我们的网站由 Wordpress 提供支持,我正在使用允许用户上传文件的插件。我们有合理的安全措施来防止恶意文件被用户加载到服务器,但这些文件随后可供公众直接访问。例如,任何人都可以像这样直接访问这些文件中的任何一个:
http://www.website.com/path/to/files/file_1.pdf
http://www.website.com/path/to/files/file_2.pdf
http://www.website.com/path/to/files/file_3.docx
这是一个安全/隐私问题,因为这些文件可能包含不应提供给任何人的个人数据。
我知道我可以使用 .htaccess 阻止对整个目录的访问,但是插件将停止工作。相反,我认为我需要使用 .htaccess 将这些请求重定向到一个脚本,该脚本检查当前用户是否有权查看它们。棘手的部分是对这些文件的直接请求绕过了 Wordpress 应用程序,因此is_user_logged_in()如果我重定向到某个中间页面,则没有任何核心功能(如 )可用。
似乎我要么需要编写一个脚本来手动检查 Wordpress 授权 cookie(这听起来很麻烦),要么以某种方式在 Wordpress 中循环。
对于在不破坏插件的情况下添加此安全层的优雅方式有什么建议吗?