私たちのサイトはWordpressを利用しており、ユーザーがファイルをアップロードできるプラグインを使用しています。悪意のあるファイルがユーザーによってサーバーに読み込まれるのを防ぐための適切なセキュリティがありますが、それらのファイルは一般の人々が直接アクセスできます。たとえば、次のように、誰でもこれらのファイルに直接アクセスできます。
http://www.website.com/path/to/files/file_1.pdf
http://www.website.com/path/to/files/file_2.pdf
http://www.website.com/path/to/files/file_3.docx
これらのファイルには、誰もが利用できないはずの個人データが含まれている可能性があるため、これはセキュリティ/プライバシーの問題です。
.htaccessを使用してディレクトリ全体へのアクセスをブロックできることはわかっていますが、プラグインが機能しなくなります。代わりに、.htaccessを使用して、現在のユーザーがそれらの表示を許可されているかどうかを確認するスクリプトにそれらの要求をリダイレクトする必要があると思います。トリッキーな部分は、これらのファイルへの直接リクエストがWordpressアプリをバイパスすることです。そのため、is_user_logged_in()中間ページにリダイレクトすると、コア機能(など)は使用できなくなります。
Wordpress認証Cookieを手動でチェックするスクリプトを作成する必要があるようです(これは非常に面倒に聞こえます)か、Wordpressで何らかの方法でループします。
プラグインを壊さずにこのセキュリティレイヤーを追加するためのエレガントな方法について何か提案はありますか?