主页 / server / 问题 / 43674
Accepted
James F
Asked: 2009-07-22 10:14:19 +0800 CST

保护备用端口上的 Wordpress 管理界面

  • 772

我有一个自托管的 Wordpress 博客。只要有可能,我都会尝试使用 SSL 和 X.509 客户端证书身份验证来保护 Web 应用程序的管理界面。对于 phpMyAdmin 之类的东西,我的所有这些都可以正常工作,因此 Web 服务器的技术位都已到位。

我的主机设置是:

  • nginx 0.7.x
  • 带有 fpm 补丁的 PHP 5.2.10
  • MySQL 5.x

我在 VPS 上运行所有这些,所以我只有一个外部 IP。我在盒子上运行了其他几个 SSL 网站:一个在默认端口上,所有其他网站在备用端口上(这样每个网站都可以拥有与其主机名匹配的不同证书)。

我的意图是有两个服务器配置块:

  1. 如果您尝试访问 /wp-admin 下的任何内容,则一个服务 blog.domain.com 端口 80 返回 404
  2. 另一个在端口 8443 上运行,没有 URL 限制,但需要提供有效的 X.509 客户端证书。

我面临的问题是 Wordpress 不喜欢在两个不同的端口上访问。每当我尝试访问https://blog.domain.com:8443时,它会将我重定向到https://blog.domain.com,这完全是一个不同的虚拟主机(服务器上的主站点,默认运行港口)。然后,我在浏览器中收到证书名称错误,即使我覆盖了警告,我也不再与 wordpress 网站交谈。

博客的主 URL 存储在 wp_options 表中:

mysql> select option_value from wp_options where option_name = 'siteurl';
+------------------------------+
| option_value                 |
+------------------------------+
| http://blog.domain.com       |
+------------------------------+
1 row in set (0.00 sec)

mysql>

所以我不能只制作博客文件的第二份副本,并将主 URL 设置为https://blog.domain.com:8443并以这种方式访问​​管理界面。

有任何想法吗?

更新

在使用建议的答案玩了一段时间后,我得出的结论是不可能完全按照我的意愿去做。启用 wordpress 中的功能会导致用户向 /wp-(admin|login|register) 发出 SSL 请求,如果我在 SSL 端需要 X.509 客户端证书,他们就无法做到这一点。

我想出的最佳解决方案是设置一个带有证书身份验证的 SSL 前端,它只是将请求代理回非 SSL nginx。即使这样,我也不能完全切断对 /wp-admin 的非 SSL 访问,因为用户注册和配置文件管理中使用的大部分 CSS 和 Javascript 都来自该目录。

我可以允许通过 HTTP 访问 /wp-admin 下的 CSS、图像和 Javascript,并且只需要对 PHP 脚本进行 SSL 访问,但是用户不能修改他们的配置文件(配色方案、显示名称等)。下一步将是识别普通用户所需的 PHP 脚本子集,并让那些通过 HTTP 而拒绝其余的,但是如果他们重新组织事情,我将成为 wordpress 开发团队的奴隶。

我想这归结为训练自己只通过 SSL 管理博客,即使服务器允许我通过纯 HTTP 这样做。

mysql nginx wordpress

3 个回答

  1. 我面临着类似的问题,我使用 wordpress 已经很长时间了,并且想强制 /wp-admin/ 通过 SSL 工作。

    所以我做了 :

    RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/(wp-login.php|wp-admin/) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    这几乎可以工作了。当我转到http://website/wp-admin/时,我通过 SSL 重定向到 wp-login.php,但是在登录过程之后,我被重定向到https://website/http://website/wp-admin/(这不是错字),因为 wordpress 使用内部重定向不适用于重写规则。
    通过再次加载http://website/wp-admin/我被重定向到https://website/wp-admin/并且一切正常。

    但在最近的 Wordpress 发布之前,还有另一个问题,在 wp-login.php 页面上,登录表单操作设置为http://website/wp-login.php。所以登录信息是明文发送的。(因此需要修补 wp-login.php)

    最近(从 2.6.0 开始)的 Wordpress 版本添加了一个FORCE_SSL_LOGIN设置。define ('FORCE_SSL_LOGIN','true');放入 wp-config.php 将使 wp-login.php 上的表单操作变为https://website/wp-login.php(在 wp-login.php 中稍作更改,您可以添加:8443)

    所以使用 `FORCE_SSL_LOGIN + rewrite 是安全的,但我仍然需要在登录过程后重新加载 wp-admin url。

    2.6.0 还添加FORCE_SSL_ADMIN,但是当我将其设置为 true(配置或配置我的重写)时,我无限期地重定向到http://website/wp-admin/ 所以你可以尝试将 FORCE_SSL_LOGIN 设置为 true 并修补 wp-login .php 使用端口 8443,你也可以尝试 FORCE_SSL_ADMIN (我还不知道为什么它对我不起作用,可能对你有用)

    • 1
  2. Best Answer

    这可能会对您有所帮助,从 wordpress 2.6 开始,您可以强制管理和登录区域为 ssled。

    http://codex.wordpress.org/Administration_Over_SSL

      define('FORCE_SSL_LOGIN', true);
  define('FORCE_SSL_ADMIN', true);

    有时,您希望整个 wp-admin 使用 https 协议在安全连接上运行。从概念上讲,该过程的工作方式如下:

    设置两个具有相同 url(博客 url)的虚拟主机,一个安全,另一个不安全。在安全的虚拟主机上,设置一个重写规则,将所有非 wp-admin 流量传送到不安全的站点。在不安全的虚拟主机上,设置一个重写规则,将所有到 wp-admin 的流量传送到安全主机。放入一个过滤器(通过插件)过滤 wp-admin 中的链接,以便一旦激活,管理链接将被重写以使用 https 并编辑 cookie 以仅在加密连接上工作。

    他们提到的插件称为admin ssl

    • 1

  3. 嗯...我怀疑这需要修改 wordpress 以将 wp-admin 部分与主站点分开,据我所知,它不是设计的。

    你不能设置一个安全的 SSL 虚拟主机(使用相同的 docroot)然后通过 .htaccess 魔法(我以前做过)强制所有 /wp-admin 请求通过 https 而不是 http 吗?

    这显然并没有将整个管理部分分开,但至少它意味着未加密的流量被停止了。

    • 0

相关问题