Les tickets PDF de FooEvents utilisent un modèle de “lien non listé” (similaire au partage de Google Drive “quiconque possède le lien”). Les noms de fichiers des tickets sont générés à l'aide d'un algorithme qui produit des noms de fichiers obscurs, les rendant non séquentiels et extrêmement peu susceptibles d'être devinés, même si l'on sait comment FooEvents génère ces noms de fichiers.
En supposant que la liste des répertoires soit désactivée sur votre serveur (pratique courante, mais nous ajoutons un fichier d'index vierge au répertoire billets pdf au cas où), le dossier ne peut pas être parcouru et les fichiers ne sont accessibles qu'avec le nom exact du fichier.
Si vous souhaitez ajouter une couche de protection supplémentaire à votre dossier de tickets PDF, vous pouvez bloquer manuellement l'accès direct du web au dossier de tickets PDF stocké sur Apache en ajoutant un .htaccess fichier.
fichier. Il s'agit d'une option avancée destinée aux propriétaires de sites qui souhaitent réduire davantage les risques de partage des liens de billets et préfèrent que les billets soient distribués par des canaux contrôlés (par exemple, uniquement par courrier électronique).
Protection manuelle (Apache) #
Ce que cela fait #
Les serveurs Apache peuvent appliquer des règles au niveau des dossiers à l'aide d'un fichier .htaccess dossier. En plaçant un .htaccess dans le répertoire de stockage des tickets PDF, vous pouvez interdire tout accès HTTP direct aux tickets PDF stockés. Toute URL de billetterie directe devrait alors renvoyer 403 Interdit (ou parfois 404, en fonction de votre hôte/couche de sécurité).
Emplacement du dossier #
FooEvents vend des billets en PDF ici :
wp-content/uploads/fooevents/pdftickets/
Étapes #
- Connectez-vous à votre site via FTP/SFTP ou le gestionnaire de fichiers de votre hébergeur.
- Naviguer vers :
wp-content/uploads/fooevents/pdftickets/ - Créer un fichier nommé :
.htaccess - Ajoutez le contenu suivant au fichier :
# FooEvents PDF Protection des dossiers de tickets.
Exige tous les refus
Refusé à tous
- Enregistrer le fichier.
Notes / gotchas #
- Certains hôtes bloquent ou ignorent les .htaccess règles en wp-content/uploads/. Si vos règles ne s'appliquent pas, demandez à votre hôte si .htaccess est autorisé dans les répertoires de téléchargement.
- Si votre installation de WordPress utilise un chemin d'accès personnalisé pour les téléchargements, le dossier peut être différent.
Avant d'activer cette fonction #
Il s'agit d'une option de sécurité avancée, et l'activer signifie :
- Les clients ne pourront plus télécharger de billets en format PDF à partir de la section Mon compte. Assurez-vous que l'option FooEvents > Paramètres > Billets PDF > Permettre le téléchargement de billets au format PDF est désactivée. Si elle est activée, FooEvents ajoute une page Billets à la section Mon compte où les utilisateurs peuvent télécharger des billets au format PDF, mais les liens ne fonctionneront pas une fois que l'accès au dossier sera bloqué.
- Les administrateurs ne pourront plus télécharger de tickets PDF à partir de l'écran Tickets dans la zone d'administration de WordPress.
- Cette approche ne fonctionne qu'avec Apache. Si votre site est hébergé sur Nginx, vous devez ajouter une règle Nginx à la place (Nginx ne lit pas les .htaccess).
Nginx (Configuration manuelle) #
Similaire à WooCommerce, Si votre site utilise Nginx, ajoutez une règle pour interdire l'accès au dossier des tickets PDF dans votre bloc serveur :
location ^~ /wp-content/uploads/fooevents/pdftickets/ {
deny all ;
}
Si votre installation WordPress utilise un chemin de téléchargement personnalisé ou se trouve dans un sous-répertoire, adaptez le chemin d'accès en conséquence.
Vérification #
Après avoir ajouté la protection :
- Recherchez une URL de ticket PDF connue (qui a déjà été téléchargée avec succès).
- Visitez-le dans votre navigateur.
- Vous devriez obtenir un 403 Interdit (ou un 404 en fonction de votre hébergeur/couche de sécurité) au lieu d'un téléchargement.