home iconホーム / wordpress / $ _SERVER ['HTTPS'] = 'on'を設定すると、wp-adminへのアクセスが防止されます

$ _SERVER ['HTTPS'] = 'on'を設定すると、wp-adminへのアクセスが防止されます

    • vote up icon 18 vote down icon
    • translation icon
    • view icon15518 calendar icon2016-12-23

    最初に、サーバーはロードバランサーの後ろにあります.私のSSL証明書はロードバランサーにあり、HTTPSを処理します.ポート443で受信したデータは、ポート80でHTTPを使用してWordpressサーバーに転送されます.

    しかし、wordpressとphpは私のサーバー構成を知りません.これにより、ブラウザは私の有効なSSL証明書の有効性について疑わしくなります.

    これを修正するために、functions.phpに次のコードを追加しました.このここのコードとコーデックスは同意します.

     /**
 * Make PHP HTTPS aware via HTTP_X_FORWARDED_PROTO
 */
if(isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
    $_SERVER['HTTPS']='on';
}

    これはフロントエンドではうまく機能しますが、管理者アカウントでも/wp-admin/にアクセスできなくなりました.ログイン後、「申し訳ありませんが、このページへのアクセスは許可されていません」というメッセージが表示されます.他のヘルプは提供されていません.

    そこで、wp-adminフォルダーを検索したところ、「申し訳ありませんが、このページへのアクセスは許可されていません」という単語が見つかりました. 17回出現します.

    これらのエラーメッセージのほとんどは、ユーザー権限チェックに関連しています.

    HTTPSを「オン」にして管理者アクセスを維持するにはどうすればよいですか?

    概要:

    • HTTP_X_FORWARDED_PROTOロジックをfunctions.phpに追加する前に、wp-admin/にアクセスできます
    • functions.phpにHTTP_X_FORWARDED_PROTOロジックを追加した後、wp-admin/にアクセスできません
    • functions.phpからHTTP_X_FORWARDED_PROTOロジックを削除した後、wp-admin/にアクセスできません

    更新:

    エラーメッセージがwp-admin/menu.phpからのものであり、このコードのチャンクが下部にあることを発見しました.エラーの最後にmenu.phpを追加して、それがこのファイルであることを確認しました.

     if ( !user_can_access_admin_page() ) {

    /**
     * Fires when access to an admin page is denied.
     *
     * @since 2.5.0
     */
    do_action( 'admin_page_access_denied' );

    wp_die( __( 'Sorry, you are not allowed to access this page. menu.php'), 403 );
}

    これを修正する方法がまだわかりません.

    php wp-admin permissions ssl https
    • 残りの構成についてはあまり言いません.`define( 'FORCE_SSL_ADMIN'、true);`を設定しましたか
    • 'FORCE_SSL_ADMIN'を定義しませんでした.やってみます.
    • httpsCookieがhttp経由でロードバランサーからも送信されることを確認する必要があります.送信されていないようです.明らかに、逆にチェックする必要があります.設定したCookieがhttps経由で転送されていることです.

1  回答

  • 投票
    • accept answer icon
    • translation icon
    • calendar icon 2016-12-24

    user42826に感謝します.

    コーデックスによると:

    WordPressがSSLを提供するリバースプロキシの背後でホストされているが、SSLなしでそれ自体がホストされている場合、これらのオプションは最初にすべてのリクエストを無限のリダイレクトループに送信します.これを回避するには、HTTP_X_FORWARDED_PROTOヘッダーを認識するようにWordPressを構成します(そのヘッダーを設定するようにリバースプロキシを適切に構成していることを前提としています).

    次のアクションで問題が解決します.

    これをwp-config.phpに追加します. (コーデックスリファレンス)

     /* SSL Settings */
define('FORCE_SSL_ADMIN', true);

/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

    これは不要なので、functions.phpから削除してください.

     /**
 * Make PHP HTTPS aware via HTTP_X_FORWARDED_PROTO
 */
if(isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
    $_SERVER['HTTPS']='on';
}
    • その理由は、LBがSSLを実行しているが、バックエンドがプレーンhttpであるため、ロードバランサーの背後でセキュアセッションCookieが失われるためです.他の人がエンタープライズレベルのアーキテクチャに取り組んでいるのを見るのはうれしいです;)
    • @ user42826この設定の良いところは、管理者アクセスを禁止したい場合にFORCE_SSL_ADMINをコメントアウトできることです.または、この考え方を再考する原因となる他の副作用はありますか?
    • セットアップでは、FORCE_SSL_ADMINを設定しないと管理者アクセスが妨げられるように聞こえますが、要件に応じてそれを行うためのより良い方法があります.例:.htaccessまたはapache configでwp-adminまたはwp-login.phpアクセスを防止し、プラグインを介してWPネイティブ認証を削除し、wp-adminurlがpublicurlと異なるようにWPを再構築します.
    • `require_once(ABSPATH.'wp-settings.php ');`行の前にこのコードを追加してください.[この回答のjtlに特に感謝します.](https://wordpress.stackexchange.com/a/263461/78043)
    • @Aaroninusありがとう、私はCloudflareフレキシブルSSLを使用しています.コメントがなければ、もう一度検索することに時間を費やしていたでしょう.私は以前にこの関連する質問を見つけました:https://wordpress.stackexchange.com/questions/170165/wordpress-wp-admin-https-redirect-loop
    • アマゾンインスタンスで動作しました.コードを一番上に移動するのに苦労していました.