I biglietti PDF di FooEvents utilizzano un modello di “link non elencati” (simile alla condivisione “chiunque abbia il link” di Google Drive). I nomi dei file dei biglietti sono generati con un algoritmo che produce nomi di file oscuri, rendendoli non sequenziali ed estremamente improbabili da indovinare, anche se si conosce il modo in cui FooEvents genera questi nomi di file.
Supponendo che l'elenco delle directory sia disabilitato sul server (pratica standard, ma noi aggiungiamo un file indice vuoto al file biglietti in formato PDF per sicurezza), la cartella non può essere sfogliata e i file sono accessibili solo con il nome esatto del file.
Se si desidera aggiungere un ulteriore livello di protezione alla cartella dei biglietti PDF, è possibile bloccare manualmente l'accesso diretto al Web alla cartella dei biglietti PDF memorizzati su Apache aggiungendo un .htaccess file.
file. Si tratta di un'opzione avanzata destinata ai proprietari di siti che desiderano ridurre ulteriormente la possibilità di condivisione dei link ai biglietti e che preferiscono che i biglietti siano distribuiti attraverso canali controllati (ad esempio, solo tramite e-mail).
Protezione manuale (Apache) #
Cosa fa #
I server Apache possono applicare le regole a livello di cartella utilizzando un'opzione .htaccess file. Inserendo un .htaccess all'interno della directory di archiviazione dei biglietti PDF, è possibile negare l'accesso diretto HTTP ai biglietti PDF archiviati. Qualsiasi URL diretto dei biglietti dovrebbe restituire 403 Vietato (o talvolta 404, a seconda dell'host/livello di sicurezza).
Posizione della cartella #
FooEvents conserva i biglietti in formato PDF qui:
wp-content/uploads/fooevents/pdftickets/
Passi #
- Collegatevi al vostro sito tramite FTP/SFTP o il file manager del vostro host.
- Andare a:
wp-content/uploads/fooevents/pdftickets/ - Creare un file denominato:
.htaccess - Aggiungete al file i seguenti contenuti:
# FooEvents Protezione della cartella dei biglietti PDF.
Richiede tutti i negati
Negato a tutti
- Salvare il file.
Note / problemi #
- Alcuni host bloccano o sovrascrivono .htaccess regole in wp-content/uploads/. Se le vostre regole non sono applicabili, chiedete al vostro ospite se .htaccess è consentito nelle directory di upload.
- Se l'installazione di WordPress utilizza un percorso di caricamento personalizzato, la cartella potrebbe essere diversa.
Prima di attivare questa funzione #
Si tratta di un'opzione di sicurezza avanzata, e attivarla significa:
- I clienti non potranno più scaricare i biglietti in formato PDF dalla sezione Il mio account. Assicuratevi che il FooEvents > Impostazioni > Biglietti PDF > Abilita il download dei biglietti in formato PDF è disattivata. Se è abilitata, FooEvents aggiunge una pagina Biglietti alla sezione Il mio account in cui gli utenti possono scaricare i biglietti in formato PDF, ma i collegamenti non funzioneranno una volta bloccato l'accesso alla cartella.
- Gli amministratori non potranno più scaricare biglietti in formato PDF dalla schermata Biglietti nell'area di amministrazione di WordPress.
- Questo approccio funziona solo su Apache. Se il sito è ospitato su Nginx, è necessario aggiungere una regola Nginx (Nginx non legge .htaccess).
Nginx (configurazione manuale) #
Simile a WooCommerce, Se il sito utilizza Nginx, aggiungere una regola per negare l'accesso alla cartella PDF ticket nel blocco del server:
location ^~ /wp-content/uploads/fooevents/pdftickets/ {
negare tutti;
}
Se l'installazione di WordPress utilizza un percorso di caricamento personalizzato o vive in una sottodirectory, regolare il percorso di localizzazione di conseguenza.
Verifica #
Dopo aver aggiunto la protezione:
- Trovare un URL noto per i biglietti PDF (uno che è stato scaricato in precedenza con successo).
- Visitate il sito nel vostro browser.
- Dovreste ottenere un 403 Vietato (o un 404 a seconda del vostro host/livello di sicurezza) invece di un download.