1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WordPress https - Server Einstellungen für Betrieb?

Dieses Thema im Forum "Konfiguration" wurde erstellt von AlexanderKramer, 27. Mai 2014.

Schlagworte:
  1. AlexanderKramer

    AlexanderKramer New Member

    Registriert seit:
    4. April 2012
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo Forum.

    Diesmal stehe ich vor einem Problem das ich leider momentan noch nicht ganz verstehe - zudem fehlt mir auch zu diesem Thema das Wissen der Funktionsweise. Daher hoffe ich, dass mir das WP Forum weiterhelfen kann.

    Ich schreibe erst einmal stichwortartig auf was wir haben und um was es geht:


    • Admin-Login und Administrationsoberfläche sollen künftig ausschließlich über https laufen
    • SSL Zertifikat vorhanden - funktioniert
    • Wir haben eine Seite auf einem Server auf dem ich keine Einsicht/keinen Zugriff habe (WP 3.8x derzeit)
    • Per https ist die Seite zwar aufrufbar, jedoch werden css Dateien und Grafiken nicht geladen - im Quellcode ist auch zu erkennen, dass die Links nicht zu https umgewandelt werden
    • Anmelden per https nicht möglich, auch wenn die Login-Seite ohne CSS/Grafiken angezeigt wird

    So. Auf einem Testserver (ebenfalls mit gültigem Zertifikat und WP 3.9, ansonsten selbe Seite mit den selben Plugins) ist die Seite per https aufrufbar. Login möglich und die http Links wandelt WP auch in https um.

    Nun die Fragen:

    • Kann mir jemand erklären wie WordPress diesen Vorgang regelt? (diese Information wäre hilfreich da wir nicht nur keinen Zugriff auf den Server haben - sondern auch einen besonders kritischen Admin der wohl nicht viel von diesen "neumodischen Webseiten und CMS System" hält) Wäre sehr hilfreich da eine Referenz zu haben.
    • Hat jemand irgend eine Idee was der Admin am Server umgestellt/angestellt/abgestellt haben könnte, dass WordPress das Ganze nicht mehr ordentlich regeln kann?


    Vielen Dank schon mal!

    Grüße,
    Alex
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    mit der Funktion

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    prüft Wordpress ob es eine SSL Verbindung ist. d.h.

    $_SERVER['HTTPS'] sollte on sein. einige Massenhoster schreiben sinnigerweise eine '1' :( oder Trolle stellen bei SSL Verbindungen keine $_SERVER['HTTPS'] zur Verfüung sondern verwenden eine andere Variable. Sollte dies so sein, prüft Wordpress ob der Server auf Port 443 läuft.

    wenn $_SERVER['SERVER_PORT'] nicht zur Verfügung steht (empfindliche stellen keine Port-Informationen zur Verfügung) und $_SERVER['HTTPS'] nicht 1 oder on ist - wird dein Wordpress nicht erkennen können, ob die Verbindung über SSL ist oder nicht.

    mit
    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    oder
    phpinfo(INFO_VARIABLES);


    unter ssl-Verbindung sucht man sich dann eine Varibale aus, die nur unter SSL vorhanden ist:

    Beispiele:

    HTTP_X_FORWARDED_SSL
    HTTP_SSLSESSIONID
    HTTP_X_FORWARDED_HOST
    HTTP_X_FORWARDED_BY

    wenn die Varbaile gefunden ist die Funktion is_ssl in wordpress ändern und sich einen Provider suchen, der HTTPS on unter SSL verbindung zur Verfügung stellt.

    Hoffe, mein Raten hat dir geholfen

    Ralf
     
  3. AlexanderKramer

    AlexanderKramer New Member

    Registriert seit:
    4. April 2012
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo Ralf,

    genau so habe ich mir eine Antwort erhofft.
    Vielen, vielen Dank für diese ausführliche Antwort!

    Da ich keinen Zugriff habe geben wir das nun mal so weiter und schauen ob es daran liegt. Riecht zumindest schon schwer danach und liegt eindeutig im Bereich des möglichen bei dem besagten Server. :)

    Gruß,
    Alex
     
  4. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Warum lasst ihr nicht die ganze Seite per https laufen, da wäre die Konfiguration eigentlich recht einfach.
     
  5. AlexanderKramer

    AlexanderKramer New Member

    Registriert seit:
    4. April 2012
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo.

    Ich muss dieses Thema noch einmal aufwärmen.
    A: Man möchte wohl die ganze Seite nicht auf https laufen lassen. Ob das eine Option ist muss man noch sehen.

    Was mich noch brennend interessiert: Diese Variable oder Prüfung freizuschalten. Ist das ein Sicherheitsrisiko? (bitte auch Kontrollfreak-Anforderungen berücksichtigen)
    Das ist doch eigentlich nur eine "Kontroll Variable" oder?

    Oder könnte man das auch umgehen.. irgendwie.. wenn man SSL/HTTPS nur im Admin-Bereich möchte?

    Gruß,
    Alex
     
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    Man schaltet bei SSl keine Variable zusätzlich frei. Wenn du SSL in deinem WebServer verwendest, stehen unter SSL-Verbindung *neue* Variablen zur Verfügung, die nur unter SSL - zur Verfügung stehen.

    Sinnvoll und richtig ist:
    $_SERVER['HTTPS'] = on

    oder der Port:
    $_SERVER['SERVER_PORT'] = '443'

    wenn amn aus Kostengründen irgendeinen Schrott verwendet und Personen ohne Ahnung dran läßt, muss man das Script von Worpdress ändern.

    Typische Umgebungsvariabelen sind
    HTTP_X_FORWARDED_SSL
    HTTP_SSLSESSIONID
    HTTP_X_FORWARDED_HOST
    HTTP_X_FORWARDED_BY
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden