Tình thế ban đầu
Đối với một trang web tôi đang thiết lập, tôi đã xem xét toàn bộ lĩnh vực bảo mật tải lên / tải xuống và hạn chế quyền truy cập vào chúng dựa trên vai trò / khả năng của người dùng. Tất nhiên tôi đã đọc một số câu hỏi trước đây liên quan đến chủ đề (chung) ở đây, vì lý do tham khảo những câu hỏi quan trọng / thú vị nhất mà tôi tìm thấy:
- Làm cách nào để bảo vệ tải lên, nếu người dùng không đăng nhập?
- Làm cách nào để hạn chế quyền truy cập vào các tệp đã tải lên?
- Hạn chế quyền truy cập vào các tệp trong một thư mục cụ thể
- Làm thế nào để tải lên phương tiện truyền thông riêng tư?
- Hợp nhất tập lệnh tải xuống PHP vào `tests.php`
Ghi chú bổ sung
Nói chung, việc cải thiện bảo mật cài đặt wordpress của bạn là một ý tưởng không tồi - ví dụ như bảo vệ bạn wp-config.php
- có rất nhiều điều bạn có thể và nên làm. Có rất nhiều thông tin ngoài kia làm thế nào để làm điều đó. Tôi đang ở trong bối cảnh của câu hỏi này chủ yếu là về phần tải lên / tải xuống của tôi.
Tải lên Wordpress không được bảo mật, mọi người đều có thể duyệt uploads
thư mục, trừ khi bạn ngăn chặn nó bằng .htaccess
:
Options All -Indexes
Các .htaccess
tập tin phải được đặt trong uploads
thư mục. Nhưng điều đó không thực sự bảo mật chúng, nó chỉ khiến việc tìm các tệp trở nên khó khăn hơn. Ngoài ra, bạn có thể ngăn chặn hotlinking
, hạn chế truy cập một cách chủ yếu dựa trên referrer
- mặc dù đó là trường hợp hơi khác biệt tôi nghĩ tôi đã đề cập đến nó, tôi không nói rõ hơn, bạn có thể tìm thấy nhiều thông tin về điều đó.
Tất nhiên có khả năng đặt bài đăng ở chế độ riêng tư hoặc tạo loại bài đăng tùy chỉnh với các tệp mẫu phù hợp để đặt loại bài đăng đó ở chế độ riêng tư, nhưng điều đó không bảo mật các tệp của bạn. Tương tự có thể được nói cho gói các tập tin trong điều kiện như is_user_logged_in()
hoặc is_admin()
.
Trên một sidenote có rất nhiều plugin ngoài đó hứa hẹn sẽ làm cho các tệp của bạn được bảo mật và bảo vệ, nhưng nhiều trong số chúng chỉ giả vờ làm như vậy, một số lý do ở trên. Tôi chỉ đang viết nó ra bởi vì tôi khá chắc chắn rằng nó không được mọi người biết đến - vì vậy, hãy nhận ra điều đó.
Mục tiêu
Ý định của tôi là có thể hạn chế quyền truy cập vào (một số) tải lên và tải xuống tương ứng. Và để đảm bảo rằng không ai không mong muốn có thể có quyền truy cập vào chúng, không phải ngẫu nhiên hoặc nếu ai đó biết tên tệp, các tệp phải thực sự riêng tư và an toàn. Sau khi tất cả chỉ một số người nên có quyền truy cập mà không có ngoại lệ.
Ngoài ra, tôi không cần phải tư nhân hóa toàn bộ trang web, điều đó thực sự sẽ phản tác dụng - nó được sử dụng cho mục đích trình bày công khai. Hơn nữa tôi muốn giải pháp có thể dễ dàng sử dụng, vì lý do đơn giản là một số người làm việc với nó không chính xác là các chuyên gia máy tính, vì nó thường là như vậy.
Câu hỏi
Do đó, câu hỏi đặt ra là có một cách (tương đối) đơn giản để hạn chế quyền truy cập vào (một số) tải lên và tải xuống tương ứng không? Và như tôi đã thực hiện, điều đó có nghĩa là một cách để thực sự bảo vệ và bảo vệ họ?