Los tickets PDF de FooEvents utilizan un modelo de “enlace no listado” (similar a la compartición “cualquiera con el enlace” de Google Drive). Los nombres de archivo de los tickets se generan mediante un algoritmo que produce nombres de archivo oscuros, lo que los hace no secuenciales y extremadamente difíciles de adivinar, incluso con conocimiento de cómo FooEvents genera estos nombres de archivo.
Suponiendo que el listado de directorios esté desactivado en su servidor (práctica habitual, pero añadimos un archivo de índice en blanco al directorio pdftickets por si acaso), no se puede navegar por la carpeta y sólo se puede acceder a los archivos con el nombre exacto.
Si desea añadir una capa adicional de protección a su carpeta de tickets PDF, puede bloquear manualmente el acceso directo desde la Web a la carpeta de tickets PDF almacenada en Apache añadiendo un .htaccess archivo.
archivo. Se trata de una opción avanzada destinada a los propietarios de sitios que desean reducir aún más la posibilidad de que se compartan los enlaces de las entradas y prefieren que éstas se distribuyan a través de canales controlados (por ejemplo, sólo por correo electrónico).
Protección manual (Apache) #
Para qué sirve #
Los servidores Apache pueden imponer reglas a nivel de carpeta utilizando una directiva .htaccess archivo. Al colocar un .htaccess dentro del directorio de almacenamiento de tickets PDF, puede denegar todo acceso HTTP directo a los PDF de tickets almacenados. Cualquier URL de ticket directa devolverá 403 Prohibido (o a veces 404, dependiendo de su capa de host/seguridad).
Ubicación de la carpeta #
FooEvents almacena las entradas en PDF aquí:
wp-content/uploads/fooevents/pdftickets/
Pasos #
- Conéctese a su sitio mediante FTP/SFTP o el gestor de archivos de su host.
- Navega hasta:
wp-content/uploads/fooevents/pdftickets/ - Crea un archivo llamado:
.htaccess - Añade el siguiente contenido al archivo:
# FooEvents Protección de la carpeta PDF Ticket.
Requerir todo denegado
Denegar desde todos
- Guarda el archivo.
Notas / gotchas #
- Algunos hosts bloquean o anulan .htaccess normas en wp-content/uploads/. Si sus normas no se aplican, pregunte a su anfitrión si .htaccess en los directorios de carga.
- Si su instalación de WordPress utiliza una ruta de subida personalizada, la carpeta puede ser diferente.
Antes de activarlo #
Esta es una opción de seguridad avanzada, y activarla significa:
- Los clientes ya no podrán descargar billetes en PDF desde la sección Mi cuenta. Asegúrese de que el FooEvents > Ajustes > Billetes PDF > Activar la descarga de entradas en PDF está desactivada. Si está activada, FooEvents añade una página de Tickets a la sección Mi Cuenta donde los usuarios pueden descargar tickets en PDF, pero los enlaces no funcionarán una vez bloqueado el acceso a la carpeta.
- Los administradores ya no podrán descargar tickets en PDF desde la pantalla Tickets del área de administración de WordPress.
- Este método sólo funciona con Apache. Si su sitio está alojado en Nginx, debe añadir una regla Nginx en su lugar (Nginx no lee .htaccess).
Nginx (Configuración manual) #
Similar a WooCommerce, Si su sitio utiliza Nginx, añada una regla para denegar el acceso a la carpeta de tickets PDF en el bloque de su servidor:
location ^~ /wp-content/uploads/fooevents/pdftickets/ {
deny all;
}
Si su instalación de WordPress utiliza una ruta de subida personalizada o se encuentra en un subdirectorio, ajuste la ruta de ubicación en consecuencia.
Verificación #
Después de añadir la protección:
- Busque una URL de ticket PDF conocida (una que se haya descargado previamente con éxito).
- Visítelo en su navegador.
- Deberías conseguir un 403 Prohibido (o un 404 dependiendo de tu host/capa de seguridad) en lugar de una descarga.