Як захистити завантаження, якщо користувач не ввійшов у систему?


79

Я використовую wordpress для приватного сайту, на який користувачі завантажують файли. Я використовую "Приватний WordPress" для запобігання доступу на сайт, якщо користувач не входить у систему.

Я хотів би зробити те ж саме з файлами, завантаженими в папку завантажень.

Отже, якщо користувач не ввійшов у систему, він не зможе отримати доступ до: https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf, якщо вони намагаються отримати доступ, але вони не ввійшли, тоді вони повинні перенаправити на сторінку входу, наприклад.

Я знайшов плагін під назвою приватні файли, але останній раз оновлений був у 2009 році, і він, здається, не працює на моєму wordpress.

Хтось знає будь-який метод? Для захисту цього буде достатньо методу гарячих посилань?

Я також знайшов цей метод:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^.*uploads/private/.*
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
RewriteRule . /index.php [R,L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Але тоді будь-який користувач, який копіює файл cookie, може передати це право? З повагою


1
Будь-яка причина, чому ви не можете використовувати інший каталог завантаження, як-небудь один із коренів сайту?
onetrickpony

Не дуже, але у мене вже є багато файлів, прикріплених до публікацій у цьому каталозі, я не заперечую, щоб рухатись навколо, якщо я можу знайти правильне рішення
chifliiiii

Відповіді:


86

Тільки перевірка наявності файлу cookie не є суворим захистом.

Щоб отримати більш надійний захист, ви можете передати або "проксі" всі запити до завантаженої папки (наприклад, uploadsу наведеному нижче прикладі) через скрипт php:

RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/(.*)$ dl-file.php?file=$1 [QSA,L]

Усі запити на завантажені файли (що містять зображення у публікаціях) надсилатимуться до dl-file.phpних, після чого можна перевірити, чи користувач увійшов чи ні.

Якщо користувач не ввійшов у систему, буде показана форма для входу на ваші сайти. Після входу користувача вона повернеться до файлу та зможе завантажити його зараз.

Зразковийdl-file.php .

Щось подібне можна знайти у \wp-includes\ms-files.phpвашій програмі Wordpress, але це для мультисайтів та без перевірки входу та переадресації.

Залежно від того, який обсяг трафіку у вас є, було б доцільніше інтегрувати це зі своїм сервером, наприклад, X-Accel-Redirectабо X-Sendfileзаголовками.


1
як налаштувати dl-file.php, якщо я хочу зберігати файли у підкаталозі, такому як wp-content / uploads / secure?

Це єдине дійсно безпечне рішення. Все, що ви можете знайти в Інтернеті, як-от перевірка заголовка реферера, перевірка файлів cookie, заборона переліку каталогів, - це половина міри, оскільки ви можете легко підробляти заголовки HTTP-запитів, щоб обійти його.
Лука

Хлопці ... це здалося ідеальним рішенням для мене .... проблема полягає в тому, що я використовую PDFJS від Mozilla для доступу до деяких PDF-файлів із папки завантаження, а PDFJS використовує заголовки часткового вмісту, щоб отримати лише ті сторінки, які його цікавлять .. .так це рішення для мене не ходить. будь-які пропозиції??
Отто Наскарелла

@OttoNascarella: Часткові запити щодо вмісту до PHP вирішені на сьогоднішній день, це не залежить від цього питання WordPress. Infact, питання вже досить старе: відновлені завантаження при використанні PHP для надсилання файлу?
хакре

@hakre А як щодо деяких зображень, які використовуються на головній сторінці веб-сайту, і будь-який користувач заходить на сайт? Це дає мені помилку 404, якщо я не зареєстрований.
Дхаваль Панчал

14

Ви також можете написати плагін, використовуючи initгачок і значення get $_GET[ 'file' ];. Якщо користувач має це значення, перейдіть у функцію, щоб перевірити права на доступ до файлів: Наприклад, встановіть прапорець у Meta Box.

add_action( 'init', 'fb_init' );
function fb_init() {
    // this in a function for init-hook
    if ( '' != $_GET[ 'file' ] ) {
        fb_get_file( $_GET[ 'file' ] );
    }
}

функція get_file ()

function fb_get_file( $file ) {

    $upload     = wp_upload_dir();
    $the_file   = $file; 
    $file       = $upload[ 'basedir' ] . '/' . $file;
    if ( !is_file( $file ) ) {
        status_header( 404 );
        die( '404 &#8212; File not found.' );
    }
    else {
        $image = get_posts( array( 'post_type' => 'attachment', 'meta_query' => array( array( 'key' => '_wp_attached_file', 'value' => $the_file ) ) ) );
        if ( 0 < count( $image ) && 0 < $image[0] -> post_parent ) { // attachment found and parent available
            if ( post_password_required( $image[0] -> post_parent ) ) { // password for the post is not available
                wp_die( get_the_password_form() );// show the password form 
            }
            $status = get_post_meta( $image[0] -> post_parent, '_inpsyde_protect_content', true );

            if ( 1 == $status &&  !is_user_logged_in() ) {
                wp_redirect( wp_login_url( $upload[ 'baseurl' ] . '/' . $the_file ) );
                die();
            }
        }
        else {
            // not a normal attachment check for thumbnail
            $filename   = pathinfo( $the_file );
            $images     = get_posts( array( 'post_type' => 'attachment', 'meta_query' => array( array( 'key' => '_wp_attachment_metadata', 'compare' => 'LIKE', 'value' => $filename[ 'filename' ] . '.' . $filename[ 'extension' ] ) ) ) );
            if ( 0 < count( $images ) ) {
                foreach ( $images as $SINGLEimage ) {
                    $meta = wp_get_attachment_metadata( $SINGLEimage -> ID );
                    if ( 0 < count( $meta[ 'sizes' ] ) ) {
                        $filepath   = pathinfo( $meta[ 'file' ] );
                        if ( $filepath[ 'dirname' ] == $filename[ 'dirname' ] ) {// current path of the thumbnail
                            foreach ( $meta[ 'sizes' ] as $SINGLEsize ) {
                                if ( $filename[ 'filename' ] . '.' . $filename[ 'extension' ] == $SINGLEsize[ 'file' ] ) {
                                    if ( post_password_required( $SINGLEimage -> post_parent ) ) { // password for the post is not available
                                        wp_die( get_the_password_form() );// show the password form 
                                    }
                                    die('dD');
                                    $status = get_post_meta( $SINGLEimage -> post_parent, '_inpsyde_protect_content', true );

                                    if ( 1 == $status &&  !is_user_logged_in() ) {
                                        wp_redirect( wp_login_url( $upload[ 'baseurl' ] . '/' . $the_file ) );
                                        die();
                                    }
                                }
                            }
                        }
                    }
                }
            }
        }
    }
    $mime       = wp_check_filetype( $file );

    if( false === $mime[ 'type' ] && function_exists( 'mime_content_type' ) )
        $mime[ 'type' ] = mime_content_type( $file );

    if( $mime[ 'type' ] )
        $mimetype = $mime[ 'type' ];
    else
        $mimetype = 'image/' . substr( $file, strrpos( $file, '.' ) + 1 );

    header( 'Content-type: ' . $mimetype ); // always send this
    if ( false === strpos( $_SERVER['SERVER_SOFTWARE'], 'Microsoft-IIS' ) )
        header( 'Content-Length: ' . filesize( $file ) );

    $last_modified = gmdate( 'D, d M Y H:i:s', filemtime( $file ) );
    $etag = '"' . md5( $last_modified ) . '"';
    header( "Last-Modified: $last_modified GMT" );
    header( 'ETag: ' . $etag );
    header( 'Expires: ' . gmdate( 'D, d M Y H:i:s', time() + 100000000 ) . ' GMT' );

    // Support for Conditional GET
    $client_etag = isset( $_SERVER['HTTP_IF_NONE_MATCH'] ) ? stripslashes( $_SERVER['HTTP_IF_NONE_MATCH'] ) : false;

    if( ! isset( $_SERVER['HTTP_IF_MODIFIED_SINCE'] ) )
        $_SERVER['HTTP_IF_MODIFIED_SINCE'] = false;

    $client_last_modified = trim( $_SERVER['HTTP_IF_MODIFIED_SINCE'] );
    // If string is empty, return 0. If not, attempt to parse into a timestamp
    $client_modified_timestamp = $client_last_modified ? strtotime( $client_last_modified ) : 0;

    // Make a timestamp for our most recent modification...
    $modified_timestamp = strtotime($last_modified);

    if ( ( $client_last_modified && $client_etag )
        ? ( ( $client_modified_timestamp >= $modified_timestamp) && ( $client_etag == $etag ) )
        : ( ( $client_modified_timestamp >= $modified_timestamp) || ( $client_etag == $etag ) )
        ) {
        status_header( 304 );
        exit;
    }

    // If we made it this far, just serve the file
    readfile( $file );
    die();
}

Ви також можете додати спеціальну URL-адресу для файлів через гачок generate_rewrite_rules

add_filter( 'generate_rewrite_rules', 'fb_generate_rewrite_rules' );

function fb_generate_rewrite_rules( $wprewrite ) {
        $upload = wp_upload_dir();
        $path = str_replace( site_url( '/' ), '', $upload[ 'baseurl' ] );
        $wprewrite -> non_wp_rules = array( $path . '/(.*)' => 'index.php?file=$1' );
        return $wprewrite;
}

З моєї сторони це не спрацювало. Хтось знає, чому? Я точно копіюю.
Ryan S

Захист працює лише у форматі PDF. інші розширення файлів не працюють, як: doc, docx, jpg та інше ...
Patel

1

Якщо ви хочете підходити до вирішення цієї проблеми на основі плагінів, ось я (нарешті) знайшов досить хороше рішення:

  1. Встановіть плагін "Монітор завантаження", доступний за посиланням:
    https://wordpress.org/plugins/download-monitor/
  2. На інформаційній панелі WordPress перейдіть до нового пункту меню "Завантаження" та додайте новий "Завантажити", як описано на веб-сайті документації плагінів тут: https://www.download-monitor.com/kb/adding-downloads/ . Зверніть увагу на наданий вам короткий код "Завантажити" (наприклад, збережіть у Блокноті). Зауважте, що файл зберігається в/wp-content/uploads/dlm_uploads/
  3. У метабоксі "Параметри завантаження" вкажіть "Тільки учасники" (як це зафіксовано тут https://www.download-monitor.com/kb/download-options/ ) та натисніть "Опублікувати".
  4. На сторінці, яку ви хочете, щоб з'явилося лише завантаження членів, додайте в короткий код, який ви взяли на замітку на кроці №2, та "Опублікувати / оновити" сторінку, як це задокументовано тут: https://www.download-monitor.com / kb / скачати короткий код / . Ви можете змінити шаблон посилання для завантаження, як описано тут https://www.download-monitor.com/kb/content-templates/ , або створити свій власний (наприклад, щоб видалити "кількість" для завантаження)
  5. Перейдіть на свою сторінку, ви повинні побачити посилання для завантаження (але яке не розкриває URL-адресу файлу для завантаження). Якщо ви перейдете на ту саму сторінку у новому вікні браузера (або вікно анонімного перегляду), вам слід встановити, що завантаження більше не працює.

Це означає, що той, хто не ввійшов у систему, не може ні завантажити файл, ні побачити реальну URL-адресу. Якщо у випадку, якщо хтось несанкціоновано з'ясує URL-адресу файлу, плагін також зупиняє перегляд користувачів на справжню URL-адресу файлу, блокуючи доступ до /wp-content/uploads/dlm_uploads/папки.

Бонус: якщо ви робите це для сайту, де вам потрібні користувачі, які зможуть увійти лише як "учасники" (але не мають дозволу WordPress, наприклад редагування сторінок або адміністратора), встановіть плагін "Учасники" https: // wordpress .org / плагіни / члени / , створіть нову роль користувача під назвою "Член" та надайте їй єдину можливість "прочитати", створіть нового Користувача в WordPress та переконайтеся, що їм належить роль "Член".

Якщо ви хочете захистити вміст сторінок, плагін "Members" надає деякі параметри, або там є інші додатки. Якщо ви хочете, щоб тема входу для учасників була краще, ніж форма входу за замовчуванням WordPress, використовуйте щось на кшталт "Тема Мій вхід": https://wordpress.org/plugins/theme-my-login/


Процес, який я описав вище, також пояснюється тут, хоча, як ви бачите, він не повинен бути специфічним лише для PDF-файлів: thedigitalcrowd.com/website-development/wordpress/…
Matty J
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.