Labarta

Estás aquí: Inicio / Blog / Proteger la carpeta «Uploads» en WordPress

labarta-intranet-22

Proteger la carpeta «Uploads» en WordPress

Después de crear un sitio web de documentación que solo pudieran ver los usuarios registrados y cada uno de ellos solo sus propios documentos (excepto el administrador) y con acceso a la web a través de una intranet.

labarta-intranet-1

Vemos que va todo perfecto, clasificado en carpetas y cada usuario solo ve lo que el ha subido. 

Pero no es así….

Resulta que cualquier persona desde el navegador puede ver todos los documentos libremente: 

https://tudominio.com/wp-content/uploads/

Prueba con tu dominio, según los plugins que tengas instalados o bien según el hosting puede que ya estés protegido.

labarta-intranet-4

O sea que tiene acceso a todo: imágenes, documentos pdf, etc. 

¿Cómo proteger la carpeta Uploads en WordPress?

Empezaremos por proteger el archivo .htaccess.

Para proteger tu  .htaccess , el archivo  wp-config.php y la navegación en carpetas,  añade todo este código en tu  .htaccess 


# Proteger el archivo .htaccess
<files .htaccess>
Order Allow,Deny
Deny from all
</files>
# Proteger el archivo wp-config.php
<files wp-config.php>
Order Allow,Deny
Deny from all
</files>
# Proteger la navegación de carpetas
Options All -Indexes

Después para bloquear la navegación de la carpeta «Uploads» añades esto a un nuevo archivo .htaccess y colocas este nuevo archivo dentro del directorio de Uploads.

# Bloquear la navegación de la carpeta de Uploads y dar seguridad de subida de archivos
<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
Order Deny,Allow
Allow from all
</FilesMatch>

Puedes eliminar o añadir extensiones según precises para asegurarte de que solo se puedan usar estas extensiones en esta carpeta.

Vamos a ver los resultados:

labarta-intranet-22

labarta-intranet-23

labarta-intranet-24

Perfecto ahora ya no pueden navegar por las carpetas.

Espero que esto te sirva, esa es mi intención al hacer este artículo.

PD- Otra muy buena opción (si el plugin que usamos lo permite) es subir los archivos a Google Drive, Dropbox, OneDrive etc. así además evitamos sobrecargar de megabytes nuestro servidor.


Estoy especializado en el "Mantenimiento de sitios web" realizados con WordPress. (Tu seguridad depende de ello).


Contáctame

Si te ha gustado este artículo, por favor, comparte - Gracias -