วิธีป้องกันการอัพโหลดหากผู้ใช้ไม่ได้ลงชื่อเข้าใช้


79

ฉันใช้ wordpress สำหรับเว็บไซต์ส่วนตัวที่ผู้ใช้อัปโหลดไฟล์ ฉันใช้ "ส่วนตัว WordPress" เพื่อป้องกันการเข้าถึงเว็บไซต์หากผู้ใช้ไม่ได้เข้าสู่ระบบ

ฉันต้องการทำสิ่งเดียวกันกับไฟล์ที่อัพโหลดในโฟลเดอร์อัพโหลด

ดังนั้นหากผู้ใช้ไม่ได้เข้าสู่ระบบพวกเขาจะไม่สามารถเข้าถึง: https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf หากพวกเขาพยายามเข้าถึง แต่พวกเขาไม่ได้เข้าสู่ระบบพวกเขาควรจะ ถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบเช่น

ฉันพบปลั๊กอินที่เรียกว่าไฟล์ส่วนตัว แต่การปรับปรุงครั้งล่าสุดในปี 2009 และดูเหมือนว่าจะใช้งานไม่ได้กับ wordpress ของฉัน

ใครรู้วิธีการใด ๆ วิธี Hotlinking เพียงพอที่จะปกป้องสิ่งนี้ได้อย่างไร

ฉันก็พบวิธีนี้:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^.*uploads/private/.*
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
RewriteRule . /index.php [R,L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

แต่ผู้ใช้ที่ทำซ้ำคุกกี้สามารถส่งผ่านสิทธินี้ได้หรือไม่ ความนับถือ


1
เหตุผลใดที่คุณไม่สามารถใช้ไดเรกทอรีอัปโหลดอื่นเช่นเดียวกับอยู่นอกรูทของไซต์
onetrickpony

ไม่จริง แต่ฉันมีไฟล์จำนวนมากที่แนบมากับโพสต์ในไดเรกทอรีนั้นฉันไม่สนใจที่จะย้ายไปรอบ ๆ ถ้าฉันสามารถหาวิธีแก้ปัญหาที่เหมาะสม
chifliiiii

คำตอบ:


86

ตรวจสอบเฉพาะว่ามีคุกกี้อยู่หรือไม่นั้นเป็นการป้องกันที่เข้มงวดมาก

เพื่อให้ได้การป้องกันที่แข็งแกร่งยิ่งขึ้นคุณสามารถส่งหรือ "พร็อกซี" คำขอทั้งหมดไปยังโฟลเดอร์ที่อัปโหลด (แบบอย่างuploadsในตัวอย่างต่อไปนี้) ผ่านสคริปต์ php:

RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/(.*)$ dl-file.php?file=$1 [QSA,L]

คำขอทั้งหมดไปยังไฟล์ที่อัปโหลด (ซึ่งรวมถึงภาพในโพสต์) จะไปที่dl-file.phpซึ่งสามารถทำการตรวจสอบว่าผู้ใช้เข้าสู่ระบบหรือไม่

หากผู้ใช้ไม่ได้เข้าสู่ระบบแบบฟอร์มเข้าสู่ระบบเว็บไซต์ของคุณจะปรากฏขึ้น หลังจากผู้ใช้ลงชื่อเข้าใช้เธอจะได้รับการเปลี่ยนเส้นทางกลับไปที่ไฟล์และสามารถดาวน์โหลดได้ทันที

dl-file.phpเป็นแบบอย่าง

สิ่งที่คล้ายกันสามารถพบได้ใน\wp-includes\ms-files.phpการติดตั้ง wordpress ของคุณ แต่สิ่งนั้นมีไว้สำหรับ multisite และไม่มีการตรวจสอบการเข้าสู่ระบบและเปลี่ยนเส้นทาง

ขึ้นอยู่กับว่าคุณมีปริมาณการใช้งานมากเท่าไรคุณควรเพิ่มการรวมกับเซิร์ฟเวอร์ของคุณเช่นX-Accel-RedirectหรือX-Sendfileส่วนหัว


1
คุณจะปรับ dl-file.php ได้อย่างไรถ้าฉันต้องการจัดเก็บไฟล์ในไดเรกทอรีย่อยเช่น wp-content / uploads / secure

นี่เป็นทางออกเดียวที่ปลอดภัยจริงๆ ทุกสิ่งที่คุณสามารถพบได้บนเว็บเช่นการตรวจสอบส่วนหัวผู้อ้างอิงการตรวจสอบคุกกี้การไม่อนุญาตรายชื่อไดเรกทอรีเป็นการวัดครึ่งหนึ่งเนื่องจากคุณสามารถหลอก HTTP ได้อย่างง่ายดายขอให้ส่วนหัวล้อมรอบ
ลุค

พวก .. ดูเหมือนว่าโซลูชั่นที่สมบูรณ์แบบสำหรับฉัน .... ปัญหาคือฉันใช้ PDFJS จาก Mozilla เพื่อเข้าถึง PDF บางไฟล์จากโฟลเดอร์อัพโหลดและ PDFJS ใช้ส่วนหัวเนื้อหาบางส่วนเพื่อรับเฉพาะหน้าที่มันสนใจ .. . ดังนั้นวิธีนี้เป็น goer สำหรับฉันไม่มี ข้อเสนอแนะใด ๆ ??
Otto Nascarella

@OttoNascarella: การร้องขอเนื้อหาบางส่วนไปยัง PHP ได้รับการแก้ไข ณ วันนี้ซึ่งเป็นอิสระจากคำถาม WordPress นี้ Infact คำถามนี้ค่อนข้างเก่าอยู่แล้ว: การดาวน์โหลดต่อเมื่อใช้ PHP เพื่อส่งไฟล์
hakre

@hakre แล้วภาพเหล่านั้นที่ใช้ในหน้าแรกของเว็บไซต์และผู้ใช้คนใดมาเยี่ยมชมเว็บไซต์บ้าง? มันทำให้ฉันมีข้อผิดพลาด 404 ถ้าฉันไม่ได้เข้าสู่ระบบ
Dhaval Panchal

14

นอกจากนี้คุณยังสามารถเขียนปลั๊กอินโดยใช้เบ็ดและได้รับความคุ้มค่าinit $_GET[ 'file' ];หากผู้ใช้มีค่านี้ให้กระโดดในฟังก์ชั่นเพื่อตรวจสอบสิทธิ์ในการเข้าถึงไฟล์: ตัวอย่างเช่นมีช่องทำเครื่องหมายในกล่อง Meta

add_action( 'init', 'fb_init' );
function fb_init() {
    // this in a function for init-hook
    if ( '' != $_GET[ 'file' ] ) {
        fb_get_file( $_GET[ 'file' ] );
    }
}

ฟังก์ชั่น get_file ()

function fb_get_file( $file ) {

    $upload     = wp_upload_dir();
    $the_file   = $file; 
    $file       = $upload[ 'basedir' ] . '/' . $file;
    if ( !is_file( $file ) ) {
        status_header( 404 );
        die( '404 &#8212; File not found.' );
    }
    else {
        $image = get_posts( array( 'post_type' => 'attachment', 'meta_query' => array( array( 'key' => '_wp_attached_file', 'value' => $the_file ) ) ) );
        if ( 0 < count( $image ) && 0 < $image[0] -> post_parent ) { // attachment found and parent available
            if ( post_password_required( $image[0] -> post_parent ) ) { // password for the post is not available
                wp_die( get_the_password_form() );// show the password form 
            }
            $status = get_post_meta( $image[0] -> post_parent, '_inpsyde_protect_content', true );

            if ( 1 == $status &&  !is_user_logged_in() ) {
                wp_redirect( wp_login_url( $upload[ 'baseurl' ] . '/' . $the_file ) );
                die();
            }
        }
        else {
            // not a normal attachment check for thumbnail
            $filename   = pathinfo( $the_file );
            $images     = get_posts( array( 'post_type' => 'attachment', 'meta_query' => array( array( 'key' => '_wp_attachment_metadata', 'compare' => 'LIKE', 'value' => $filename[ 'filename' ] . '.' . $filename[ 'extension' ] ) ) ) );
            if ( 0 < count( $images ) ) {
                foreach ( $images as $SINGLEimage ) {
                    $meta = wp_get_attachment_metadata( $SINGLEimage -> ID );
                    if ( 0 < count( $meta[ 'sizes' ] ) ) {
                        $filepath   = pathinfo( $meta[ 'file' ] );
                        if ( $filepath[ 'dirname' ] == $filename[ 'dirname' ] ) {// current path of the thumbnail
                            foreach ( $meta[ 'sizes' ] as $SINGLEsize ) {
                                if ( $filename[ 'filename' ] . '.' . $filename[ 'extension' ] == $SINGLEsize[ 'file' ] ) {
                                    if ( post_password_required( $SINGLEimage -> post_parent ) ) { // password for the post is not available
                                        wp_die( get_the_password_form() );// show the password form 
                                    }
                                    die('dD');
                                    $status = get_post_meta( $SINGLEimage -> post_parent, '_inpsyde_protect_content', true );

                                    if ( 1 == $status &&  !is_user_logged_in() ) {
                                        wp_redirect( wp_login_url( $upload[ 'baseurl' ] . '/' . $the_file ) );
                                        die();
                                    }
                                }
                            }
                        }
                    }
                }
            }
        }
    }
    $mime       = wp_check_filetype( $file );

    if( false === $mime[ 'type' ] && function_exists( 'mime_content_type' ) )
        $mime[ 'type' ] = mime_content_type( $file );

    if( $mime[ 'type' ] )
        $mimetype = $mime[ 'type' ];
    else
        $mimetype = 'image/' . substr( $file, strrpos( $file, '.' ) + 1 );

    header( 'Content-type: ' . $mimetype ); // always send this
    if ( false === strpos( $_SERVER['SERVER_SOFTWARE'], 'Microsoft-IIS' ) )
        header( 'Content-Length: ' . filesize( $file ) );

    $last_modified = gmdate( 'D, d M Y H:i:s', filemtime( $file ) );
    $etag = '"' . md5( $last_modified ) . '"';
    header( "Last-Modified: $last_modified GMT" );
    header( 'ETag: ' . $etag );
    header( 'Expires: ' . gmdate( 'D, d M Y H:i:s', time() + 100000000 ) . ' GMT' );

    // Support for Conditional GET
    $client_etag = isset( $_SERVER['HTTP_IF_NONE_MATCH'] ) ? stripslashes( $_SERVER['HTTP_IF_NONE_MATCH'] ) : false;

    if( ! isset( $_SERVER['HTTP_IF_MODIFIED_SINCE'] ) )
        $_SERVER['HTTP_IF_MODIFIED_SINCE'] = false;

    $client_last_modified = trim( $_SERVER['HTTP_IF_MODIFIED_SINCE'] );
    // If string is empty, return 0. If not, attempt to parse into a timestamp
    $client_modified_timestamp = $client_last_modified ? strtotime( $client_last_modified ) : 0;

    // Make a timestamp for our most recent modification...
    $modified_timestamp = strtotime($last_modified);

    if ( ( $client_last_modified && $client_etag )
        ? ( ( $client_modified_timestamp >= $modified_timestamp) && ( $client_etag == $etag ) )
        : ( ( $client_modified_timestamp >= $modified_timestamp) || ( $client_etag == $etag ) )
        ) {
        status_header( 304 );
        exit;
    }

    // If we made it this far, just serve the file
    readfile( $file );
    die();
}

คุณยังสามารถเพิ่ม URL ที่กำหนดเองสำหรับไฟล์ผ่านทาง hook generate_rewrite_rules

add_filter( 'generate_rewrite_rules', 'fb_generate_rewrite_rules' );

function fb_generate_rewrite_rules( $wprewrite ) {
        $upload = wp_upload_dir();
        $path = str_replace( site_url( '/' ), '', $upload[ 'baseurl' ] );
        $wprewrite -> non_wp_rules = array( $path . '/(.*)' => 'index.php?file=$1' );
        return $wprewrite;
}

สิ่งนี้ใช้ไม่ได้กับทุกคนที่รู้ว่าทำไม ฉันคัดลอกอย่างแน่นอน
Ryan S

การป้องกันทำงานในรูปแบบ pdf เท่านั้น ขยายไฟล์อื่น ๆ ที่ไม่ได้ทำงานที่ชอบ: docx, doc, jpg และอื่น ๆ ...
เทล

1

หากคุณต้องการแนวทางที่ใช้ปลั๊กอินในการแก้ปัญหานี้นี่เป็นวิธีแก้ปัญหาที่ดีที่ฉันได้พบ (ในที่สุด):

  1. ติดตั้งปลั๊กอิน 'ดาวน์โหลดการตรวจสอบ' ที่:
    https://wordpress.org/plugins/download-monitor/
  2. ใน WordPress Dashboard ไปที่ใหม่ 'ดาวน์โหลด' รายการเมนูและเพิ่ม 'ดาวน์โหลด' ใหม่ตามที่อธิบายไว้ในเว็บไซต์ของเอกสารปลั๊กอินที่นี่: https://www.download-monitor.com/kb/adding-downloads/ จดรหัสย่อ 'ดาวน์โหลด' ที่มีให้สำหรับคุณ (เช่นบันทึกลงใน Notepad) โปรดทราบว่าไฟล์จะได้รับการบันทึกไว้/wp-content/uploads/dlm_uploads/
  3. ใน metabox 'ตัวเลือกการดาวน์โหลด' ให้ระบุ 'สมาชิกเท่านั้น' (ดังที่บันทึกไว้ที่นี่https://www.download-monitor.com/kb/download-options/ ) แล้วคลิก 'เผยแพร่'
  4. ในหน้าเว็บที่คุณต้องการให้สมาชิกดาวน์โหลดเท่านั้นที่จะปรากฏให้เพิ่มในรหัสย่อที่คุณจดบันทึกในขั้นตอนที่ 2 และหน้า 'เผยแพร่ / อัพเดต' ตามที่ระบุไว้ที่นี่: https://www.download-monitor.com / กิโลไบต์ / รหัสดาวน์โหลด / คุณสามารถเปลี่ยนเทมเพลตลิงค์ดาวน์โหลดได้ตามที่อธิบายไว้ที่นี่https://www.download-monitor.com/kb/content-templates/หรือสร้างของคุณเอง (เช่นเพื่อลบ 'นับ' ดาวน์โหลด
  5. เรียกดูหน้าของคุณคุณจะเห็นลิงค์ดาวน์โหลด (ซึ่งไม่เปิดเผย URL ของไฟล์ดาวน์โหลด) หากคุณเรียกดูหน้าเดียวกันในหน้าต่างเบราว์เซอร์ใหม่ (หรือหน้าต่างที่ไม่ระบุตัวตน) คุณควรพบว่าการดาวน์โหลดไม่ทำงานอีกต่อไป

หมายความว่าทุกคนที่ไม่ได้เข้าสู่ระบบไม่สามารถดาวน์โหลดไฟล์หรือดู URL ที่แท้จริงไปยังไฟล์ หากในกรณีที่มีบุคคลที่ไม่ได้รับอนุญาตคิดออก URL ไปยังไฟล์ปลั๊กอินยังหยุดผู้ใช้เรียกดู URL ไฟล์จริงโดยการปิดกั้นการเข้าถึง/wp-content/uploads/dlm_uploads/โฟลเดอร์

โบนัส: หากคุณทำสิ่งนี้กับไซต์ที่คุณต้องการให้ผู้ใช้สามารถเข้าสู่ระบบในฐานะ 'สมาชิก' เท่านั้น (แต่ไม่มีสิทธิ์ของ WordPress เช่นการแก้ไขหน้าเว็บหรือการเป็นผู้ดูแลระบบ) ให้ติดตั้งปลั๊กอิน 'Members' https: // wordpress .org / plugins / members /สร้างบทบาทผู้ใช้ใหม่ที่เรียกว่า 'สมาชิก' และให้ความสามารถเดียวของ 'อ่าน' สร้างผู้ใช้ใหม่ใน WordPress และตรวจสอบให้แน่ใจว่าพวกเขามีบทบาท 'สมาชิก'

หากคุณต้องการปกป้องเนื้อหาของหน้าเว็บปลั๊กอิน 'สมาชิก' มีตัวเลือกบางอย่างหรือมีปลั๊กอินอื่น ๆ อยู่ที่นั่น หากคุณต้องการธีมหน้าเข้าสู่ระบบเพื่อให้สมาชิกดูดีกว่ารูปแบบการเข้าสู่ระบบเริ่มต้นของ WordPress ให้ใช้บางอย่างเช่น 'เข้าสู่ระบบธีมของฉัน': https://wordpress.org/plugins/theme-my-login/


กระบวนการที่ฉันได้อธิบายไว้ข้างต้นนั้นได้อธิบายไว้ที่นี่ด้วยเช่นกันถึงแม้ว่าคุณจะเห็นว่ามันไม่จำเป็นต้องเจาะจงเฉพาะไฟล์ PDF: thedigitalcrowd.com/website-development/wordpress/ …
Matty J
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.