Cum să restricționezi accesul la fișierele încărcate?

Question

Cum să restricționezi accesul la fișierele încărcate?

4 apr. 2011, 13:30:20

Vizualizări: 27.7K

Voturi: 12

Am o zonă restricționată pe un site web care poate fi accesată doar de utilizatorii autentificați. Pentru aceasta am creat un șablon de pagină cu o condiție 'current_user_can()'.

Problema mea este că documentele atașate paginilor restricționate sunt încă accesibile oricui dacă se introduce calea completă în bara de adrese a browserului.

Există vreo modalitate de a restricționa accesul la fișierele încărcate?

EDIT: Vreau să clarific, fișierele ar trebui să fie accesibile doar utilizatorilor autentificați.

mike23

6.03K

utilizatori încărcări atașamente acces utilizator

Toate răspunsurile la întrebare

Comentarii

Salut anu, referitorul trebuie să fie domeniul meu + vizitatorul trebuie să fie un utilizator înregistrat și conectat. Cred că este o problemă legată de WordPress.

mike23

4 apr. 2011 15:16:03

Pare a fi o întrebare legată de htaccess pentru mine.

curtismchale

4 apr. 2011 17:49:26

Îmi voi actualiza răspunsul

anu

4 apr. 2011 19:41:05

Salut anu, da, asta nu afișează fișierele dacă un utilizator nu este autentificat, dar dacă un utilizator ghicește numele fișierului? El poate totuși să acceseze fișierul! Și asta vreau să evit. Să-ți dau un exemplu, să zicem că avem un site corporate cu unele documente publice (report2011.pdf, report2010.pdf, etc.) și unele documente private (report2009.pdf, report2008.pdf). Chiar dacă documentele private nu sunt afișate pe site-ul public, cineva ar putea să ghicească ușor unele nume de fișiere (pe baza structurii celor publice) și astfel să acceseze documentele private doar tastând URL-ul în bara de adrese.

mike23

7 apr. 2011 17:35:39

Asta este ceea ce regula de rescriere (rewrite rule) previne

anu

7 apr. 2011 19:39:47

Arată celelalte 3 comentarii

Aș schimba directorul de încărcare pentru unul în afara folderului www. Apoi "trimiți" fișierul folosind o pagină "proxy". Pagina proxy verifică dacă utilizatorul este autentificat, apoi trimite fișierul folosind header()/readfile().

Nicolas

31

27 sept. 2011 02:03:28

Comentarii

Știu că este veche, dar poți să faci o demonstrație?

klewis

28 mar. 2024 17:16:58

Puteți folosi protecția împotriva hot-linking-ului folosind serverul web de alegere.

Consultați acest răspuns de pe StackOverflow:
https://stackoverflow.com/questions/1775582/apache-hotlink-protection-for-download-folder.

Aceasta utilizează fișierul .htaccess din Apache2.

În esență, se interzice descărcarea, dacă utilizatorul nu vine de pe o pagină a blogului dvs.!

keatch

2.6K

9 iun. 2011 00:36:14

Comentarii

Nu am experiență cu chestiile astea... ai vreo idee ce ar trebui să pun în fișierul meu .htaccess?

user3047

9 iun. 2011 01:05:31

Aceasta soluție a funcționat pentru mine. Poți împiedica accesul la folderul wp-content/upload (excluzând utilizatorii autentificați) prin crearea unui fișier .htaccess și adăugarea următoarei reguli de rescriere:

# Dezactivează navigarea în directoare
Options -Indexes

# Redirecționează utilizatorii neautentificați către pagina de login
RewriteEngine On
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
RewriteRule \.(pdf|jpg)$ /wp-login.php [L,R=302]

jemcam

11

21 sept. 2023 09:03:49

Plugin-ul pentru utilizatorii înregistrați are rolul de a se asigura că un vizitator este autentificat înainte de a vizualiza conținutul paginii tale. Accesul la fișierele tale prin intermediul unui browser este controlat de server.

Ar trebui să încerci plugin-ul WP AskApache Password Protect - http://wordpress.org/extend/plugins/askapache-password-protect/

Desigur, acest lucru va funcționa doar dacă blogul tău WordPress este găzduit pe un server Apache.

thetitan

1

9 iun. 2011 00:45:53

Comentarii

Nu sunt sigur cum să folosesc acest plugin. Aveți idei despre ce opțiuni ar trebui să aleg?

user3047

9 iun. 2011 01:04:53

Plugin-ul nu mai este disponibil. A fost închis din cauza unei probleme de securitate.

JakeParis

16 iul. 2024 23:52:31

anu 9.58K · Accepted Answer · 2011-04-04T14:06:02Z

Aceasta nu este chiar o întrebare specifică WordPress - dar poți adăuga o regulă de rescriere pentru a preveni accesul decât dacă referința este din propriul domeniu.

[Actualizare]

Va trebui să faci 2 lucruri:

Adaugă o regulă de rescrire (fie direct cu .htaccess sau folosind WP_rewrite (referință Codex). Scopul aici este de a refuza cererile către documentele tale care nu au domeniul tău ca referință - acest lucru oprește oamenii să introducă linkul direct în bara de adrese a browserului
Învelește linkurile de descărcare într-un bloc condițional is_user_logged_in (referință Codex) - în acest fel ele vor apărea pe pagină doar dacă utilizatorul este autentificat

Un exemplu de cod este disponibil într-o întrebare similară:

protejează fișierele încărcate în WordPress, dacă utilizatorul nu este autentificat

anu

9.58K

4 apr. 2011 14:06:02