A Biblioteca de Mídia WordPress é uma ferramenta útil para gerenciar imagens, documentos e conteúdo multimídia. Ele organiza os arquivos carregados em pastas baseadas em datas e cria vários tamanhos de imagem. Todos ótimos recursos para um site básico.

Existem algumas desvantagens, no entanto. A estrutura de arquivos previsível do sistema de gerenciamento de conteúdo (CMS) facilita adivinhar onde um arquivo está armazenado. Por exemplo, um documento orçamental do Reino Unido vazou antes de seu lançamento oficial. Como isso aconteceu? Um jornalista conseguiu adivinhar o nome do arquivo com base na versão do ano passado:

A BBC conseguiu acessar a versão em PDF do principal relatório do OBR às 11h45 de quarta-feira, substituindo a palavra “março” por “novembro” no endereço web de uma edição anterior.

Os mecanismos de pesquisa também podem indexar os arquivos de mídia do seu site. Isso pode ser um benefício para sua estratégia de SEO, mas nem sempre é desejável. Considere um site de membros que exija registro para acessar arquivos específicos. Um usuário pode encontrar um arquivo por meio de pesquisa, anulando o propósito de ocultar arquivos atrás de um login.

Nada disso significa que haja uma falha de segurança. Em vez disso, o WordPress não foi criado pensando no armazenamento de mídia privada. Felizmente, existem maneiras fáceis de melhorar a segurança dos arquivos de mídia.

Vamos revisar algumas ferramentas e técnicas para proteger seus arquivos de mídia do WordPress. Eles manterão seus arquivos longe de olhares indiscretos e podem até economizar largura de banda de hospedagem.

Métodos disponíveis de proteção de arquivos

A primeira coisa a saber sobre como proteger seus arquivos de mídia é que existem vários tipos de proteção. O(s) método(s) que você usará dependerá de suas necessidades específicas. Dividiremos esta seção por cenários comuns.

Observe que nenhuma das opções a seguir garantirá a segurança dos arquivos em situações de alto risco, como o vazamento do governo do Reino Unido acima. Em vez disso, eles são medidas básicas isso tornará mais difícil para alguém (ou algo) acessar seus arquivos.

Com isso em mente, aqui estão algumas maneiras de melhorar a segurança dos arquivos.

Bloquear o acesso direto a arquivos de sites externos (hotlinking)

Digamos que você tenha um arquivo PDF grande em seu site. Por padrão, um site externo pode vincular diretamente a esse arquivo (também conhecido como hotlinking). Pode parecer inofensivo, mas cada vez que um usuário clica nesse link, o acesso ao arquivo é contabilizado na largura de banda da sua hospedagem. Pior ainda, o usuário nunca visita seu site.

A solução é bloquear o acesso ao hotlink no nível do servidor. Adicione o seguinte snippet ao seu site .htaccess arquivo:

# Deny direct access to uploads unless navigated from your  site (change example.com to your domain name)

RewriteEngine On

# Only apply to files inside uploads directory
RewriteCond %{REQUEST_URI} ^/wp-content/uploads/ (NC)

# Allow requests from your own domain
RewriteCond %{HTTP_REFERER} !^https?://(www.)?example.com/  (NC)

# Block direct access to specified file types
RewriteRule .(mp3|mp4|pdf|zip)$ - (F,NC,L)

Se o seu site for executado em um servidor NGINX, adicione este snippet ao nginx.conf arquivo:

# Deny direct access to uploads unless navigated from your  site (change example.com to your domain name)
# File types protected: mp3, mp4, pdf, zip
  location ~* ^/wp-content/uploads/.*.(pdf|zip|mp4|mp3)$ {
  
	valid_referers  none blocked server_names *.example.com example.com;
    if  ($invalid_referer) {
  return 403;
  }
}

Certifique-se de mudar example.com para corresponder ao seu nome de domínio e editar as extensões de arquivo incluídas para atender às suas necessidades.

Observação: Não recomendamos proteger os arquivos de imagem dessa forma, pois isso pode levar a resultados indesejáveis. Por exemplo, você não poderá incluir imagens ou links de arquivos do servidor em seu boletim informativo por e-mail sem adicionar algumas exceções ao código acima.

Evite que os mecanismos de pesquisa indexem seus arquivos de mídia

Arquivos de mídia WordPress carregados podem facilmente acabar nos resultados de pesquisa. Isso pode ser indesejável por alguns motivos:

• Links diretos para arquivos grandes podem consumir largura de banda.
• Os usuários não estão visitando seu site, apenas baixando arquivos.
• Arquivos exclusivos para membros podem ser expostos ao público.

Parte de qualquer estratégia de proteção de arquivos deve incluir a prevenção (ou desencorajamento) da indexação em mecanismos de pesquisa. Como tal, existem alguns métodos para implementar.

Primeiro, podemos adicionar o seguinte ao nosso site robots.txt arquivo para desencorajar o rastreamento do /wp-content/uploads/ pasta:

User-agent: *
Disallow: /wp-content/uploads/

Esse não impedirá a indexação dos seus arquivos, apenas rastreando. O principal benefício é reduzir a carga do seu servidor.

Para prevenir totalmente indexação, podemos usar o X-Robots-Tag cabeçalho.

Para servidores Apache, adicione este snippet ao arquivo do seu site .htaccess arquivo:

# Prevent indexing of media files in /wp-content/uploads/


Header always set  X-Robots-Tag "noindex, nofollow, nosnippet, noarchive"

Os usuários do NGINX podem adicionar isso aos seus nginx.conf arquivo:

# Prevent indexing of media files in /wp-content/uploads/
  location ~*  ^/wp-content/uploads/.*.(pdf|doc|docx|xls|xlsx|ppt|pptx|zip|rar|7z|mp3|m4a|wav|mp4|mov|avi|webm|jpg|jpeg|png|gif|webp|svg)$  {
  add_header  X-Robots-Tag "noindex, nofollow, nosnippet, noarchive" always;
  }

Os métodos acima reduzirão o tráfego de bots e reduzirão a probabilidade de seus arquivos aparecerem nos resultados da pesquisa.

Impedir o acesso às páginas de anexos do WordPress

Por padrão, o WordPress cria uma postagem para cada arquivo de mídia que você carrega. Pode ser útil para alguns casos de uso de nicho, mas na maioria das vezes é um recurso esquecido. Sem mais ações, essas postagens podem ser indexadas pelos motores de busca.

Alguns plug-ins de SEO, como Yoast SEO, RankMathe Tudo em um SEOoferece configurações para desativar páginas de anexos. Esta é a maneira mais simples de impedir que mecanismos de pesquisa ou usuários os acessem.

Além disso, você também pode usar um snippet de código no seu tema functions.php arquivo ou um plugin personalizado. Compartilharemos alguns deles que cobrem cenários comuns.

Retornar um erro 404 nas páginas de anexo:

Se você quiser negar acesso a páginas de anexos, o trecho a seguir fará exatamente isso. Os visitantes verão uma página 404, em vez do anexo.

set_404();
  status_header(  404 );
  nocache_headers();
  
  // Load  your 404 template.
  include  get_query_template( '404' );
  exit;
  } );

Redirecionar páginas de anexo para postagem pai:

Aqui está uma abordagem um pouco diferente que redireciona os usuários para a postagem principal do anexo. Isso é útil para blogs e outras publicações on-line que buscam garantir que os usuários vejam seu conteúdo, em vez de arquivos de mídia.

Se você não precisa de páginas de anexo do WordPress, não há razão para mantê-las por perto. Felizmente, você tem várias opções para dar-lhes força.

Use um plug-in para proteção de arquivos de mídia

Você também pode usar um plugin para proteger seus arquivos de mídia do WordPress. O plugin certo pode executar algumas ou todas as funções acima para manter seus arquivos mais seguros.

Por exemplo, Baixar monitor oferece múltiplas funções, incluindo proteção de arquivos. Entre suas características:

• Desative ou ative pastas específicas para downloads de arquivos.
• Crie URLs gerados aleatoriamente para os arquivos que você deseja proteger.
• A tentativa de acessar um arquivo diretamente resultará em um erro 404.
• Exija que os usuários façam login antes de acessar um arquivo.
• Acompanhe quantas vezes um arquivo foi baixado.

A versão gratuita do plugin cobre casos de uso comuns. Uma versão premium vai além, integrando-se a plug-ins de formulários populares e adicionando proteção CAPTCHA.

Enquanto isso, muitos plug-ins de associação vêm com alguma forma de proteção de arquivos. Confira a documentação do plugin para ver o que está disponível.

Assuma o controle de seus arquivos e ganhe tranquilidade

Existem vários motivos para bloquear seus arquivos de mídia do WordPress, mesmo se você não estiver postando informações confidenciais. Por um lado, o aumento do tráfego de bots de IA significa maior uso de largura de banda. Restringir o acesso a arquivos grandes pode evitar cobranças inesperadas na sua conta de hospedagem.

Além disso, arquivos de mídia e páginas de anexos podem ser retirados do contexto. Um simples redirecionamento pode ajudar, direcionando os usuários para o seu conteúdo. Essa pode ser a diferença entre um visitante ocasional e um leitor fiel. Diga olá para reduzir as taxas de rejeição!

As soluções acima são fáceis de implementar em seu site existente. Além do mais, eles trazem um pouco de paz de espírito. Você não terá que se preocupar com pessoas erradas acessando seus arquivos ou causando um pesadelo de tráfego em seu servidor.

Considere suas necessidades de proteção de arquivos e como elas podem impactar sua estratégia de SEO. A partir daí, você pode criar um plano que funcione para você.

---

Principal