Как защитить файлы в папке wp-content/uploads от прямого доступа по ссылке в Wordpress?

Question

[overh1t]

Всем привет, как защитить аудиофайлы в папке wp-content/uploads от прямого доступа через исходный код сайта в Wordpress?

Заливаю на сайт много аудифайлов для онлайн прослушивания, но если посмотреть через "исследовать элемент", то в исходном коде получаем прямой доступ к файлу. Или как правильно сделать обфускацию url файлов в этой папке или как еще можно защитить???

Спасибо.

Comments

[Antonio Solo]

не использовать вордпресс

[Дмитрий]

Отдавать файл скриптом

[xmoonlight]

использовать куки

[overh1t]

Дмитрий, если вас не затруднит подскажите как это сделать, спасибо.

[overh1t]

Antonio Solo, не использовать не получится в данный момент, так как проект работает и переделывать пока нет возможности.

[overh1t]

xmoonlight, как это реализовать? спасибо

[Дмитрий]

overh1t, Почему nginx ставит 500 статус при отдаче файла скриптом? как пример, закрыть доступ к папке, скрипт сможет забирать файлы, site.ru/script.php?file=file.mp3

[xmoonlight]

overh1t, через ограничение доступа.
Пожалуйста

[overh1t]

Дмитрий, к сожалению я не программист чтобы сделать самостоятельно. Можете ли вы мне помочь написать плагин для WP чтобы все это работало, готов заплатить.

[Дмитрий]

overh1t, не пишу для вп и за деньги вообще

[xmoonlight]

Дмитрий, блин, развелось специалистов-то, да... cms поставили - и прэвэд)

Answer 1

[xmoonlight]

Отдавайте контент только авторизованным пользователям.

Comments

[overh1t]

Пробовал, проблема в том что, прослушивание файла и отдача получается как бы одно и то же. Незарегистрированный пользователь не может прослушить файл

[xmoonlight]

overh1t, тогда от кого и где вы хотите защитить файлы (в папке uploads)?

[overh1t]

xmoonlight, задача такая, незарегистрированный пользователь может прослушать файл через стандартный HTML5 плеер вордпресса на страницах сайта, но при попытке скачать его с помощью прямой ссылки в исходном коде не сможет. Да, все аудио файлы лежат в uploads.

[xmoonlight]

overh1t, веб-сервер - какой?

[overh1t]

xmoonlight,

Apache 2.4.18-2ubuntu3.1
MySQL 5.7.17-0ubuntu0.16.04.1
PHP 7.0.33-7+ubuntu16.04.1+deb.sury.org+1

[xmoonlight]

overh1t, ну вот через mod_rewrite в .htaccess проверяйте referer.
Это не даст прямым запросом из браузера слить файл.

[Antonio Solo]

xmoonlight, от детей, которые не в состоянии выбрать в меню "сору as curl" этот метод конечно сгодится.

curl "https://fonts.gstatic.com/s/ptsans/v11/jizfRExUiTo99u79B_mh0O6tLQ.woff2" -H "Referer: https://fonts.googleapis.com/css?family=PT+Sans:400,700,400italic^&subset=latin,cyrillic" -H "Origin: https://qna.habr.com" -H "Sec-Fetch-Dest: font" -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 OPR/67.0.3575.115" --compressed

[xmoonlight]

Antonio Solo, ну, раз умный) давай исходник скрипта тогда...

Answer 2

[Владимир Коротенко]

Попробуйте настроить nginx вот так. В проверках можно много наворотить

https://habr.com/ru/post/162237/

Авторизация и бизнес-логика

Во многих случаях требуется ввести ограничения или учет операций публикации и проигрывания видео. Это бывает связано с логикой проекта, в котором он используется. Самый частый подобный случай — необходимость авторизации пользователя перед тем, как дать ему доступ к просмотру видео. Чтобы интегрировать бизнес-логику проекта в вещатель, в модуле реализованы HTTP-колбэки, такие как on_publish и on_play. Серверный код получает всю имеющуюся информацию о клиенте, включая его адрес, имя потока, адрес страницы и т.д. Если возвращается HTTP статус 2xx, то колбек считается завершенным успешно и работа клиента продолжается. В противном случае соединение разрывается.

on_publish example.com/check_publisher;
on_play example.com/check_player;

Comments

[xmoonlight]

Там апач)))

[Владимир Коротенко]

xmoonlight, И что? Не так сложно его переставить. Кстати по моему мнению апач для вордпреса это как слишком много.

[xmoonlight]

Владимир Коротенко, nginx - менее функционален, скорость - у них схожа.

[Владимир Коротенко]

xmoonlight, Это разве - ? В общем то это холиварный разговор.

Впрочем вот гайд для связки 2х этих серверов.
https://www.nobile-engineering.com/wordpress/index...

[xmoonlight]

Владимир Коротенко, зачем связку, если там УЖЕ и АПАЧ?))))
Хватит жечь уже)))

[Владимир Коротенко]

xmoonlight, Он эту задачу решает?
Кроме этого апач оставляют на бэке, а нгинх ставят на фронте. Это кстати тоже одно из стандартных решений.
Правда в данном случае я бы снес апач

[xmoonlight]

Владимир Коротенко, он решает больше задач, чем nginx.
nginx - хорош именно как статик-веб-сервер, поэтому его и суют на фронт.
А реально - он ничего без апача не может.
Поэтому и ставят с апачем рядом. Но реально, nginx - нафиг не сдался, если уже есть апач (или даже нет!).

[Владимир Коротенко]

xmoonlight, Вы забыли самую большую проблему апача. Он жрет кучу памяти, и паршиво работает с php.
Но все переходит в область холивара. Итак есть решение в NGINX есть ли аналог в апаче?
Если есть то заканчиваем разговор и помогаем человеку инструкциями.

[xmoonlight]

Владимир Коротенко, тогда - читай комменты к моему ответу.
Там всё по теме будет.

[Владимир Коротенко]

xmoonlight, Прочитал, я обычно это делаю.
NGINX как раз будет бить на чанки файл, плейеры их умеют читать, скрипт на плей как раз можно наворотить на проверки по разным параметрам. В общем то и это обходится, но с большими затратами.

[xmoonlight]

Владимир Коротенко, вот! Поэтому я и выбрал реферер, как наиболее простой вариант от тупого запроса через браузер.
Можно токен через куки туда ещё привязать - но это уже оверворк.
А после всего этого - уже и чанки со всем подряд, и даже включая их расшифровку "налету".

Answer 3

[Вова Дружаев]

Не защищайте то, что защищать не нужно.
К чему я?

У вас и так мп3 файлы имеют рандомные имена. Ну и что что пользователь через инспектор или исходный код посмотрит путь?
разве ему не надоест миллион раз заниматься этой ерундой?

Второе - берите уникальностью. Всегда тот, кто будет создавать сайты клоны - будет в отстающих.

Всё что попало в интернет - всё можно слить. ну да можно усложнить жизнь мамкиным хакерам. Но тот у кого появится задача слить что-то с вашего сайта - будет это делать. Есть куча программ для скачивания сайта и парсеров, да и написать свой велосипед зная что вы отдаете через рефер, куку или только залогиненному - нет проблем.
Если вы будете по этому поводу переживать - это будет вас отвлекать от действительно важных и полезных дел и вместо работы будет извечная погоня "кошки-мышки"