o .zip. Ad esempio:

RewriteCond %{REQUEST_URI} \.(pdf|zip)$ [NC]
RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/(.*)$ dl-file.php?file=$1 [QSA,L]

Non dovrebbe fare molta differenza, ma assicuratevi che questa regola venga inserita prima del front-controller di WordPress.

30 set 2017 00:26:22
Commenti

Grazie - questo ha senso. Sto testando qui, ma per qualche motivo non rileva la condizione di login, quindi il PDF si carica quando si è disconnessi?

d38 d38
30 set 2017 01:18:28

Grazie, MrWhite - questa era la direzione giusta. Non sono riuscito a far funzionare REQUEST_URL nella prima RewriteCond, ma cambiando con RewriteCond %{REQUEST_FILENAME} .(pdf|zip)$ ha funzionato.

d38 d38
30 set 2017 02:32:49

Ahhh, scusa era un errore di battitura, dovrebbe essere REQUEST_URI, non REQUEST_URL! (Ho aggiornato la mia risposta.) Sono contento che tu l'abbia fatto funzionare!

MrWhite MrWhite
30 set 2017 02:45:39

Ciao, Grazie per il tuo trucco. Ho una domanda: se non sono loggato, vengo reindirizzato alla pagina di login quando inserisco un URL con un file PDF nel browser. È possibile reindirizzare alla pagina 404? Grazie ancora.

Samuel Samuel
26 apr 2019 12:01:05

@sampaii Dovresti farlo nel tuo script di download/autenticazione (in PHP)... se l'utente non è loggato allora restituisci un 404 invece di reindirizzare - che presumibilmente viene attivato dal tuo script attuale - se hai seguito l'esempio sopra?

MrWhite MrWhite
26 apr 2019 12:59:32

mrwhite, scusa vedo solo ora il tuo messaggio. è un problema con questo metodo. quando sono loggato nel backend e digito l'URL di qualsiasi file pdf, vengo reindirizzato alla pagina 404. qualche idea per favore?

Samuel Samuel
12 mag 2020 16:22:28
Mostra i restanti 1 commenti
Domande correlate
Come usare get_post_meta in WP_Query per mostrare i like
3
risposte
Visualizzare il Media Uploader nel proprio plugin su WordPress 3.5
3
risposte
WP_Query - filtrare o direttamente?
1
risposte
Deprecato: La funzione get_magic_quotes_gpc() è deprecata in WordPress e causa cambiamenti nell'altezza dello slider e delle tab
1
risposte
Eliminare utenti dal front-end con wp_delete_user()
2
risposte
Come memorizzare più valori di input con lo stesso meta_key in WordPress
2
risposte