Just nu i M3-nätverket
Gå till innehåll
ChristerE

Lösenordsskydd - i WordPress och generellt

Rekommendera Poster

Som jag ser det handlar inloggning med lösenord om olika typer av säkerhet. Det kan vara en "passerkontroll" eller handla om kryptering.


Fungerar lösenordet som en passerkontroll behöver innehållet man sedan når inte vara krypterat. Om lösenordet egentligen är en krypteringsnyckel (eller i alla fall har med krypteringen att göra) så är även innehållet, dokument och annat, skyddat. I alla fall så länge krypteringen inte knäckts.


Jag har byggt en webbplats i WordPress. Lösenordsskyddas sidor och inlägg, eller hela webbplatsen, går det ändå att komma åt media (Word- och Pdf-filer, och bilder, m m). Innehåll i sidor och inlägg sparas i en databas så innehållet skulle ju kunna krypteras när de eller hela webbplatsen skyddas med inloggning (kan för lite om WordPress (än)). Men media sparas i filer som man länkar till när sidorna byggs, och de behöver ju inte bli krypterade även om det skulle vara så att sidornas innehåll krypteras när de skyddas med inloggning.


Jag har provat bl a tilläggen "Force Login", som lösenordsskyddar hela webbplatsen, och "Restrict Content" där man kan välja vilka sidor som ska skyddas. Oavsett vilken av metoderna som används är media tillgängligt (förutsatt att man känner till sökvägen, förstås).


Exempel (vid användning av de nämnda tilläggen) :
www.domän.se/sida/
sidan går inte att nå utan inloggning


www.domän.se/wp-content/uploads/2019/04/Dokument.pdf/
Filen kan öppnas även om länken finns på en lösenordsskyddad sida, eller om hela webbplatsen är lösenordsskyddad.


Är man bara intresserad av att inte skylta med innehållet för hela världen kan det ovan beskrivna duga. Men är även bilder och dokument känsliga behövs kryptering, eller i alla fall något sätt att blockera även dem. Uppladdat media behöver ju inte vara använt på sidor, eller också användas på icke skyddade sidor, så skyddet kan då inte baseras endast på skydd av sidor och inlägg.


Till detta kommer skydd mot att hela webbplatsen hackas (t ex WordPress), och skydd för trafiken till och från webbplatsen (https://). Men inlägget handlar i första hand om webbplatsens innehåll.


(Jag har hittat WPForms och Formidable Forms, och skulle gärna använda någon av dem. Men för att lägga till inloggning på webbplatser behövs betalversionerna, i båda fallen.)

 

Fritt fram att diskutera inloggning och kryptering, men en konkret fråga är hur man också skyddar åtkomsten av media som finns på sidorna.

Tips om andra plugginer är också välkomna, oavsett om de fixar kryptering eller inte.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Du kan ju även ge filerna "kryptiska" namn som t ex SD234FJ€%GVDFJdfqwe342gMRJ!"##SDf.PDF 

Då kommer ingen som inte vet filens namn kunna öppna den även om den är "tillgänglig". 

Låt gärna filnamnet ändå börja på något som du känner igen så du själv kan hitta rätt bland filerna.

T ex dokument_034-SD234FJ€%GVDFJdfqwe342gMRJ!"##SDf.PDF

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Det polken nämner är något som kallas security by obscurity och dte är inte en särskilt bra lösning. Det enda det gör är att det irreterar användare som måste hålla på med det korkade filnamnen och tycker det är svårt att hantera sina filer. Någon som faktiskt är ute efter att stjäla dina filer kommer bli smått fördröjda, men antagligen inte speciellt mycket.

 

Det wordpress gör (om jag förstått rätt) är att det berättat för apache att alla filer enligt ett visst mönster, typ minsida.se/hej/pådej ska manageras av wordpress så när apache ser en sådan url så skickar den bara vidare url till wordpress som klurar ut vilken sida det gäller och mallar och grejjer. På så vis kan man spara innehållet på sidorna i en databas, bakom lösenord osv.

 

Men det finns en väldans risk att wordpress inte bryr sig på samma sätt om wp-content katalogen. Där låter den apache hantera allt själv och därför kan inte wordpress inbyggda lösonordshantering hjälpa dig. Om så är fallet så har du ett par lösningar, det enklaste är att använda någon av pluginen som cluster rekommenderar. Du kan skriva ett eget php script som ser till att spara dina filer i databasen och på så vis kan ditt script kontrollera att det har angivits lösenord osv när man försöker hämta en fil. Och det skulle absolut inte förvåna mig om någon av de där plugnen faktiskt gör det på exakt det sättet.

 

Sen kan du även sätta ett lösenord på din wp-content mapp via apache. Det finns en väldigt tydlig instruktion på den här sidan hur du gör https://designmecreative.com/password-protecting-pdf-files-in-wordpress/ tyvärr så kommer inte lösenorden kunna manageras via wordpress.

 

Så det mest robusta lösningen är antagligen att du kollar på plugin som cluster länkat till för då behöver du inte själv utveckla något och du får allt snyggt integrerat med wordpress.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Fattar jag rätt går tipsen i tråden ut på att blockera filer så de inte kan laddas ned, stjälas. Men jag söker en lösning så att dokument inte ens kan läsas utan att man är inloggad. Även om inloggning krävs för åtkomst till poster, sidor eller hela webbplatser, så är inte media skyddat.


Cluster tipsade om Prevent Direct Access. Det tillägget verkar inte räcka, men med Prevent Direct Access Gold ska det fungera.


Hittade en artikel som beskriver både varför en del metoder inte fungerar, och några lösningar (bl a Prevent Direct Access Gold). En annan metod är att URLer gäller endast några sekunder. Så finns WordPress PDF viewer plugins, man måste vara inloggad för att läsa filerna.


Har inte testat än, men här verkar det i alla fall finnas en passande lösning.


"Although your WordPress pages or posts are protected, all 3 methods above don’t really protect your uploaded PDF files. In other words, when you attach your PDF files to those protected pages and posts, they’re still accessible to the public. So in case people can somehow find the file URLs through search engines or sharing, they can just download and steal your PDF files."


"In order to resolve this problem, you have to not only protect your content but also block and restrict PDF file URL access directly so that unauthorized users won’t be able to access your PDF files, in any circumstances."


"There are 3 common ways to prevent direct access to your content, namely, password protecting, expiring and changing their URLs and restricting their access using a membership plugin. The main drawback of these methods is your attached PDF files are actually not protected. As a result, people could still access and share these private PDF documents."


https://oceanwp.org/blog/7-ways-to-protect-wordpress-pdf-files/

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...