web-dev-qa-db-ja.com

ユーザーがログインしていない場合にアップロードを保護する方法

私はユーザーがファイルをアップロードするプライベートサイトにワードプレスを使います。ユーザーがログインしていない場合、私は「Private WordPress」を使ってサイトへのアクセスを防ぎます。

Uploadsフォルダにアップロードされたファイルにも同じことをしたいのですが。

そのため、ユーザーがログインしていない場合は、アクセスできません。 https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf アクセスしようとしたがアクセスできない場合ログに記録された後、ログインページにリダイレクトされます。

私はプライベートファイルと呼ばれるプラグインを見つけましたが、最後に更新されたのは2009年で、それは私のワードプレスでは動作しないようです。

誰かが方法を知っていますか?これを保護するには、ホットリンク方法で十分でしょうか。

私はまたこの方法を見つけた:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^.*uploads/private/.*
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
RewriteRule . /index.php [R,L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

しかし、クッキーを複製するユーザーなら誰でもこの権利を通過することができますか?よろしく

77
chifliiiii

Cookieが存在するかどうかを確認するだけで、それほど厳密な保護とは言えません。

より強力な保護を得るために、あなたはphpスクリプトを通してすべてのリクエストをアップロードされたフォルダ(以下の例ではuploads)に渡すか、または「プロキシ」することができます。

RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/(.*)$ dl-file.php?file=$1 [QSA,L]

アップロードされたファイル(投稿内の画像を含む)に対するすべてのリクエストはdl-file.phpに送信されます。これにより、ユーザーがログインしているかどうかを確認できます。

ユーザーがログインしていない場合は、あなたのサイトのログインフォームが表示されます。ユーザーがログインした後、彼女はファイルにリダイレクトされ、今すぐダウンロードすることができます。

典型的なdl-file.php

Wordpressのインストール環境の\wp-includes\ms-files.phpにも似たようなものがありますが、それはマルチサイト用であり、ログインチェックとリダイレクトはありません。

あなたが持っているトラフィックの量によっては、これをあなたのサーバーとよりよく統合するのが賢明かもしれません。 X-Accel-RedirectまたはX-Sendfileヘッダー。

82
hakre

initフックとget-value $_GET[ 'file' ];を使ってプラグインを書くこともできます。ユーザーがこのget-valueを持っている場合は、ファイルへのアクセス権をチェックする関数にジャンプします。

add_action( 'init', 'fb_init' );
function fb_init() {
    // this in a function for init-hook
    if ( '' != $_GET[ 'file' ] ) {
        fb_get_file( $_GET[ 'file' ] );
    }
}

関数get_file()

function fb_get_file( $file ) {

    $upload     = wp_upload_dir();
    $the_file   = $file; 
    $file       = $upload[ 'basedir' ] . '/' . $file;
    if ( !is_file( $file ) ) {
        status_header( 404 );
        die( '404 &#8212; File not found.' );
    }
    else {
        $image = get_posts( array( 'post_type' => 'attachment', 'meta_query' => array( array( 'key' => '_wp_attached_file', 'value' => $the_file ) ) ) );
        if ( 0 < count( $image ) && 0 < $image[0] -> post_parent ) { // attachment found and parent available
            if ( post_password_required( $image[0] -> post_parent ) ) { // password for the post is not available
                wp_die( get_the_password_form() );// show the password form 
            }
            $status = get_post_meta( $image[0] -> post_parent, '_inpsyde_protect_content', true );

            if ( 1 == $status &&  !is_user_logged_in() ) {
                wp_redirect( wp_login_url( $upload[ 'baseurl' ] . '/' . $the_file ) );
                die();
            }
        }
        else {
            // not a normal attachment check for thumbnail
            $filename   = pathinfo( $the_file );
            $images     = get_posts( array( 'post_type' => 'attachment', 'meta_query' => array( array( 'key' => '_wp_attachment_metadata', 'compare' => 'LIKE', 'value' => $filename[ 'filename' ] . '.' . $filename[ 'extension' ] ) ) ) );
            if ( 0 < count( $images ) ) {
                foreach ( $images as $SINGLEimage ) {
                    $meta = wp_get_attachment_metadata( $SINGLEimage -> ID );
                    if ( 0 < count( $meta[ 'sizes' ] ) ) {
                        $filepath   = pathinfo( $meta[ 'file' ] );
                        if ( $filepath[ 'dirname' ] == $filename[ 'dirname' ] ) {// current path of the thumbnail
                            foreach ( $meta[ 'sizes' ] as $SINGLEsize ) {
                                if ( $filename[ 'filename' ] . '.' . $filename[ 'extension' ] == $SINGLEsize[ 'file' ] ) {
                                    if ( post_password_required( $SINGLEimage -> post_parent ) ) { // password for the post is not available
                                        wp_die( get_the_password_form() );// show the password form 
                                    }
                                    die('dD');
                                    $status = get_post_meta( $SINGLEimage -> post_parent, '_inpsyde_protect_content', true );

                                    if ( 1 == $status &&  !is_user_logged_in() ) {
                                        wp_redirect( wp_login_url( $upload[ 'baseurl' ] . '/' . $the_file ) );
                                        die();
                                    }
                                }
                            }
                        }
                    }
                }
            }
        }
    }
    $mime       = wp_check_filetype( $file );

    if( false === $mime[ 'type' ] && function_exists( 'mime_content_type' ) )
        $mime[ 'type' ] = mime_content_type( $file );

    if( $mime[ 'type' ] )
        $mimetype = $mime[ 'type' ];
    else
        $mimetype = 'image/' . substr( $file, strrpos( $file, '.' ) + 1 );

    header( 'Content-type: ' . $mimetype ); // always send this
    if ( false === strpos( $_SERVER['SERVER_SOFTWARE'], 'Microsoft-IIS' ) )
        header( 'Content-Length: ' . filesize( $file ) );

    $last_modified = gmdate( 'D, d M Y H:i:s', filemtime( $file ) );
    $etag = '"' . md5( $last_modified ) . '"';
    header( "Last-Modified: $last_modified GMT" );
    header( 'ETag: ' . $etag );
    header( 'Expires: ' . gmdate( 'D, d M Y H:i:s', time() + 100000000 ) . ' GMT' );

    // Support for Conditional GET
    $client_etag = isset( $_SERVER['HTTP_IF_NONE_MATCH'] ) ? stripslashes( $_SERVER['HTTP_IF_NONE_MATCH'] ) : false;

    if( ! isset( $_SERVER['HTTP_IF_MODIFIED_SINCE'] ) )
        $_SERVER['HTTP_IF_MODIFIED_SINCE'] = false;

    $client_last_modified = trim( $_SERVER['HTTP_IF_MODIFIED_SINCE'] );
    // If string is empty, return 0. If not, attempt to parse into a timestamp
    $client_modified_timestamp = $client_last_modified ? strtotime( $client_last_modified ) : 0;

    // Make a timestamp for our most recent modification...
    $modified_timestamp = strtotime($last_modified);

    if ( ( $client_last_modified && $client_etag )
        ? ( ( $client_modified_timestamp >= $modified_timestamp) && ( $client_etag == $etag ) )
        : ( ( $client_modified_timestamp >= $modified_timestamp) || ( $client_etag == $etag ) )
        ) {
        status_header( 304 );
        exit;
    }

    // If we made it this far, just serve the file
    readfile( $file );
    die();
}

フックgenerate_rewrite_rulesを使ってファイルのカスタムURLを追加することもできます。

add_filter( 'generate_rewrite_rules', 'fb_generate_rewrite_rules' );

function fb_generate_rewrite_rules( $wprewrite ) {
        $upload = wp_upload_dir();
        $path = str_replace( site_url( '/' ), '', $upload[ 'baseurl' ] );
        $wprewrite -> non_wp_rules = array( $path . '/(.*)' => 'index.php?file=$1' );
        return $wprewrite;
}
14
bueltge

この問題を解決するためのプラグインベースのアプローチが必要な場合、ここで私が(最終的に)見つけたかなり良い解決策があります:

  1. 次の場所にあるプラグイン「ダウンロードモニター」をインストールします。
    https://wordpress.org/plugins/download-monitor/
  2. WordPressダッシュボードで、新しい「ダウンロード」メニュー項目に移動し、新しい「ダウンロード」を追加します。プラグインのドキュメントWebサイトの説明に従ってください: https://www.download-monitor .com/kb/adding-downloads / 。用意されている「ダウンロード」ショートコードに注意してください(メモ帳に保存するなど)。ファイルは/wp-content/uploads/dlm_uploads/に保存されることに注意してください
  3. [ダウンロードオプション]メタボックスで、[メンバーのみ]を指定し(ここに記載されているとおり https://www.download-monitor.com/kb/download-options/ )、[公開]をクリックします。
  4. メンバーのみのダウンロードを表示するページで、ステップ2でメモしたショートコードを追加し、ここに記載されているようにページを「公開/更新」します。 https://www.download -monitor.com/kb/shortcode-download/ 。ここで説明されているように、ダウンロードリンクテンプレートを変更できます https://www.download-monitor.com/kb/content-templates/ 、または独自に作成します(たとえば、ダウンロード 'count'を削除するには) )
  5. ページを参照すると、ダウンロードリンクが表示されます(ただし、ダウンロードファイルのURLは表示されません)。新しいブラウザウィンドウ(またはシークレットウィンドウ)で同じページを参照すると、ダウンロードが機能しなくなっていることがわかります。

これは、ログインしていない人はファイルをダウンロードできないか、ファイルの実際のURLを表示できないことを意味します。誰かがファイルのURLを不正に把握した場合、プラグインは/wp-content/uploads/dlm_uploads/フォルダーへのアクセスをブロックすることにより、ユーザーが実際のファイルURLを参照するのを停止します。

ボーナス:ユーザーが「メンバー」としてのみログインできるようにする必要があるサイトでこれを行う場合(ただし、ページ編集や管理者などのWordPress権限はありません)、「メンバー」をインストールしますプラグイン https://wordpress.org/plugins/members/ 、「メンバー」という新しいユーザーロールを作成し、「読み取り」という単一の機能を付与し、WordPressで新しいユーザーを作成し、必ず「メンバー」の役割を与えてください。

ページのコンテンツを保護したい場合は、「メンバー」プラグインがいくつかのオプションを提供するか、他のプラグインがあります。メンバーのログインページをデフォルトのWordPressデフォルトのログインフォームよりも見栄えよくする場合は、「テーママイログイン」のようなものを使用します。 https://wordpress.org/plugins/theme -my-login /

1
Matty J