Avisos
Vaciar todo

[Resuelto] Url de archivos en biblioteca de medios  

 
Francisco Javier
 Francisco Javier
Usuario activo

Mi web es una tienda de archivos descargables tras pago. La web genera un enlace de descarga con Woocommerce después de que el cliente realice el pago. Algo bastante sencillo y frecuente. Sin embargo, me he dado cuenta, de que cualquier persona que conozca la url del archivo en cuestión subido a la biblioteca de medios, que es donde los alojo, puede insertarla en su buscador y acceder directamente a esos archivos. He hecho la prueba accediendo a google como invitado, y pegando ahí el URL de uno de los archivos en pdf, y el acceso es inmediato. ¿Hay alguna forma de proteger esto sin perjudicar a los enlaces de descarga posteriores que se generen tras la compra?

Respondido : 06/07/2020 12:03 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Francisco,

¿Puedes indicarnos cual es la URL de tu consulta? de esta forma podemos verificar con mayor detalle lo que nos comentas.

De manera general Woocoommerce bloquea la URL de los productos cuando no están en la sesión indicada, puedes enviarnos una captura o la URL de algún producto para comprobar con mayor detalle.

También puedes verificar si este plugin te puede permitir proteger aun mas los archivos que se descargan de tu web -> https://es.wordpress.org/plugins/simple-download-monitor/

Un Saludo

Respondido : 06/07/2020 1:38 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Francisco Javier
 Francisco Javier
Usuario activo

Buenos días, y gracias por la respuesta. 

Si les copio la URL de algún producto, aquí en el foro, ¿cualquiera podrá verla? La url del producto a la que me refiero, es la url del arvhivo en la biblioteca de medios, a la que apunta el producto descargable. 

Es algo así como https://dominio/wp-content/uploads/año/mes/nombre-del-archivo.pdf  

Si cualquiera pega este enlace el navegador, ¿podrá abrir el arvhivo alojado en la biblioteca de medios? En mi caso se abre, aunque cierre la sesión de google o acceda como invitado. Me parece algo demasiado intuitivo si es así, y no sé si lo estoy haciendo bien.

Respondido : 06/07/2020 2:28 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Francisco,

En la opción del foro tienes una opción que indica para ocultar el enlace que envíes

Screenshot(358)

Sin embargo puedes enviarnos una captura de la opción que se despliega cuando intentas descargar esta URL  para comprobar con mejor detalle que puede estar ocurriendo.

Un Saludo

Respondido : 06/07/2020 3:53 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Francisco Javier
 Francisco Javier
Usuario activo

Hola Karen.

Vas a disculparme por mi ignorancia, pero no sé qué captura necesitas que adjunte. 

La cuestión es que todo funciona a la perfección, es decir, WooComerce genera un enlace de descarga único e independiente, con caducidad y limitado en número, cada vez que un cliente hace una compra. La duda que me surge, es porque aparte de ese enlace de descarga que genera WooComerce, la URL del archivo en la biblioteca de medios, no está protegida, es decir, que cualquiera que la conozca puede acceder al archivo sin problema, independientemente de que haga un pedido con WooComerce o no. Lo mismo que ocurre con una simple fotografía, por ejemplo, aunque no aparezca en la web, siempre que esté en la biblioteca de medios y se llame con la URL que genera wordpress desde cualquier navegador.

En este caso, en mi web, tengo un enlace a un texto en PDF gratuito, y otros de pago. El que se fije en la URL  del gratuito que no pasa por WooComerce,puede que simplemente probando, consiga encontrar la URL del de pago, la que genera la biblioteca de medios cuando subes cualquier archivo.

 

Respondido : 06/07/2020 5:40 pm
Jhon
 Jhon
Soporte CMS Webempresa Moderator

Hola

Podrías evaluar usar un pugin de protección para esos arhivos, revisa:
https://es.wordpress.org/plugins/prevent-direct-access/

Entiendo que el enlace de descarga es un enlace temporal diferente a la ruta del archivo físico, por lo que no deberías tener problemas.

Saludos.

Respondido : 06/07/2020 5:54 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Francisco Javier
 Francisco Javier
Usuario activo

Hola Jhon.

Gracias por la respuesta.

He probado el plugin que me comentas en una web para pruebas, y funciona en parte. Al activarlo para cada archivo de la biblioteca de medios, me genera una url alternativa y secreta. Para que el producto descargable en wooCommerce fubcione, tengo que darle esa url para que la llame al hacer la compra, porque si no, te devuelve la página de errror. 

Hasta ahí todo normal, sin embargo, al hacer un pedido, en este caso, en lugar de descargarme el archivo pdf, como hacía antes, ahora directamente me lo abre en una ventana nueva del explorador, y además, con la url supuestamente secreta a la vista. Es decir, ha dejado de descargarse, y se abre directamente mostrando la url al usuario, sin importarle la url temporal que genera WooCoommerce. He probado con otros formatos, como EPUB, y ese caso si funcina bien, lo descarga sin mostrar la URL, pero con PDF no, lo abre directamente. 

Respondido : 06/07/2020 7:14 pm
Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Francisco,

Generalmente woocomerce no provee el link de descarga de los archivos que tienes subido en tu sistema al momento de seleccionar un producto como descargable, el envía un correo con los datos para que descargue el archivo la persona pero este link es muy diferente al link en tu galería de medios, nos puedes pasar unas capturas del proceso o señalando en donde es que estas observando que la gente podría obtener el link de descarga de tu producto?

Un saludo 🖐️ 

Respondido : 06/07/2020 8:07 pm

Cursos Gratuitos WordPress

Francisco Javier
 Francisco Javier
Usuario activo

Hola otra vez.

La verdad es que estoy un poco desesperado, porque tengo la sensación de estar dando vueltas en círculo sin llegar a ningún lado. Resumiendo...

En una web de pruebas, he subido un archivo en PDF que se llama Prueba.pdf. Después, he usado el plugin https://es.wordpress.org/plugins/prevent-direct-access/ que me recomendaba Jhon más arriba. El resultado es este:

image

Es decir, el plugin genera una URL protegida 

https://dominio.com/wp-content/uploads/_pda/2020/07/Prueba.pdf,

que se parece pero no es igual a la URL generada automáticamente por Wordpress cuando subes el archivo, añadiendo simplemente /_pda/

https://dominio.com/wp-content/uploads/2020/07/Prueba.pdf,

y una de descarga privda.

https://dominio.com/private/5f040f9d66d23

Si utilizo la de descarga para el producto en WooCoomerce

image

Cuando hago un pedido, en lugar de descargar el archivo, me lo abre directamente y me muestra el enlace de descarga en el navegador, aunque cierre la sesión en google (he probado incluso en el teléfono de otra persona)

image
image

Si por otro lado, en lugar de usar para el producto el enlace de descarga, utilizo el Link protegido.

https://dominio.com/wp-content/uploads/_pda/2020/07/Prueba.pdf

El archvo en este caso se descarga, en lugar de abrirse directamente, es decir, funciona bien pero, ¿para qué sirve entonces el link de descarga, si al final, ese que genera el plugin supuestamente protegido es igual de vulnerable e intuitivo (solo añade _pda a la url) que el original? Para hacer la prueba, he enviado por whatsapp a otra persona ese link ( https://dominio.com/wp-content/uploads/_pda/2020/07/Prueba.pdf), y con la web en modo mantenimiento, ha podido abrir el archivo directamente. 

Siento dar tantas vueltas con este asunto, pero es que me parece muy sencillo acceder desde fuera a la biblioteca de medios de wordpress, cuando los archivos que hay ahí son de pago. He probado otro plugin  https://es.wordpress.org/plugins/protect-wp-files/  

pero en este caso es aún peor, porque cuando el cliente pulsa el botón de descarga, directamente le dice que no tiene acceso a ella por estar protegida. 

Gracias por el interés.

Esta publicación ha sido modificada el hace 4 años por Francisco Javier
Respondido : 07/07/2020 7:30 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Francisco.

Cualquier persona que conozca la url del archivo en cuestión subido a la biblioteca de medios, que es donde los alojo, puede insertarla en su buscador y acceder directamente a esos archivos. 

Es complicado que un usuario pueda saber la URL de la carpeta Uploads si no se lo indicas, podría llegar a la carpeta Uploads pero tendría que saber el nombre del archivo.

Si no quieres que se almacene en al carpeta Uploads, puedes crear una carpeta en la raíz de el dominio y subir los archivos a esa carpeta, con eso lo tendran un poco mas complicado .

Woocommerce genera una URL virtual para cada usuario que está activa durante el tiempo que tu le indiques, es decir puedes ponerle una fecha de descarga y  también puedes indicarle las veces que se puede descargar.

En la ficha del producto el bloque Archivos descargables puedes indicarle el límite de descarga que tendrá cada usuario y los días que estará disponible este link para su descarga.

Si le indicas que solo puede tener una descarga y la caducidad de 1 dia, el usuario solo podrá descargar ese archivo 1 vez y si intentan descargarlo al segundo dia no podar ya que el enlace estará caducado.

 

Otra opción es utilizar un plugin de descargas.

En esta entrada del foro tratamos el tema:

-> https://www.webempresa.com/foro/preguntas-sobre-wordpress/proteger-descarga-de-archivos-por-url-directa

 

Un saludo

 

 

 

Respondido : 07/07/2020 10:47 am

Francisco Javier
 Francisco Javier
Usuario activo

Hola de nuevo.

Pensé que había alguna manera sencilla de proteger esas URL de accesos externos, pero creo que entonces haré eso que propones. Trataré de que las URL de los archivos de pago no sean tan intuitivas, haciendo que el nobre de los archivos sea más complicado de averiguar y quizás creando una subcarpeta en wp_content con un nombre también difícil de intuir.

 

Graicas por todo. 

Respondido : 07/07/2020 7:21 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Francisco,

Gracias a ti, estamos encantados de poder ayudarte.

Coméntanos si con esto podemos dar el tema como solucionado.

Un Saludo 😊 

Respondido : 07/07/2020 7:39 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Francisco Javier
 Francisco Javier
Usuario activo

@karen

Si claro.

Gracias a todos

Respondido : 07/07/2020 8:56 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Francisco,

Gracias a ti, siempre encantados de poder ayudarte

Escríbenos si tienes otras consultas.

Un Saludo 😊 

Respondido : 07/07/2020 8:59 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación