• Gelöst morgana17

    (@morgana17)


    Ich würde gerne Medien (Ausweisdaten sollen hier hochgeladen werden) in ein geschütztes Verzeichnis ablegen. Auf die Medien im Upload Verzeichnis kann ja per URL von außen zugegriffen werden. Nun habe ich folgendes versucht:

    htaccess Eintrag:
    <FilesMatch „\.(pdf|docx|jpg|png|jpeg|gif)$“>
    Order Deny,Allow
    Deny from all
    </FilesMatch>

    Wenn ich das einfügen, werden auf meiner Webseite gar keine Bilder mehr angezeigt und in der Mediathek sehe ich die Bilder auch nicht mehr.

    Meine Frage: Was mache ich hier falsch? Würde das reichen, dass auf die Daten kein Zugriff mehr von außen erfolgen kann?

    Dann habe ich gehört, es gibt die Möglichkeit den WordPress Upload Ordner zu ändern. Wenn ich den Ordner z. B. wie folgt ändere:

    define( 'UPLOADS', 'wp-content/'.'files');

    ist der Zugriff von außen über die URL auf die Mediendatei genauso möglich.

    Wenn ich folgendes versuche:

    define( ‚UPLOADS‘, ‚dateien‘ );

    Hier kann ich auch von außen auf die URL zugreifen wenn ich den Link habe bzw. von der Mediendatei kopiere. Ist hier der Zugriff nur möglich wenn man den genauen Link kennt und über Google und Co ist die Datei nicht zu finden?

    Meine Fragen wären:
    – Was wäre eine sichere Möglichkeit dass unbefugte die Daten (Ausweise) nicht sehen können?
    – Oder wäre der htaccess Eintrag sicherer oder eine andere Möglichkeit?
    – Was kann ich tun damit die Bilder die ich vorher hochgeladen habe wieder sichtbar und die Verknüpfung wieder gefunden werden? Replace Url?

    • Dieses Thema wurde geändert vor 1 Monat, 3 Wochen von morgana17.
    • Dieses Thema wurde geändert vor 1 Monat, 3 Wochen von morgana17.
Ansicht von 9 Antworten – 1 bis 9 (von insgesamt 9)
  • Moderator threadi

    (@threadi)

    Wenn ich das richtig verstehe willst Du von dir hochgeladene Dateien nur auf deiner eigenen Website darstellen bzw. ausgeben, aber verhindern, dass jemand von extern diese einbindet oder gar über Google findet? Stimmt das so?

    Thread-Starter morgana17

    (@morgana17)

    Ja, genau. Es soll ein Formular ausgefüllt werden und in diesem Anmeldeformular soll ein Ausweis hochgeladen werden. Dieser wird nur für interne Zwecke für die Anmeldung gebraucht. Von außen darf kein Zugriff auf die Daten sein.

    Moderator threadi

    (@threadi)

    Ok, das ist eine andere Anforderung als „alle Medien-Dateien schützen“. Dir geht es nur um ganz spezifische einzelne Dateien. Mit welchem Formular-Plugin erstellst Du das Formular? Und welche Möglichkeiten bietet es dir um den Speicherort der hochgeladenen Dateien festzulegen?

    Thread-Starter morgana17

    (@morgana17)

    Ich verwende das Plugin
    https://webnus.net/modern-events-calendar/

    Hier können sich Teilnehmer für Veranstaltungen anmelden und eine Anmeldeformular anmelden. Das Plugin selbst bietet leider keine Möglichkeit den Speicherort zu ändern. Ich habe hier auch schon dem Hersteller geschrieben, dieser hat mir nur die oben genannten „Lösungen“ geschrieben. Diese funktionieren aber leider nicht, oder ich mache hier etwas falsch?

    Habe mich auch schon nach alternativen Plugins geschaut wie z. B.
    https://theeventscalendar.com/
    konnte aber nicht herausfinden ob es hier die Möglichkeit gibt Ausweise sicher hochzuladen.

    Wenn ich google, finde ich kaum Plugins für Kursanmeldungen (das Plugin muss auch nicht kostenlos sein.)

    Am liebsten wäre mir eine Lösung zu finden die Dateien abzusichern, damit ich nicht alles umbauen muss. Für mich wäre es auch ok wenn der komplette Ordner geschützt wird, wenn die anderen Bilder normal angezeigt werden. Aber das geht wahrscheinlich nicht?

    • Diese Antwort wurde geändert vor 1 Monat, 3 Wochen von morgana17.
    Moderator threadi

    (@threadi)

    Wenn Du in dem Plugin einen Speicherort dafür festlegen kannst, dann musst Du nur diesen schützen.

    Kannst Du dort ein beliebiges Verzeichnis in deinem Hosting wählen oder muss es innerhalb von wp-content sein?

    Wie Du den Ordner dann schützen kannst, hängt von deinem Webserver ab. Ist es ein Apache kannst Du eine .htaccess in dem Verzeichnis ablegen. Deren Inhalt wiederum hängt bei einem Apache von der der Apache-Version ab. Bei einem Apache vor Version 2.4 müsste es so aussehen:

    Order Deny,Allow
    Deny from all

    Bei einem Apache ab Version 2.4 so:

    Require all denied

    Das steht so auch im Handbuch von Apache: https://httpd.apache.org/docs/2.4/howto/access.html

    Wenn es ein nginx-Server ist, müsste der Zugriffsschutz in der serverseitigen Konfiguration hinterlegt werden. Dazu gibt es in deren Handbuch hier eine Anleitung: https://docs.nginx.com/nginx/admin-guide/security-controls/controlling-access-proxied-tcp/

    Welchen Webserver du nutzt, kann dir der Support deines Hosters sagen. Der sollte dir auch bei dieser Art der Konfiguration helfen können.

    Sobald Du das konfiguriert bekommen hast, wäre die nächste Herausforderung die Frage wie Du dann selbst überhaupt an diese Dateien kommst. Denn du wirst sie dann nicht per Browser erreichen können. Bei beiden o.g. Wegen für die einzelnen Webserver kann man auch Ausnahmen für einzelne IPs einrichten. Da sich diese jedoch auch ändern, kann das für dich auch ungünstig sein. In jedem Fall wirst Du die Dateien aber per FTP erreichen können.

    Ein alternativer Weg aus WordPress heraus sehe ich für diese sehr individuelle Konfiguration leider nicht. So eine könnte höchstens mit einem individuellen Plugin für dich entwickelt werden. Wenn du so etwas wünschst, such dir einen Programmierer der dich dabei unterstützen kann.

    Thread-Starter morgana17

    (@morgana17)

    danke, einen alternativen Ordner kann ich nicht festlegen, das ist leider das Problem.

    Ich habe auch schon mit meinem Webhoster den Eintrag gesetzt:

    htaccess Eintrag:
    <FilesMatch „\.(pdf|docx|jpg|png|jpeg|gif)$“>
    Order Deny,Allow
    Deny from all
    </FilesMatch>

    Hier werden dann aber alle Bilder in meinem Medien Ordner gesperrt. Und auf der Homepage werden keine Bilder mehr angezeigt.

    Thread-Starter morgana17

    (@morgana17)

    Der Plugin Anbieter erstellt nun einen Passwort geschützten Ordner wo die Daten hingelegt werden.

    Wie lösen den andere das wenn es z. B. um Bewerberdaten mit Anhängen geht? Bitte hier WordPress keine Möglichkeiten, Daten zu schützen?

    Moderator threadi

    (@threadi)

    Nein, dafür gibt es keine Funktionen die WordPress selbst mitbringt. Manche Backup-Plugins wie UpdraftPlus erzeugen für die Verzeichnisse in denen die Backups liegen genau solche Dateien, die den Zugriff per Web schützen. Auch gibt es Plugins, die den Zugriffsschutz für einzelne Medien-Dateien ermöglichen – meist indem sie in einen separaten geschützten Ordner verschoben werden. Leider kann man das gar nicht allgemeingültig lösen, da es auch – wie oben schon beschrieben – verschiedene Webserver mit unterschiedlichen Methoden gibt. Der Betreuer einer WordPress-Website muss hier selbst dran denken und das i.d.R. zusammen mit dem Hostingsupport oder einem Entwickler lösen.

    Thread-Starter morgana17

    (@morgana17)

    ok, vielen Dank für die Info

Ansicht von 9 Antworten – 1 bis 9 (von insgesamt 9)