Come impedire agli utenti di scaricare un allegato di un post di WordPress a tempo prima che l'articolo venga pubblicato?

Naviga le tue risposte
1

Quindi sto cercando di capire come impedire agli utenti di scaricare un allegato di un post di WordPress a tempo prima che l'articolo venga pubblicato? Gli allegati funzionano come caricamenti su un campo personalizzato in un articolo.

La mia soluzione attuale è usare htaccess per bloccare l'archivio dei caricamenti, in modo che i visitatori non possano esplorarli e quindi vedere un nuovo file prima del suo rilascio. Inoltre, se il client fornisce un nome difficile da indovinare per gli allegati, gli utenti non saranno in grado di raggiungerli senza conoscere il nome esatto (giusto?)

.htaccess: 

Options -Indexes

Le mie domande:

  1. Su una scala da 1 a 10, quanto è semplice la mia attuale soluzione di hackerare? È possibile rendere questa soluzione relativamente sicura

  2. C'è un'altra soluzione più sicura per questo? potrebbe essere sviluppato un plugin per trasferire il file da un posto sicuro quando l'articolo viene rilasciato

  3. QUALSIASI soluzione in cui l'allegato si trova sul server / all'interno di WordPress -uploads è una soluzione sicura?

  4. Esiste una soluzione di terze parti per questo? Come un servizio che potrebbe rilasciare documenti in un momento specifico

Grazie mille in anticipo

    
posta Ketri 02.09.2014 - 13:28
fonte

2 risposte

1

Se tutto ciò che hai è

Options -Indexes

nel tuo file htaccess, quindi è banale 'hackerare' e trovare il tuo file 'sicuro'.

Tutto ciò protegge dalle persone che navigano nel tuo sito. Simile all'opzione di YouTube per gli URL video "non elencati". Posso ancora trovare i collegamenti e, una volta fatto, non c'è sicurezza.

La soluzione migliore sarebbe lanciare un

Deny From All Allow From [your ip] (if you need to access it remotely)

nel tuo file htaccess. Questo negherà esplicitamente ogni accesso.

    
risposta data 02.09.2014 - 14:54
fonte
1

La tua soluzione:

Options -Indexes

Blocca l'elenco di directory dei file. L'unico modo in cui un utente può trovare l'allegato è se il nome esatto dell'allegato è noto. Questo potrebbe essere attaccato usando i seguenti modi:

  • L'attaccante utilizza uno script di esplorazione della directory o uno strumento come Directory Buster . Questi strumenti contengono dizionari di milioni di parole, che vengono quindi rinforzati a velocità elevata. Se il nome dell'allegato corrisponde alla parola verrà visualizzato.
  • Un modello può essere formato sul nome dell'allegato se l'utente osserva il nome degli allegati precedenti, creando quindi un elenco di parole personalizzato su bruteforce.

Su una scala da 1 a 10, quanto è semplice la mia attuale soluzione di hackerare? È possibile rendere questa soluzione relativamente sicura

Ans) Dipende dalla complessità dei nomi dell'allegato.

C'è un'altra soluzione più sicura per questo? potrebbe essere sviluppato un plugin per trasferire il file da un posto sicuro quando l'articolo viene rilasciato

Ans) Sì, è possibile sviluppare un plugin, usando cron job e lo sviluppo di wordpress.

QUALSIASI soluzione in cui l'allegato si trova sul server / all'interno di WordPress -uploads è una soluzione sicura?

Ans) Questa soluzione funziona, hai solo bisogno di rendere i nomi dei tuoi file allegati un po 'complessi. I mezzi che evitano le parole del dizionario usano simboli speciali ("£ $% ^ & * () < >?: @ ~} {) Ecc.

Esiste una soluzione di terze parti per questo? Come un servizio che potrebbe rilasciare documenti in un momento specifico

Ans) Non penso che ce ne sia, e non c'è bisogno di sprecare denaro su tali servizi, come descritto sopra, se segui questo. spero che funzionerà per voi.

    
risposta data 02.09.2014 - 14:52
fonte

Leggi altre domande sui tag

Esegue una shell PHP remota che si trova all'interno di un file Non ho il permesso di accedere Perché Google non disinstalla o segnala, installa app piratate? [chiuso]