Avisos
Vaciar todo

Como proteger documentos del sitio frente a descargas por acceso directo a URL.  

 
Jose Luis
 Jose Luis
Nuevo usuario

Buenas tardes.

Aunque ya he visto en el foro algunos hilos sobre esta problemática, para mí no daban con la solución al problema que teníamos y que paso a describir. Tras probar un poco algunas cosas, creo que he dado con una solución y me gustaría publicarla aquí.

El caso es que estoy generando unas mejoras para un sitio web (ej: midominio.com) y he implementado un sistema de gestión de suscripciones y de restricción de contenidos mediante el plugin Ultimate Member. Para ello tengo un sitio de pre-producción para pruebas en pre.midominio.com. Todo funciona muy bien, y con este plugin podemos restringir entradas en función de diferentes perfiles de usuario que han iniciado sesión en el sitio.

A todo esto, veíamos un inconveniente a la hora de publicar un documento, por ejemplo un pdf, y que este también tuviera las mismas restriciones que las entradas del sitio. En la biblioteca de medios de Wordpress podemos subir documentos además de imágenes, que luego podríamos vincular en cualquier entrada o página que generemos. Sin embargo, a pesar de disponer de un sitio con entradas o páginas restringidas, los documentos subidos de este modo no están 100 % seguros, ya que, si cualquier persona conociera la dirección del enlace directo a dicho documento, podría descargárselo sin necesidad ni siquiera de iniciar sesión en el sitio.

Entonces es cuando hacemos uso del plugin Download Manager. Tras la instalación, nos damos cuenta que los enlaces y shortcodes que genera el plugin, sí son seguros y se pueden configurar con las mismas opciones que disponemos para definir las entradas de contenido. Los documentos subidos se ubican en la carpeta /wp-content/uploads/download-manager-files/

Pero, nos damos cuenta que se siguen permitiendo las descargas por url directa en dicha carpeta.

Creemos haberlo resuelto, simplemente modificando los permisos UNIX de la carpeta base /download-manager-files/, pasando de permisos 755 a 750. A partir de este momento, el plugin nos funciona perfectamente, impidiendo las descargas directas de los documentos. Lo curioso es que si hacemos subcarpetas dentro de la carpeta base, estas toman por defecto los permisos 755 pero las descargas directas siguen bloqueadas, que es lo que nosotros queremos.

Y bueno, esto es todo, inicialmente quería preguntar por este problema, y ahora sólo me queda preguntar si lo que hemos hecho es correcto, que no hemos hecho ninguna burrada que nos estropee otras cosas, y que se beneficien otros que puedan tener el mismo problema.

Muchas gracias.

Citar
Respondido : 24/08/2020 8:09 pm
Jhon
 Jhon
Soporte CMS Webempresa Moderator

Hola

Pues si, efectivamente al dar 750, estas restringiendo el permiso de carpeta a "otros" usuarios, el plugin seguirá accediendo al documento pero los usuarios no podrán hacerlo directamente.

Gracias por el aporte.

Saludos.

ResponderCitar
Respondido : 24/08/2020 8:23 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Jose Luis,

Si te ha estado funcionando correctamente tanto para subir los documentos que necesitas como para bloquear la descarga del mismo entonces todo esta correcto, en el caso que estuviese mal o bloqueando algún proceso vital para el sistema este mismo te mostraría un error ya sea 500 o 403 correspondientes a errores de servidor o a permisos, como no estas experimentando ningún error entonces eso implica que esta todo en perfecto funcionamiento, aunque con futuras actualizaciones debes validar que no se muevan nuevamente los permisos por defecto ya que es posible que suceda.

Un saludo 🖐️ 

ResponderCitar
Respondido : 24/08/2020 8:26 pm
Jose Luis
 Jose Luis
Nuevo usuario

Muchas gracias, lo tendré en cuenta.

Imagino que si quiero más seguridad para documentos los tendría que alojar en una nube tipo Dropbox, Onedrive, con sus permisos de acceso por usuario, tampoco con enlaces públicos por complejos que sean.

Saludos

ResponderCitar
Respondido : 24/08/2020 9:03 pm

Jhon
 Jhon
Soporte CMS Webempresa Moderator

Hola

Lo de la nube sería una opción similar, tendrías una copia distribuida, pero el manejo sería similar a través de permisos.

Saludos.

ResponderCitar
Respondido : 24/08/2020 9:09 pm