Ser ikke ud til at være et specifikt Wordpressproblem men:
Hvis jeg kender navnet på en fil, i hvert fald en billedfil eller en pdf-fil i en mappe, f.eks wordpress/upload, kan denne fil umiddelbart ses ved at indtaste sti+filnavn i browservinduet. Selvom hele sitet kræver login og selvom man ved forsøg på at se indholdet i en mappe får fejlen 403-Forbidden.
Der vil næppe være mange der manuelt finder frem til mine filer, men hvad med en søgemaskine?
Og hvordan skjuler man indholdet i sine mapper, også selvom den direkte sti indtastes?
Indhold i mapper er ikke skjult
(9 indlæg) (4 voices)-
Skrevet 15 years siden #
-
Så er du nødt til at bevæge dig ud i noget .htaccess beskyttelse på dine mapper — det vil også kræve, at dine besøgende logger ind via .htaccess (tror jeg).
UPDATE:
Her er en god gennemgang af sikkerhedsindstillinger du kan læse:
http://codex.wordpress.org/Hardening_WordPressSkrevet 15 years siden # -
En søgemaskine finder filer/steder via links fra andre steder. Hvis der ikke noget offentligt sted er linket direkte til filerne, så vil en søgemaskine aldrig finde dem!
/ask
Skrevet 15 years siden # -
Hvis jeg kender navnet på en fil, i hvert fald en billedfil eller en pdf-fil i en mappe, f.eks wordpress/upload, kan denne fil umiddelbart ses ved at indtaste sti+filnavn i browservinduet.
Intet unormalt ved det.
Hvis billederne kan ses på siden kan de også tilgåes aleneMvh JohnSkrevet 15 years siden # -
Har lige checket: Ja, der er også umiddelbar adgang til filer der ikke er link til nogetsteds. Blot man kender hele stien kan man få i hvert fald billed- og pdf-filer vist uden videre.
Ved nærmere eftertanke er der næppe noget nyt i det og det er næppe Wordpress-specifikt. Men hensigtsmæssigt synes jeg ikke det er og er næppe alene om dette synspunkt.
Problemet er ikke tilfældigt manuelt fundne filer, men
1. Det kan næppe være besværligt at skrive et program der kan bladre f.eks en wordpressmappe igennem. Stien står i browservinduet, så det er kun selve filnavnet der skal gættest på. Husk laaaaaaaaange filnavne!
2. Har man sider der ændres fra offentlig til privat, vil links på disse stadig fungere til indhold man forventede nu havde privat status.
Der må være nogen der har gjort sig nogle tanker om hvordan man skal beskytte sine filer?Skrevet 15 years siden # -
Hvis man vil beskytte filer, så skal de ikke ud på en "offentlig" side.... Sådan lidt firkantet sagt.
Skal der beskyttelse på de enkelte filer kan det klares med .htaccess men hvordan det specifikt klares kan jeg ikke lige svare på - prøv google. Problemet er jo at WP skal have adgang til dem, så en "almindelig" .htaccess password beskyttelse vil nok ikke virke.
/ask
Skrevet 15 years siden # -
Ved nærmere eftersyn er løsningen befriende lavteknologisk (i hvert fald fra brugerside) og har intet med Wordpress at gøre:
1. Åbn Netværkssteder>ftp.etellerandet.dk
2. Højreklik relevant mappe, f.eks wordpress
Det ses nu at mappen som standard kan læses af Ejer, gruppe og alle brugere
3. Fjern flueben for gruppe og alle brugere og gem
Forsøges at tilgå en fil i mappen med den direkte sti, åbnes en box med krav om indtastning af bruger og adgangskode.
Metoden er selvfølgelig lidt anderledes for Mac-, linux- og hvadvedjeg-brugere.
Jeg har testet hvordan Wordpress fungerer herefter. Fuldstændig som det plejer.Skrevet 15 years siden # -
Kan du vise en side hvor det virker som du beskriver
Skrevet 15 years siden # -
Kan wordpress benytte de filer der ligger i de "beskyttede" mapper? Hvis ja, så er det ihvertfald en meget simpel løsning.
/ask
Skrevet 15 years siden #
Svar
Du skal være logget ind for at skrive.
not resolved