¿Cómo bloquear a los usuarios para que no descarguen un archivo adjunto de una publicación de WordPress cronometrada antes de que se publique el artículo?

Question

¿Cómo bloquear a los usuarios para que no descarguen un archivo adjunto de una publicación de WordPress cronometrada antes de que se publique el artículo?

#1 de Matthew Peters (1 votos)
#2 de Haider Qureshi (1 votos)

1

¿Estoy intentando resolver cómo bloquear a los usuarios para que no descarguen un archivo adjunto de una publicación de WordPress cronometrada antes de que el artículo se publique? Los archivos adjuntos funcionan como cargas en un campo personalizado en un artículo.

Mi solución actual es usar htaccess para bloquear el archivo de las cargas, de modo que los visitantes no puedan navegar por ellos y ver un nuevo archivo antes de su lanzamiento. Además, si el cliente da un nombre difícil de adivinar a los archivos adjuntos, los usuarios no podrán acceder a ellos sin saber el nombre exacto (¿verdad?)

.htaccess:

Options -Indexes

Mis preguntas:

En una escala de 1-10, ¿qué tan fácil es hackear mi solución actual? ¿Es posible hacer que esta solución sea relativamente segura?
¿Hay otra solución más segura para esto? podría desarrollarse un complemento para transferir el archivo desde un lugar seguro cuando se publique el artículo
¿CUALQUIER solución donde el archivo adjunto está en el servidor / dentro de WordPress -sploads puede ser una solución segura?
¿Hay una solución de terceros para esto? Servicio similar que podría liberar documentos en un momento específico

Muchas gracias de antemano

wordpress

pregunta Ketri 02.09.2014 - 13:28

fuente

2 respuestas

Lea otras preguntas en las etiquetas wordpress

Denegación plausible con respecto a los archivos de KeepassX cuánto tiempo se tarda en romper wpa o wpa2

score 1 · Answer 1

Si todo lo que tienes es

Opciones -Indexes

en tu archivo htaccess, entonces es trivial 'hackear' y encontrar tu archivo 'seguro'.

Todo lo que lo hace protege contra las personas que navegan por su sitio. Similar a la opción de youtube para las URL de video 'no listadas'. Todavía puedo encontrar los enlaces y, una vez que lo hago, no hay seguridad.

La mejor solución sería lanzar un

Denegar de todo Permitir desde [su ip] (si necesita acceder a él de forma remota)

en su archivo htaccess. Esto negará explícitamente todo acceso.

score 1 · Answer 2

Su solución:

Opciones -Indexes

Bloquea la lista del directorio de archivos. La única forma en que un usuario puede encontrar el archivo adjunto es si se conoce el nombre exacto del archivo adjunto. Esto podría ser atacado de las siguientes maneras:

El atacante utiliza un script o herramienta de exploración de directorios como Buster de directorio . Estas herramientas contienen diccionarios de millones de palabras, que luego son forzadas por la fuerza bruta a gran velocidad. Si el nombre del archivo adjunto coincide con la palabra, se mostrará.
Se podría formar un patrón sobre el nombre del archivo adjunto si el usuario observa el nombre de los archivos adjuntos anteriores, creando una lista de palabras personalizada para la fuerza bruta.

En una escala de 1-10, ¿qué tan fácil es hackear mi solución actual? ¿Es posible hacer que esta solución sea relativamente segura?

Respuesta) Depende de la complejidad de los nombres del adjunto.

¿Hay otra solución más segura para esto? podría desarrollarse un complemento para transferir el archivo desde un lugar seguro cuando se publique el artículo

Respuesta) Sí, se puede desarrollar un complemento, utilizando trabajos cron y desarrollo de wordpress.

¿CUALQUIER solución donde el archivo adjunto se encuentra en el servidor / dentro de WordPress -suites puede ser una solución segura?

Respuesta) Esta solución funciona, solo necesita hacer que los nombres de sus archivos adjuntos sean un poco complejos. Medios que evitan las palabras del diccionario, use símbolos especiales ("$ $% ^ & * () < >?: @ ~} {) Etc.

¿Existe una solución de terceros para esto? Servicio similar que podría liberar documentos en un momento específico

Respuesta) No creo que haya ninguno, y no hay necesidad de gastar dinero en tales servicios, como se describe anteriormente, si sigue esto. Esperemos que funcione para usted.