WordPress biblioteca multimedia Es una herramienta conveniente para administrar imágenes, archivos y contenido multimedia. Organiza los archivos cargados en carpetas basadas en fechas y crea múltiples tamaños de imágenes. Todas las excelentes funciones de un sitio web básico.
Sin embargo, existen algunas desventajas. La estructura de archivos predecible de un sistema de gestión de contenidos (CMS) hace que sea fácil adivinar dónde se almacenarán sus archivos. Por ejemplo, un documento presupuestario del Reino Unido fuga antes del lanzamiento oficial. ¿Cómo sucedió esto? Un periodista adivinó el nombre del archivo basándose en la versión del año pasado:
La BBC obtuvo una versión en PDF del informe clave de la OBR a las 23.45 del miércoles sustituyendo la palabra “marzo” por “noviembre” en la URL de la versión anterior.
Los motores de búsqueda también pueden indexar los archivos multimedia de su sitio. Esto puede ser bueno para tu estrategia de SEO, pero no siempre es lo ideal. considerar un sitio de membresía Es necesario registrarse para acceder a ciertos archivos. Los usuarios pueden descubrir archivos accidentalmente a través de búsquedas, anulando el propósito de ocultar archivos después de iniciar sesión.
Esto no significa que exista un fallo de seguridad. Por el contrario, WordPress no se creó pensando en el almacenamiento de medios privados. Afortunadamente, existen algunas formas sencillas de mejorar la seguridad de sus archivos multimedia.
Repasemos algunas de las herramientas y técnicas utilizadas para proteger los archivos multimedia de WordPress. Pueden mantener sus archivos alejados de miradas indiscretas e incluso ahorrarle algo de ancho de banda de alojamiento.
Métodos de protección de archivos disponibles
Lo primero que hay que entender acerca de la protección de archivos multimedia es que existen muchos tipos de protección. El método que utilice depende de sus necesidades específicas. Dividiremos esta sección por escenarios comunes.
Tenga en cuenta que ninguna de las siguientes opciones puede garantizar la seguridad de los archivos en situaciones de alto riesgo, como la filtración del gobierno del Reino Unido mencionada anteriormente. Por el contrario, son medidas basicas Esto hará que sea más difícil para alguien (o algo) acceder a sus archivos.
Teniendo esto en cuenta, a continuación se presentan algunas formas de mejorar la seguridad de sus archivos.
Bloquear el acceso directo a archivos desde sitios web externos (enlaces activos)
Supongamos que tiene un archivo PDF grande en su sitio web. De forma predeterminada, los sitios web externos pueden vincularse directamente al archivo (también llamados enlaces directos). Puede parecer inofensivo, pero cada vez que un usuario hace clic en el enlace, el acceso a los archivos consume el ancho de banda de su alojamiento. Peor aún, los usuarios nunca visitan su sitio web.
La solución es bloquear el acceso al enlace activo a nivel del servidor. Agregue el siguiente fragmento de código a su sitio web .htaccess documento:
# Deny direct access to uploads unless navigated from your site (change example.com to your domain name)
<IfModule mod_rewrite.c>
RewriteEngine On
# Only apply to files inside uploads directory
RewriteCond %{REQUEST_URI} ^/wp-content/uploads/ (NC)
# Allow requests from your own domain
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?example\.com/ (NC)
# Block direct access to specified file types
RewriteRule \.(mp3|mp4|pdf|zip)$ - (F,NC,L)
</IfModule>Si su sitio se ejecuta en un servidor NGINX, agregue este fragmento a nginx.conf documento:
# Deny direct access to uploads unless navigated from your site (change example.com to your domain name)
# File types protected: mp3, mp4, pdf, zip
location ~* ^/wp-content/uploads/.*\.(pdf|zip|mp4|mp3)$ {
valid_referers none blocked server_names *.example.com example.com;
if ($invalid_referer) {
return 403;
}
}debe cambiar example.com para que coincida con su dominio y edite las extensiones de archivo incluidas para satisfacer sus necesidades.
notas: No recomendamos proteger archivos de imágenes de esta manera, ya que puede generar resultados no deseados. Por ejemplo, no podrá incluir imágenes o enlaces de archivos desde el servidor en las comunicaciones por correo electrónico sin agregar algunas excepciones al código anterior.
Evite que los motores de búsqueda indexen sus archivos multimedia
Los archivos multimedia cargados de WordPress pueden aparecer fácilmente en los resultados de búsqueda. Esto puede no ser deseable por varias razones:
- La vinculación directa a archivos grandes consume ancho de banda.
- El usuario no visitó su sitio web, simplemente descargó el archivo.
- Los documentos exclusivos para miembros pueden estar disponibles para el público.
Parte de cualquier estrategia de protección de archivos debe incluir prevenir (o bloquear) la indexación de los motores de búsqueda. Entonces hay varias maneras de hacerlo.
Primero, podemos agregar el siguiente contenido a nuestro sitio web. robots.txt Archivos para evitar el rastreo /wp-content/uploads/ Carpeta:
User-agent: *
Disallow: /wp-content/uploads/este no impide la indexación Sus archivos simplemente se rastrean. El principal beneficio es la reducción de la carga del servidor.
llegar Prevención adecuada índice, podemos usar X-Robots-Tag encabezamiento.
Para servidores Apache, agregue este fragmento al archivo de su sitio .htaccess documento:
# Prevent indexing of media files in /wp-content/uploads/
<IfModule mod_headers.c>
<FilesMatch "\.(pdf|doc|docx|xls|xlsx|ppt|pptx|zip|rar|7z|mp3|m4a|wav|mp4|mov|avi|webm)$">
Header always set X-Robots-Tag "noindex, nofollow, nosnippet, noarchive"
</FilesMatch>
</IfModule>Los usuarios de NGINX pueden agregar esto a su nginx.conf documento:
# Prevent indexing of media files in /wp-content/uploads/
location ~* ^/wp-content/uploads/.*\.(pdf|doc|docx|xls|xlsx|ppt|pptx|zip|rar|7z|mp3|m4a|wav|mp4|mov|avi|webm|jpg|jpeg|png|gif|webp|svg)$ {
add_header X-Robots-Tag "noindex, nofollow, nosnippet, noarchive" always;
}Los métodos anteriores reducirán el tráfico de bots y reducirán la probabilidad de que sus archivos aparezcan en los resultados de búsqueda.
Bloquear el acceso a la página de archivos adjuntos de WordPress
De forma predeterminada, WordPress crea una publicación para cada archivo multimedia que carga. Puede resultar útil para algunos casos de uso específicos, pero a menudo es una característica olvidada. Estas publicaciones pueden ser indexadas por los motores de búsqueda sin necesidad de realizar ninguna otra acción.
Algunos complementos de SEO como Optimización de motores de búsqueda Yoste, Clasificación de Matemáticasy SEO todo en unoproporciona configuraciones para deshabilitar las páginas adjuntas. Esta es la forma más sencilla de evitar que los motores de búsqueda o los usuarios accedan a ellos.
Además de esto, también puedes usar fragmentos de código en tu tema. functions.php archivo o complemento personalizado. Compartiremos algunos que cubren escenarios comunes.
Devuelve error 404 en la página adjunta:
Si desea denegar el acceso a la página de archivos adjuntos, el siguiente fragmento de código lo logrará. Los visitantes verán la página 404 en lugar del archivo adjunto.
<?php
/**
* Force attachment pages to 404.
*/
add_action( 'template_redirect', function () {
if ( ! is_attachment() ) {
return;
}
global $wp_query;
$wp_query->set_404();
status_header( 404 );
nocache_headers();
// Load your 404 template.
include get_query_template( '404' );
exit;
} );Redirigir la página adjunta a la publicación principal:
Este es un enfoque ligeramente diferente que redirige a los usuarios a la publicación principal del archivo adjunto. Esto es muy conveniente para blogs y otras publicaciones en línea que desean asegurarse de que los usuarios vean su contenido en lugar de sus archivos multimedia.
<?php
/**
* Redirect attachment pages to their parent post when available.
*/
add_action( 'template_redirect', function () {
if ( ! is_attachment() ) {
return;
}
$attachment_id = get_queried_object_id();
$parent_id = wp_get_post_parent_id( $attachment_id );
if ( $parent_id ) {
wp_safe_redirect( get_permalink( $parent_id ), 301 );
exit;
}
// No parent: redirect to file URL if it exists.
$url = wp_get_attachment_url( $attachment_id );
if ( $url ) {
wp_safe_redirect( $url, 301 );
exit;
}
wp_safe_redirect( home_url( '/' ), 302 );
exit;
} );Si no necesita páginas adjuntas de WordPress, no hay razón para conservarlas. Afortunadamente, tienes opciones para mantenerlos entusiasmados.
Protección de archivos multimedia mediante complementos
También puede utilizar complementos para proteger sus archivos multimedia de WordPress. El complemento adecuado puede realizar algunas o todas las funciones anteriores para mantener sus archivos más seguros.
Por ejemplo, Descargar monitor Ofrece una variedad de funciones, incluida la protección de archivos. Las características incluyen:
- Deshabilite o habilite la descarga de archivos para carpetas específicas.
- Cree URL generadas aleatoriamente para los archivos que desea proteger.
- Si intenta acceder al archivo directamente, se producirá un error 404.
- Requerir que los usuarios inicien sesión antes de acceder a los documentos.
- Realice un seguimiento del número de veces que se ha descargado un archivo.
La versión gratuita del complemento cubre casos de uso comunes. La versión premium va más allá al integrarse con complementos de formularios populares y agregar protección CAPTCHA.
Al mismo tiempo, muchos Complemento de miembro Viene con alguna forma de protección de archivos. Consulte la documentación del complemento para ver qué hay disponible.
Toma el control de tus archivos y ten tranquilidad
Incluso si no publica información confidencial, existen muchas razones para bloquear sus archivos multimedia de WordPress. Primero, levántate Tráfico de robots de inteligencia artificial Significa un mayor uso de ancho de banda. Limitar el acceso a archivos grandes puede evitar cargos inesperados factura de depósito en garantía.
Además, los archivos multimedia y las páginas adjuntas pueden sacarse de contexto. Una simple redirección puede llevar a los usuarios a su contenido. Esta puede ser la diferencia entre un visitante único y un lector leal. ¡Saluda a reducir las tasas de rebote!
Las soluciones anteriores son fáciles de implementar en su sitio web existente. Es más, también aportan un poco de tranquilidad. No tiene que preocuparse de que las personas equivocadas accedan a sus archivos o creen una pesadilla de tráfico en su servidor.
Considere sus necesidades de protección de archivos y cómo podrían afectar su estrategia de SEO. A partir de ahí, puede crear un plan que funcione para usted.
arriba
