home iconStartseite / wordpress / Das Setzen von $ _SERVER ['HTTPS'] = 'on' verhindert den Zugriff auf wp-admin

Das Setzen von $ _SERVER ['HTTPS'] = 'on' verhindert den Zugriff auf wp-admin

    • vote up icon 18 vote down icon
    • translation icon
    • view icon15518 calendar icon2016-12-23

    Zunächsteinmal sitztmein Server hintereinem Load Balancer. Mein SSL-Zertifikatbefindet sich auf dem Load Balancer und verarbeitet HTTPS. Die an Port 443eingehenden Daten werden über HTTP an Port 80 an den Wordpress-Server weitergeleitet.

    WordPress und PHP kennenmeine Serverkonfigurationjedochnicht. Diesführt dazu,dass der Browser hinsichtlich der Gültigkeitmeinesgültigen SSL-Zertifikatsmisstrauisch wird.

    Um dies zubeheben,habeich denfolgenden Code zufunctions.php hinzugefügt. Ich habe diesen Code hier und den Codex stimmt zu . 

     /**
 * Make PHP HTTPS aware via HTTP_X_FORWARDED_PROTO
 */
if(isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
    $_SERVER['HTTPS']='on';
}

    Diesfunktioniert hervorragendfür das Frontend,aberjetztist der Zugriff auf/wp-admin/auchmit meinem Administratorkontonichtmöglich. Nach dem Anmeldenerhalteich die Meldung "Entschuldigung,Sie dürfennicht auf diese Seite zugreifen." Es wird keine weitere Hilfebereitgestellt.

    Also habeich den Ordner wp-admin durchsucht undfestgestellt,dass die Wörter "Entschuldigung,Sie dürfennicht auf diese Seite zugreifen".erscheinen 17 verschiedene Male.

    Diemeisten dieser Fehlermeldungen sindmit einer Überprüfung der Benutzerberechtigungen verbunden.

    Wie halteich HTTPSeingeschaltet undbehalte den Administratorzugriff?

    Zusammenfassung:

    • Vor dem Hinzufügen der HTTP_X_FORWARDED_PROTO-Logik zufunctions.php kannich auf wp-admin/
      • zugreifen
    • Nach dem Hinzufügen der HTTP_X_FORWARDED_PROTO-Logik zufunctions.php kannichnicht auf wp-admin/
      • zugreifen
    • Nach dem Entfernen der HTTP_X_FORWARDED_PROTO-Logikin functions.php kannichnicht auf wp-admin/
      • zugreifen

    UPDATE:

    Ich habefestgestellt,dass die Fehlermeldung von wp-admin/menu.php und diesem Codeabschnitt unten stammt. Ich habe am Ende des Fehlers menu.php hinzugefügt,um herauszufinden,dasses sich um diese Datei handelt. 

     if ( !user_can_access_admin_page() ) {

    /**
     * Fires when access to an admin page is denied.
     *
     * @since 2.5.0
     */
    do_action( 'admin_page_access_denied' );

    wp_die( __( 'Sorry, you are not allowed to access this page. menu.php'), 403 );
}

    Ich versteheimmernochnicht,wieich dasbeheben soll.

    php wp-admin permissions ssl https
    • Sie sagennicht viel über den Rest Ihrer Konfiguration.Haben Sie `define ('FORCE_SSL_ADMIN',true);`gesetzt?
    • Ich habe 'FORCE_SSL_ADMIN'nicht definiert.Ich werdees versuchen.
    • Siemüssen überprüfen,ob die https-Cookies auch vom Load Balancer über httpgesendet werden.Es klingt wie sienichtgesendet werden.Natürlichmuss auch umgekehrt überprüft werden,ob die von Ihnengesetzten Cookies über https übertragen werden

1  Antworten

  • Stimmen
    • accept answer icon
    • translation icon
    • calendar icon 2016-12-24

    Besonderer Dankgeht an user42826.

    Gemäß dem Kodex:

    Wenn WordPress hintereinem Reverse-Proxygehostet wird,der SSLbereitstellt,aber selbst ohne SSLgehostet wird,senden diese Optionen zunächst alle Anforderungenin eine Endlosumleitungsschleife. Um dies zu vermeiden,können Sie WordPress so konfigurieren,dass der HTTP_X_FORWARDED_PROTO-Headererkannt wird (vorausgesetzt,Sie haben den Reverse-Proxy ordnungsgemäß konfiguriert,um diesen Headerfestzulegen).

    Diefolgenden Aktionen lösen das Problem.

    Fügen Sie dies zu wp-config.php hinzu. ( Codex-Referenz ) 

     /* SSL Settings */
define('FORCE_SSL_ADMIN', true);

/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

    Entfernen Sie dies ausfunctions.php,da diesnichterforderlichist. 

     /**
 * Make PHP HTTPS aware via HTTP_X_FORWARDED_PROTO
 */
if(isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
    $_SERVER['HTTPS']='on';
}
    • Der Grund dafürist,dass Cookiesfür sichere Sitzungen hinter dem Load Balancer verlorengehen,da LB SSL ausführt,das Backendjedochnur httpist.Schön zu sehen,dass andere an Architekturen auf Unternehmensebene arbeiten;)
    • @ user42826 Das Schöne an diesem Setupist,dassich FORCE_SSL_ADMINeinfach auskommentieren kann,wennich den Administratorzugriff verbietenmöchte,odergibt es andere Nebenwirkungen,diemich veranlassen sollten,diese Denkweise zu überdenken?
    • In Ihrem Setup klingtes so,als würde das Nicht-Setzen von FORCE_SSL_ADMIN den Administratorzugriff verhindern. Abhängig von Ihren Anforderungengibt esjedochbessere Möglichkeiten,dies zutun.Beispiele: Verhindern Sie den Zugriff von wp-admin oder wp-login.phpin der .htaccess- oder Apache-Konfiguration,entfernen Sie dienative WP-Authentifizierung über das Plugin,erstellen Sie die WPneu,sodass sich die wp-admin-URL von der öffentlichen URL unterscheidet
    • Stellen Sie sicher,dass Sie diesen Code vor der Zeile `require_once (ABSPATH. 'Wp-settings.php');` hinzufügen.[Besonderer Dankgeht anjtlin dieser Antwort.] (Https://wordpress.stackexchange.com/a/263461/78043)
    • @ Aaroninus danke,ich verwende Cloudflareflexible SSL und ohne Ihren Kommentar hätteich wieder Zeit damit verbracht,zu suchen.Ich habe diese verwandte Frage zuvorgefunden: https://wordpress.stackexchange.com/questions/170165/wordpress-wp-admin-https-redirect-loop
    • Esfunktionierte auf Amazon Instanz.Hatte Mühe,den Codenach oben zu verschieben,hat den Jobgemacht.