home iconAccueil / wordpress / Le réglage de $ _SERVER ['HTTPS'] = 'on' empêche l'accès à wp-admin

Le réglage de $ _SERVER ['HTTPS'] = 'on' empêche l'accès à wp-admin

    • vote up icon 18 vote down icon
    • translation icon
    • view icon15518 calendar icon2016-12-23

    Tout d'abord,mon serveur setrouve derrière un équilibreur de charge. Mon certificat SSL setrouve sur l'équilibreur de chargeet gère HTTPS. Les données arrivant sur leport 443 sonttransmises au serveur Wordpressen utilisant HTTP sur leport 80.

    Cependant,wordpresset phpne connaissentpas la configuration demon serveur. Cela amène lenavigateur à seméfier de la validité demon certificat SSL valide.

    Pour résoudre ceproblème,j'ai ajouté le code suivant àfunctions.php. J'aitrouvé ce codeici et le codexest d'accord . 

     /**
 * Make PHP HTTPS aware via HTTP_X_FORWARDED_PROTO
 */
if(isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
    $_SERVER['HTTPS']='on';
}

    Celafonctionnetrèsbien pour lefrontend,maismaintenant le/wp-admin/estinaccessiblemême avecmon compte Admin. Unefois connecté,je reçois unmessage "Désolé,vousn'êtespas autorisé à accéder à cettepage." Aucune autre aiden'estfournie.

    J'ai donc cherché dans le dossier wp-adminet découvert que lesmots "Désolé,vousn'êtespas autorisé à accéder à cettepage." apparaissent 17fois différentes.

    Laplupart de cesmessages d'erreur sont associés à une vérification des autorisations utilisateur.

    Commentpuis-jegarder HTTPS "activé"et conserver l'accès administrateur?

    Résumé:

    • Avant d'ajouter la logique HTTP_X_FORWARDED_PROTO àfunctions.php,je peux accéder à wp-admin/
    • Après avoir ajouté la logique HTTP_X_FORWARDED_PROTO àfunctions.php,je nepeuxpas accéder à wp-admin/
    • Après avoir supprimé la logique HTTP_X_FORWARDED_PROTO dansfunctions.php,je nepeuxpas accéder à wp-admin/

    MISE À JOUR:

    J'ai découvert que lemessage d'erreur vient de wp-admin/menu.phpet de cemorceau de codeen bas. J'ai ajouté menu.php à lafin de l'erreurpour comprendre qu'il s'agissait de cefichier. 

     if ( !user_can_access_admin_page() ) {

    /**
     * Fires when access to an admin page is denied.
     *
     * @since 2.5.0
     */
    do_action( 'admin_page_access_denied' );

    wp_die( __( 'Sorry, you are not allowed to access this page. menu.php'), 403 );
}

    Jene comprendstoujourspas comment résoudre ceproblème.

    php wp-admin permissions ssl https
    • Vousne parlezpasbeaucoup du reste de votre configuration.Avez-vous défini `define ('FORCE_SSL_ADMIN',true);`
    • Jen'aipas défini «FORCE_SSL_ADMIN».Je vaisessayer.
    • vous devez vérifier que les cookies https sont égalementenvoyés depuis l'équilibreur de charge via http.On dirait qu'ilsne sontpasenvoyés.Évidemment,l'inverse doit également être vérifié,les cookies que vous définissez sont-ilstransférés via https?

1  réponses

  • votes
    • accept answer icon
    • translation icon
    • calendar icon 2016-12-24

    Unmerci spécial à user42826.

    Selon le codex:

    Si WordPressest hébergé derrière unproxyinverse quifournit SSL,maisest hébergé lui-même sans SSL,ces optionsenverrontinitialementtoutes les requêtes dans uneboucle de redirectioninfinie. Pour éviter cela,vouspouvez configurer WordPresspour reconnaître l'en-tête HTTP_X_FORWARDED_PROTO (en supposant que vous avez correctement configuré leproxyinversepour définir ceten-tête).

    Les actions suivantes résoudront leproblème.

    Ajoutez ceci à wp-config.php. ( référence du codex ) 

     /* SSL Settings */
define('FORCE_SSL_ADMIN', true);

/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

    Supprimez ceci defunctions.php car celan'estpasnécessaire. 

     /**
 * Make PHP HTTPS aware via HTTP_X_FORWARDED_PROTO
 */
if(isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
    $_SERVER['HTTPS']='on';
}
    • La raisonen est que les cookies de sessions sécurisées sontperdus lorsqu'ils sont derrière l'équilibreur de charge,car LB utilise SSLmais lebackendestpurement http.Ravi de voir d'autrespersonnestravailler sur des architectures auniveau de l'entreprise;)
    • @ user42826 Ce quiestbien avec cette configuration,c'est queje peux simplement commenter FORCE_SSL_ADMIN sije veuxinterdire l'accès administrateur,ou y a-t-il d'autreseffets secondaires qui devraientme pousser à reconsidérer cette ligne depensée?
    • Dans votre configuration,il semble quene pas définir FORCE_SSL_ADMINempêche l'accès administrateur,maisilexiste demeilleuresfaçons de lefaireen fonction de vosbesoins.Exemples:empêcher l'accès wp-admin ou wp-login.php dans .htaccess ou apache config,supprimer l'authentificationnative WP via leplugin,réarchitecture WP afin que l'url wp-admin soit différente de l'urlpublique,etc.
    • Assurez-vous d'ajouter ce code avant la ligne `require_once (ABSPATH. 'Wp-settings.php');`.[Remerciementsparticuliers àjtlpour cette réponse.] (Https://wordpress.stackexchange.com/a/263461/78043)
    • @Aaroninusmerci,j'utilise le SSLflexible Cloudflareet sans votre commentaire,j'auraispassé dutemps à chercher ànouveau.J'aitrouvé cette question connexeprécédemment: https://wordpress.stackexchange.com/questions/170165/wordpress-wp-admin-https-redirect-loop
    • Cela afonctionné sur l'instance Amazon.Avait dumal à déplacer le code vers le hautfait letravail.