สถานการณ์เริ่มต้น
สำหรับเว็บไซต์ที่ฉันตั้งค่าฉันกำลังมองหาพื้นที่ทั้งหมดของการรักษาความปลอดภัยอัพโหลด / ดาวน์โหลดและ จำกัด การเข้าถึงพวกเขาตามบทบาท / ความสามารถของผู้ใช้ แน่นอนฉันได้อ่านคำถามก่อนหน้านี้บางส่วนที่เกี่ยวข้องกับหัวข้อ (ทั่วไป) ที่นี่เพื่อเหตุผลในการอ้างอิงเหตุผลที่สำคัญที่สุด / น่าสนใจที่ฉันพบ:
- วิธีป้องกันการอัพโหลดหากผู้ใช้ไม่ได้ลงชื่อเข้าใช้
- วิธี จำกัด การเข้าถึงไฟล์ที่อัพโหลด?
- การ จำกัด การเข้าถึงไฟล์ภายในโฟลเดอร์เฉพาะ
- จะทำให้การอัปโหลดสื่อเป็นส่วนตัวได้อย่างไร?
- การรวมสคริปต์ดาวน์โหลดของ PHP เข้าที่
หมายเหตุเพิ่มเติม
โดยทั่วไปแล้วไม่ใช่ความคิดที่ดีที่จะปรับปรุงความปลอดภัยของการติดตั้ง wordpress ของคุณ - เช่นการป้องกันของคุณwp-config.php- มีหลายสิ่งที่คุณสามารถทำได้และควรทำ มีข้อมูลมากมายเกี่ยวกับวิธีการทำ ฉันอยู่ในบริบทของคำถามนี้ส่วนใหญ่กังวลเกี่ยวกับการอัปโหลด / ดาวน์โหลดของฉัน
การอัปโหลด Wordpress ไม่ปลอดภัยทุกคนสามารถเรียกดูuploadsโฟลเดอร์ได้เว้นแต่คุณจะป้องกันด้วย.htaccess:
Options All -Indexes.htaccessไฟล์จะต้องมีการวางไว้ภายในuploadsโฟลเดอร์ แต่นั่นไม่ใช่การรักษาความปลอดภัยจริงๆมันแค่ทำให้การค้นหาไฟล์ทำได้ยากขึ้น นอกจากนี้คุณสามารถป้องกันไม่ให้hotlinkingมีการ จำกัด การเข้าถึงตามปกติreferrer- แม้ว่ามันจะแตกต่างกันเล็กน้อย แต่ฉันคิดว่าฉันพูดถึงมัน แต่ฉันไม่ได้อธิบายเพิ่มเติมคุณสามารถค้นหาข้อมูลมากมายเกี่ยวกับเรื่องนั้น
แน่นอนว่ามีความเป็นไปได้ที่จะทำให้โพสต์เป็นส่วนตัวหรือสร้างประเภทโพสต์ที่กำหนดเองพร้อมกับไฟล์เทมเพลตที่เหมาะสมเพื่อให้โพสต์ประเภทนั้นเป็นส่วนตัว แต่นั่นไม่ได้รักษาความปลอดภัยไฟล์ของคุณ เดียวกันสามารถกล่าวว่าสำหรับการตัดไฟล์ในเงื่อนไขเหมือนหรือis_user_logged_in()is_admin()
ใน sidenote มีปลั๊กอินจำนวนมากอยู่ที่นั่นซึ่งสัญญาว่าจะทำให้ไฟล์ของคุณปลอดภัยและได้รับการปกป้อง แต่ส่วนมากพวกเขาแสร้งทำเช่นนั้นด้วยเหตุผลบางอย่างข้างต้น ฉันแค่เขียนมันออกมาเพราะฉันค่อนข้างแน่ใจว่ามันไม่ได้เป็นที่รู้จักของทุกคน - ดังนั้นระวังให้ดี
วัตถุประสงค์
ความตั้งใจของฉันคือสามารถ จำกัด การเข้าถึงการอัปโหลด (บางส่วน) และการดาวน์โหลดตามลำดับ และเพื่อให้แน่ใจว่าไม่มีใครที่ไม่ต้องการสามารถเข้าถึงพวกเขาไม่ได้โดยบังเอิญหรือถ้ามีคนรู้ชื่อไฟล์ไฟล์ควรเป็นส่วนตัวและปลอดภัย หลังจากทั้งหมดบางคนเท่านั้นที่สามารถเข้าถึงได้โดยไม่มีข้อยกเว้น
นอกจากนี้ฉันไม่จำเป็นต้องแปรรูปทั้งไซต์แน่นอนว่าจะเป็นการต่อต้าน - มันถูกใช้เพื่อวัตถุประสงค์ในการนำเสนอสู่สาธารณะ ยิ่งไปกว่านั้นฉันต้องการโซลูชันที่สามารถใช้งานได้ง่ายด้วยเหตุผลง่ายๆที่บางคนทำงานกับมันไม่ใช่ผู้เชี่ยวชาญด้านคอมพิวเตอร์อย่างแท้จริงเนื่องจากมักเป็นเช่นนั้น
คำถาม
ดังนั้นคำถามมีวิธีที่ค่อนข้างง่ายในการ จำกัด การเข้าถึง (บางส่วน) อัพโหลดและการดาวน์โหลดที่เกี่ยวข้องหรือไม่ และเช่นเดียวกับที่ฉันดำเนินการนั่นหมายถึงวิธีปกป้องและปกป้องพวกเขาอย่างแท้จริงหรือไม่?