Arquivo .htaccess impedindo a visualização dos comprovantes Pix

  • Resolved marcelosanches

    (@marcelosanches)


    2 years, 12 months ago

    Fala pessoal, tudo bem?

    Primeiramente parabéns pelo plugin, está cada dia melhor!

    Só um aviso que estava lidando aqui com o plugin, ao habilitar os comprovantes do pix, o plugin criou uma pasta no diretório: site/wp-content/pix-por-piggly/

    Nesta pasta, há um .htaccess que havia um código de bloqueio que levava a um erro 403 quando eu tentava acessar os comprovantes diretamente do menu do WordPress.

    O que acontecia é que, após configurado o formulário dos comprovantes e enviado os comprovantes para o site, quando eu tentava acessá-los pelo menu ‘WooCommerce -> Comprovantes Pix” ele me dava “Erro 403 – Acesso negado”.

    Este erro era devido a este .htaccess que continha uma linha de código bloqueando o acesso, após pedir ajuda para o pessoal da hospedagem para tentar definir se o erro era por conta de algum bloqueio do servidor, foi me dito que o arquivo havia sido criado pelo próprio plugin.

    Então decidi deixar o relato aqui para vocês, caso alguém tenha o mesmo problema, ou se for alguma coisa para o time de desenvolvimento ficar de olho para a próxima atualização.

    Um abraço!

Viewing 5 replies - 1 through 5 (of 5 total)
  • Plugin Author Piggly Dev

    (@pigglydev)

    2 years, 12 months ago

    Bem, vamos lá! Os QR Codes e os comprovantes tem informações sensíveis que, de forma alguma, devem ser expostas a terceiros.

    Os arquivos .htaccess criados pelo plugin bloqueiam os índices da pasta. Isto é, não permitem que qualquer pessoa consiga “escanear” as pastas wp-content/pix-por-piggly/ e visualizar os arquivos dentro dessas pastas sem conhecer o nome do arquivo.

    Então, vamos supor que alguém tente acessar https://seudominio.com.br/wp-content/pix-por-piggly/qr-codes/… será retornado o erro 403, impedindo o acesso direto a pasta.

    Mas, as configurações do .htaccess não impedem o acesso a um arquivo que existe dentro dessas pastas. Recomendamos que não exclua eles para não expor os arquivos a uma listagem simples, assim é necessário conhecer o nome do arquivo para visualizá-lo.

    Plugin Author Piggly Dev

    (@pigglydev)

    2 years, 12 months ago

    Depois de analisar @marcelosanches, entendemos o que está acontecendo. O arquivo .htaccess na verdade estava sendo criado como uma pasta e não como um arquivo. Já lançamos a atualização 1.3.7 que corrige isso.

    Salientamos ainda que não é recomendado excluir os arquivos .htaccess.

    Thread Starter marcelosanches

    (@marcelosanches)

    2 years, 12 months ago

    Oi pessoal, tudo bem?

    Então, eu concordo 100% com vocês, só que quando pedi o auxílio da galera da hospedagem, eles apagaram a linha de código do .htaccess pra resolver o problema. Poderiam me mandar só o arquivo .htaccess para eu substituir na pasta?

    Eu atualizei para a versão mas o arquivo continua com o .htaccess vazio, achei que na atualização fosse sobrescrever o arquivo mas não aconteceu.

    É melhor prevenir isso que vocês disseram sobre qualquer pessoa ter acesso aos arquivos do WP por estarem públicos.

    Se puderem, meu e-mail é: marcelo.reis.sanches@gmail.com, podem me mandar só a linha de código também que eu adiciono no .htaccess, o problema maior é que agora que apagaram, está vazio :$. Pior que nem avisaram nada, só deletaram e ‘resolvido’.

    Se vcs não me avisam, ia me dar mal.

    Um abraço!

    Plugin Author Piggly Dev

    (@pigglydev)

    2 years, 12 months ago

    Claro @marcelosanches, sem dúvidas. Basta criar os arquivos .htaccess com a única linha Options -Indexes, nas seguintes pastas:

    • /wp-content/pix-por-piggly/
    • /wp-content/pix-por-piggly/qr-codes
    • /wp-content/pix-por-piggly/receipts

    Nota: A instrução Options -Indexes, lembrando, impede que terceiros façam uma listagem dos arquivos disponíveis na pasta. Dessa forma, só será possível abrir um arquivo se você tiver o nome exato dele. Se seu servidor Apache está bem configurado, você não vai precisar dessas configurações.

    Em breve, devemos lançar uma atualização mais robusta para tornar esses arquivos ainda mais ocultos e seguros.

    Thread Starter marcelosanches

    (@marcelosanches)

    2 years, 12 months ago

    Gente, vcs são perfeitos.

    Muito obrigado mesmo! Já fiz as alterações no .htaccess que mexeram e já voltou ao normal.
    Muitíssimo obrigado e parabéns novamente pelo ótimo trabalho.
    Se eu encontrar mais alguma coisa faço questão de vir avisar para vocês.

    Um abraço!

Viewing 5 replies - 1 through 5 (of 5 total)
  • The topic ‘Arquivo .htaccess impedindo a visualização dos comprovantes Pix’ is closed to new replies.

Tags