Labarta

labarta-intranet-22

Proteger la carpeta "Uploads" en WordPress

Después de crear un sitio web de documentación que solo pudieran ver los usuarios registrados y cada uno de ellos solo sus propios documentos (excepto el administrador) y con acceso a la web a través de una intranet.

labarta-intranet-1

Vemos que va todo perfecto, clasificado en carpetas y cada usuario solo ve lo que el ha subido. 

Pero no es así....

Resulta que cualquier persona desde el navegador puede ver todos los documentos libremente: 

https://tudominio.com/wp-content/uploads/

Prueba con tu dominio, según los plugins que tengas instalados o bien según el hosting puede que ya estés protegido.

labarta-intranet-4

O sea que tiene acceso a todo: imágenes, documentos pdf, etc. 

¿Cómo proteger la carpeta Uploads en WordPress?

Empezaremos por proteger el archivo .htaccess.

Para proteger tu  .htaccess , el archivo  wp-config.php y la navegación en carpetas,  añade todo este código en tu  .htaccess 


# Proteger el archivo .htaccess
<files .htaccess>
Order Allow,Deny
Deny from all
</files>
# Proteger el archivo wp-config.php
<files wp-config.php>
Order Allow,Deny
Deny from all
</files>
# Proteger la navegación de carpetas
Options All -Indexes

Después para bloquear la navegación de la carpeta "Uploads" añades esto a un nuevo archivo .htaccess y colocas este nuevo archivo dentro del directorio de Uploads.

# Bloquear la navegación de la carpeta de Uploads y dar seguridad de subida de archivos
<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
Order Deny,Allow
Allow from all
</FilesMatch>

Puedes eliminar o añadir extensiones según precises para asegurarte de que solo se puedan usar estas extensiones en esta carpeta.

Vamos a ver los resultados:

labarta-intranet-22

labarta-intranet-23

labarta-intranet-24

Perfecto ahora ya no pueden navegar por las carpetas.

Espero que esto te sirva, esa es mi intención al hacer este artículo.

PD- Otra muy buena opción (si el plugin que usamos lo permite) es subir los archivos a Google Drive, Dropbox, OneDrive etc. así además evitamos sobrecargar de megabytes nuestro servidor.

Si te ha gustado este artículo, por favor, comparte - Gracias -