Easy Digital Downloads versión 1.1.5 se lanzó hace unos minutos y uno de los enfoques de esta versión fueron las mejoras en la seguridad de los archivos.
Hace unos días, un usuario informó que había encontrado una falla de seguridad masiva en el plugin que permitía a los visitantes del sitio encontrar y navegar (y descargar) cualquier archivo de descarga de producto sin comprarlos. Esta falla fue causada principalmente por un error en el plugin, pero también por una omisión de mi parte cuando configuré originalmente la estructura de almacenamiento de archivos.
Con algunos cambios sencillos, este problema se ha resuelto y sus archivos son mucho más seguros. Ahora se evita la navegación por directorios con un sistema redundante de archivos .htaccess (para servidores Apache) y archivos index.php en blanco para todos los demás tipos de servidor. Los archivos necesarios para proteger sus archivos de descarga se crearán cuando instale la actualización 1.1.5.
Además de las mejoras de seguridad, también se realizaron mejoras significativas en el sistema de códigos de descuento para que los compradores solo puedan usar un código de descuento una vez, en lugar de poder usar el mismo código una y otra vez para cada compra.
Another major upgrade was added that allows you to display a list of download links on the “success” page after a user completes the purchase. This option is primarily designed for sites that process all orders as guests (where the users don’t log in). This update will allow guest buyers to download their files immediately after purchase, without having to check their email. You will find this option in Downloads > Settings > General, as shown below:
El registro de cambios completo está a continuación:
- Archivos de idioma predeterminados actualizados
- Se cambió la etiqueta "Página de compra" por "Página de pago" en la configuración
- Se solucionó un problema con la entrega de archivos de descarga
- Se corrigió un error que provocaba que las imágenes se rompieran al subirlas a productos de descarga
- Se realizaron importantes mejoras de seguridad para proteger los archivos contra descargas no autorizadas
- Descuentos actualizados para que los usuarios solo puedan usar un código de descuento una vez
- Los títulos de descarga ahora se decodifican para entidades HTML en el historial de pagos
- Se actualizó el historial de pagos para corregir un aviso de error cuando no se encuentra un usuario
- Se agregó una nueva opción para mostrar enlaces de descarga en la página de éxito después de completar un pago
- Se corrigieron un par de errores de índice indefinido
- Se agregaron precios de artículos al widget del carrito
- Se agregó soporte para la moneda Rial iraní. Asegúrese de que su pasarela lo admita antes de usarlo
- Se actualizó edd_remove_item_url() para usar la URL de la página actual en lugar de la URL de inicio
- Se agregó la nueva función edd_get_current_page_url()
- Se hizo que el tipo de publicación edd_payment no fuera público
- Archivos de idioma francés actualizados
