ユーザーがログインしていない場合、アップロードを保護する方法は?

79

ユーザーがファイルをアップロードするプライベートサイトでwordpressを使用しています。ユーザーがログインしていない場合、サイトへのアクセスを防ぐために「Private WordPress」を使用しています。

uploadsフォルダーにアップロードされたファイルにも同じことをしたいと思います。

そのため、ログインしていないユーザーが https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf にアクセスできない場合、アクセスしようとしてもログインしていない場合は、たとえば、ログインページにリダイレクトされます。

私はプライベートファイルと呼ばれるプラグインを見つけましたが、最後に更新されたのは2009年であり、それは私のワードプレスで動作しないようです。

誰もが方法を知っていますか?これを保護するには、ホットリンク方式で十分ですか?

私もこの方法を見つけました:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^.*uploads/private/.*
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
RewriteRule . /index.php [R,L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

しかし、クッキーを複製するユーザーはこの権利を渡すことができますか?よろしく

media  security  media-library  uploads 
chifliiiii
ソース
1
サイトルートの外部のような、別のアップロードディレクトリを使用できない理由は何ですか?
onetrickpony
そうでもないが、私はすでにそのディレクトリ内の記事に添付されたファイルのトンが、私は適切な解決策を見つけることができれば、すべての周りの移動に心をいけないだ
chifliiiii

回答:

86

Cookieが存在するかどうかを確認するだけでは、厳密な保護はあまり行われません。

より強力な保護を得るために、アップロードされたフォルダー(uploads次の例で例示)にすべての要求をphpスクリプトを介して渡すか、「プロキシ」できます。

RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/(.*)$ dl-file.php?file=$1 [QSA,L]

アップロードされたファイル(投稿に画像を含む)へのすべてのリクエストは、dl-file.phpそこに送られ、ユーザーがログインしているかどうかを確認できます。

ユーザーがログインしていない場合、サイトのログインフォームが表示されます。ユーザーがログインすると、ファイルにリダイレクトされ、ダウンロードできるようになります。

典型的なdl-file.php

似たようなものが\wp-includes\ms-files.phpあなたのワードプレスのインストールで見つけることができますが、それはマルチサイト用であり、ログインチェックとリダイレクトなしです。

あなたが持っているトラフィックの量に応じて、これをあなたのサーバー、例えば、X-Accel-RedirectまたはX-Sendfileヘッダーとより良く統合することが賢明かもしれません。

ハクレ
ソース
1
wp-content / uploads / secureなどのサブディレクトリにファイルを保存する場合、dl-file.phpをどのように調整しますか?
これが唯一の本当に安全なソリューションです。リファラーヘッダーのチェック、Cookieのチェック、ディレクトリリストの許可の禁止など、Webで見つけることができるものはすべて、HTTPリクエストヘッダーを簡単にスプーフィングして回避することができるため、半分の手段です。
ルーク
Guys ..これは私にとって完璧な解決策のように思えた....問題は、MozillaのPDFJSを使用してアップロードフォルダからいくつかのPDFにアクセスし、PDFJSが部分コンテンツヘッダーを使用して関心のあるページのみを取得することです.. .soこのソリューションは私には不向きです。助言がありますか??
オットーナスカレラ14年
@OttoNascarella:PHPへの部分的なコンテンツリクエストは本日現在解決されています。これはこのワードプレスの質問とは無関係です。実際、質問はすでにかなり古いものです。PHPを使用してファイルを送信する場合の再開可能なダウンロードですか?
ハクレ14
@hakre Webサイトのフロントページで使用されている画像の一部と、ユーザーがサイトにアクセスする場合はどうですか。ログインしていない場合、404エラーが表示されます。
ダバルパンチャル
14

initフックとget-value を使用してプラグインを作成することもできます$_GET[ 'file' ];。ユーザーがこのget-valueを持っている場合、ファイルのアクセス権をチェックする関数にジャンプします。たとえば、メタボックスのチェックボックスを使用します。

add_action( 'init', 'fb_init' );
function fb_init() {
    // this in a function for init-hook
    if ( '' != $_GET[ 'file' ] ) {
        fb_get_file( $_GET[ 'file' ] );
    }
}

関数get_file()

function fb_get_file( $file ) {

    $upload     = wp_upload_dir();
    $the_file   = $file; 
    $file       = $upload[ 'basedir' ] . '/' . $file;
    if ( !is_file( $file ) ) {
        status_header( 404 );
        die( '404 &#8212; File not found.' );
    }
    else {
        $image = get_posts( array( 'post_type' => 'attachment', 'meta_query' => array( array( 'key' => '_wp_attached_file', 'value' => $the_file ) ) ) );
        if ( 0 < count( $image ) && 0 < $image[0] -> post_parent ) { // attachment found and parent available
            if ( post_password_required( $image[0] -> post_parent ) ) { // password for the post is not available
                wp_die( get_the_password_form() );// show the password form 
            }
            $status = get_post_meta( $image[0] -> post_parent, '_inpsyde_protect_content', true );

            if ( 1 == $status &&  !is_user_logged_in() ) {
                wp_redirect( wp_login_url( $upload[ 'baseurl' ] . '/' . $the_file ) );
                die();
            }
        }
        else {
            // not a normal attachment check for thumbnail
            $filename   = pathinfo( $the_file );
            $images     = get_posts( array( 'post_type' => 'attachment', 'meta_query' => array( array( 'key' => '_wp_attachment_metadata', 'compare' => 'LIKE', 'value' => $filename[ 'filename' ] . '.' . $filename[ 'extension' ] ) ) ) );
            if ( 0 < count( $images ) ) {
                foreach ( $images as $SINGLEimage ) {
                    $meta = wp_get_attachment_metadata( $SINGLEimage -> ID );
                    if ( 0 < count( $meta[ 'sizes' ] ) ) {
                        $filepath   = pathinfo( $meta[ 'file' ] );
                        if ( $filepath[ 'dirname' ] == $filename[ 'dirname' ] ) {// current path of the thumbnail
                            foreach ( $meta[ 'sizes' ] as $SINGLEsize ) {
                                if ( $filename[ 'filename' ] . '.' . $filename[ 'extension' ] == $SINGLEsize[ 'file' ] ) {
                                    if ( post_password_required( $SINGLEimage -> post_parent ) ) { // password for the post is not available
                                        wp_die( get_the_password_form() );// show the password form 
                                    }
                                    die('dD');
                                    $status = get_post_meta( $SINGLEimage -> post_parent, '_inpsyde_protect_content', true );

                                    if ( 1 == $status &&  !is_user_logged_in() ) {
                                        wp_redirect( wp_login_url( $upload[ 'baseurl' ] . '/' . $the_file ) );
                                        die();
                                    }
                                }
                            }
                        }
                    }
                }
            }
        }
    }
    $mime       = wp_check_filetype( $file );

    if( false === $mime[ 'type' ] && function_exists( 'mime_content_type' ) )
        $mime[ 'type' ] = mime_content_type( $file );

    if( $mime[ 'type' ] )
        $mimetype = $mime[ 'type' ];
    else
        $mimetype = 'image/' . substr( $file, strrpos( $file, '.' ) + 1 );

    header( 'Content-type: ' . $mimetype ); // always send this
    if ( false === strpos( $_SERVER['SERVER_SOFTWARE'], 'Microsoft-IIS' ) )
        header( 'Content-Length: ' . filesize( $file ) );

    $last_modified = gmdate( 'D, d M Y H:i:s', filemtime( $file ) );
    $etag = '"' . md5( $last_modified ) . '"';
    header( "Last-Modified: $last_modified GMT" );
    header( 'ETag: ' . $etag );
    header( 'Expires: ' . gmdate( 'D, d M Y H:i:s', time() + 100000000 ) . ' GMT' );

    // Support for Conditional GET
    $client_etag = isset( $_SERVER['HTTP_IF_NONE_MATCH'] ) ? stripslashes( $_SERVER['HTTP_IF_NONE_MATCH'] ) : false;

    if( ! isset( $_SERVER['HTTP_IF_MODIFIED_SINCE'] ) )
        $_SERVER['HTTP_IF_MODIFIED_SINCE'] = false;

    $client_last_modified = trim( $_SERVER['HTTP_IF_MODIFIED_SINCE'] );
    // If string is empty, return 0. If not, attempt to parse into a timestamp
    $client_modified_timestamp = $client_last_modified ? strtotime( $client_last_modified ) : 0;

    // Make a timestamp for our most recent modification...
    $modified_timestamp = strtotime($last_modified);

    if ( ( $client_last_modified && $client_etag )
        ? ( ( $client_modified_timestamp >= $modified_timestamp) && ( $client_etag == $etag ) )
        : ( ( $client_modified_timestamp >= $modified_timestamp) || ( $client_etag == $etag ) )
        ) {
        status_header( 304 );
        exit;
    }

    // If we made it this far, just serve the file
    readfile( $file );
    die();
}

フック経由でファイルのカスタムURLを追加することもできます generate_rewrite_rules

add_filter( 'generate_rewrite_rules', 'fb_generate_rewrite_rules' );

function fb_generate_rewrite_rules( $wprewrite ) {
        $upload = wp_upload_dir();
        $path = str_replace( site_url( '/' ), '', $upload[ 'baseurl' ] );
        $wprewrite -> non_wp_rules = array( $path . '/(.*)' => 'index.php?file=$1' );
        return $wprewrite;
}
ブエルトゲ
ソース
これは私の側では機能しませんでした誰もが理由を知っていますか?私は正確にコピーします。
ライアンS 14
保護機能はPDFのみです。他のファイルの拡張子のように動作していない:DOC、DOCX、JPGおよび等...
パテル
1

この問題を解決するためのプラグインベースのアプローチが必要な場合、私が(最終的に)見つけた合理的に良いソリューションは次のとおりです:

  1. https://wordpress.org/plugins/download-monitor/から入手できるプラグイン「Download Monitor」をインストールします
  2. WordPressダッシュボードで、新しい「ダウンロード」メニュー項目に移動し、新しい「ダウンロード」を追加します。これは、プラグインドキュメントのWebサイトhttps://www.download-monitor.com/kb/adding-downloads/で説明されています。用意されている「ダウンロード」ショートコードに注意してください(メモ帳に保存するなど)。ファイルが保存されることに注意してください/wp-content/uploads/dlm_uploads/
  3. [ダウンロードオプション]メタボックスで、[メンバーのみ](https://www.download-monitor.com/kb/download-options/に記載されているとおり)を指定し、[公開]をクリックします。
  4. メンバーのみのダウンロードを表示するページで、手順2でメモしたショートコードを追加し、https://www.download-monitor.comに記載されているようにページを「公開/更新」します。 / kb / shortcode-download /https://www.download-monitor.com/kb/content-templates/で説明されているようにダウンロードリンクテンプレートを変更するか、独自に作成することができます(たとえば、ダウンロード 'count'を削除するため)
  5. ページを参照すると、ダウンロードリンクが表示されます(ただし、ダウンロードファイルのURLは表示されません)。新しいブラウザウィンドウ(またはシークレットウィンドウ)で同じページを参照すると、ダウンロードが機能しなくなっていることがわかります。

これは、ログインしていないユーザーはファイルをダウンロードできないか、ファイルの実際のURLを表示できないことを意味します。誰かがファイルのURLを不正に把握した場合、プラグインは、/wp-content/uploads/dlm_uploads/フォルダーへのアクセスをブロックすることにより、ユーザーが実際のファイルURLを参照するのを停止します。

ボーナス:ユーザーが「メンバー」としてのみログインできるようにする必要がある(ただし、ページ編集や管理者などのWordPress権限がない)サイトでこれを行う場合は、「メンバー」プラグインhttps:// wordpressをインストールしてください.org / plugins / members /、「メンバー」という新しいユーザーロールを作成し、「読み取り」という単一の機能を付与し、WordPressで新しいユーザーを作成し、必ず「メンバー」のロールを付与します。

ページのコンテンツを保護したい場合は、「メンバー」プラグインがいくつかのオプションを提供するか、他のプラグインがあります。メンバーのログインページのテーマをWordPressのデフォルトのログインフォームよりも見やすくする場合は、「テーマのログイン」を使用します:https : //wordpress.org/plugins/theme-my-login/

マティ・J
ソース
上記のプロセスについてもここで説明しますが、ご覧のとおり、PDFだけに固有である必要はありません。thedigitalcrowd.com/ website
development
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.