我们的网站由Wordpress提供支持,我正在使用一个允许用户上传文件的插件。我们有合理的安全措施来防止恶意文件被用户加载到服务器,但这些文件可以直接供公众访问。例如,任何人都可以直接访问这些文件中的任何一个:
http://www.website.com/path/to/files/file_1.pdf
http://www.website.com/path/to/files/file_2.pdf
http://www.website.com/path/to/files/file_3.docx
这是一个安全/隐私问题,因为这些文件可能包含任何人都无法使用的个人数据。
我知道我可以使用.htaccess阻止访问整个目录,但插件将停止工作。相反,我认为我需要使用.htaccess将这些请求重定向到一个脚本,该脚本检查当前用户是否有权查看它们。棘手的部分是对这些文件的直接请求绕过Wordpress应用程序,因此如果我重定向到某个中间页面,则没有任何核心功能(如is_user_logged_in())可用。
似乎我需要编写一个脚本来手动检查Wordpress授权cookie(这听起来像是一个巨大的麻烦)或者在Wordpress中以某种方式循环。
有关优雅方式添加此安全层而不破坏插件的任何建议吗?