Os bilhetes PDF do FooEvents utilizam um modelo de “ligação não listada” (semelhante à partilha “qualquer pessoa com a ligação” do Google Drive). Os nomes dos ficheiros dos bilhetes são gerados utilizando um algoritmo que produz nomes de ficheiros obscuros, tornando-os não sequenciais e extremamente improváveis de adivinhar, mesmo com conhecimento de como o FooEvents gera estes nomes de ficheiros.
Assumindo que a listagem de diretórios está desactivada no seu servidor (prática padrão, mas nós adicionamos um ficheiro de índice em branco ao bilhetes em PDF também, por precaução), a pasta não pode ser pesquisada e os ficheiros só são acessíveis com o nome exato do ficheiro.
Se pretender adicionar uma camada adicional de proteção à sua pasta de bilhetes PDF, pode bloquear manualmente o acesso direto da Web à pasta de bilhetes PDF armazenada em Apache adicionando um .htaccess ficheiro.
ficheiro. Esta é uma opção avançada destinada aos proprietários de sítios que pretendem reduzir ainda mais a possibilidade de partilha de hiperligações de bilhetes e preferem que os bilhetes sejam distribuídos através de canais controlados (por exemplo, apenas entrega por correio eletrónico).
Proteção manual (Apache) #
O que isto faz #
Os servidores Apache podem impor regras ao nível das pastas utilizando um .htaccess ficheiro. Ao colocar um .htaccess dentro do diretório de armazenamento de bilhetes em PDF, pode negar todo o acesso HTTP direto aos PDFs de bilhetes armazenados. Qualquer URL de ticket direto deve retornar 403 Proibido (ou por vezes 404, dependendo do seu anfitrião/camada de segurança).
Localização da pasta #
O FooEvents armazena bilhetes em PDF aqui:
wp-content/uploads/fooevents/pdftickets/
Passos #
- Ligue-se ao seu site através de FTP/SFTP ou do gestor de ficheiros do seu anfitrião.
- Navegar para:
wp-content/uploads/fooevents/pdftickets/ - Criar um ficheiro com o nome:
.htaccess - Adicione o seguinte conteúdo ao ficheiro:
# FooEvents Proteção da pasta de bilhetes PDF.
Exigir todos os negados
Negar de todos
- Guardar o ficheiro.
Notas / problemas #
- Alguns anfitriões bloqueiam ou anulam .htaccess regras em wp-content/uploads/. Se as suas regras não se aplicarem, pergunte ao seu anfitrião se .htaccess é permitido nos diretórios de uploads.
- Se a sua instalação do WordPress usa um caminho de uploads personalizado, a pasta pode ser diferente.
Antes de ativar esta opção #
Esta é uma opção de segurança avançada, e activá-la significa:
- Os clientes deixarão de poder descarregar bilhetes em PDF a partir da secção A minha conta. Certifique-se de que o FooEvents > Definições > Bilhetes PDF > Ativar descarregamentos de bilhetes em PDF está desativada. Se estiver activada, o FooEvents adiciona uma página Bilhetes à secção A minha conta, onde os utilizadores podem descarregar bilhetes em PDF, mas as ligações não funcionarão quando o acesso à pasta for bloqueado.
- Os administradores deixarão de poder descarregar bilhetes em PDF a partir do ecrã Bilhetes na área de administração do WordPress.
- Esta abordagem funciona apenas no Apache. Se o seu sítio estiver alojado no Nginx, tem de adicionar uma regra Nginx (o Nginx não lê .htaccess).
Nginx (Configuração manual) #
Semelhante a WooCommerce, Se o seu sítio utiliza Nginx, adicione uma regra para negar o acesso à pasta de bilhetes PDF no seu bloco de servidor:
location ^~ /wp-content/uploads/fooevents/pdftickets/ {
negar tudo;
}
Se a sua instalação do WordPress usa um caminho de uploads personalizado ou vive em um subdiretório, ajuste o caminho de localização de acordo.
Verificação #
Depois de adicionar proteção:
- Localize um URL de bilhete PDF conhecido (um que já tenha sido descarregado com êxito).
- Visite-o no seu browser.
- Deverá obter um 403 Proibido (ou um 404 dependendo do seu anfitrião/camada de segurança) em vez de uma transferência.