通过 wp-config.php 在 wordpress 上正确强制 SSL
如果我编辑wp-config.php我应该添加:
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);
但是,我的网站有.htaccess规则,可以在整个网站上强制使用 https 和 www:
Options +FollowSymlinks
RewriteEngine On
RewriteCond %{SERVER_PORT} 80 [OR]
RewriteCond %{HTTP_HOST} ^website.com
RewriteRule ^(.*)$ https://www.website.com/$1 [L,R=301]
我知道还有其他重写器可用,但又不确定哪个是正确的。
我应该在wp-config.php使用以下哪三个
1 – 不带 isset(),带大括号,带 server_port
if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
$_SERVER['HTTPS'] = 'on';
$_SERVER['SERVER_PORT'] = 443;
}
2 – 没有大括号和没有 server_port?
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
$_SERVER['HTTPS'] = 'on';
3 – 需要大括号/更好还是“更正确”并且需要 server_port 吗?
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
$_SERVER['HTTPS'] = 'on';
$_SERVER['SERVER_PORT'] = 443;
}
我在互联网上发现了一些其他略有不同的关于 wordpress SSL 的变体,但我无法弄清楚哪个是正确的/主要的……
解决方案
在这种情况下,PHP 代码根本不必处理 SSL。 这里应用了经典的SoC原则:如果您的代码没有明确地使用连接(在 WP 中它没有),您应该将协议检查留给 Web 服务器。
您还应该避免在重写规则中定义端口。 如果您不使用多站点 WP 设置,您可以尝试:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
我用过这个。 可以继续。
if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
$_SERVER['HTTPS']='on';
如果您的服务器端口与 443 不同,您可以指定它。 否则,无需再次使用它。
更正的 .htaccess 规则:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://mysslcertdomainname.com/$1 [R,L]
通常,Wordpress 不需要您的代码示例 (1,2,3),但看起来您有某种基于问题的代理。
- 不好如果 Web 服务器未设置
HTTP_X_FORWARDED_PROTO生成 PHP 警告(标准 php 配置)。 - 在检查值之前, Good Checks 变量存在。 不产生警告。
- 好最好**
** 作为一般规则,不鼓励更改_SERVER变量(如SERVER_PORT和HTTPS ),除非您有一个不太常见的设置(即在代理后面 – 这是任何此代码的唯一原因)。
为此,我必须注释掉$_SERVER['HTTPS']='on';行周围的 if 语句行$_SERVER['HTTPS']='on';
我正在使用 Zevenet CE 5.9,它不提供 x-forwarded-for 或 x-forwarded-proto 的选项,因此为了将它放在反向代理后面,我们只是以这种方式强制 https :)。
如果您使用 docker 并避免手动配置(由人工),这对我有用:
if ( getenv('ENABLE_HTTPS') === "true" ) {
define( 'FORCE_SSL_ADMIN', true );
$_SERVER['HTTPS']='on';
}
我只需要传递一个新变量ENABLE_HTTPS
docker run -d --name wordpress -it --rm -p 80:80
-e DB_HOST=10.10.10.10:3306
-e DB_USER=root
-e DB_PASSWORD=secret
-e DB_NAME=wordpress
-e AUTH_KEY=$RANDOM_KEY
-e SECURE_AUTH_KEY=$RANDOM_KEY
-e NONCE_KEY=$RANDOM_KEY
-e LOGGED_IN_KEY=$RANDOM_KEY
-e AUTH_SALT=$RANDOM_KEY
-e SECURE_AUTH_SALT=$RANDOM_KEY
-e LOGGED_IN_SALT=$RANDOM_KEY
-e NONCE_SALT=$RANDOM_KEY
-e WP_DEBUG=true
-e DISABLE_WP_CRON=true
-e ENABLE_HTTPS=true wordpress:5.7.2
在functions.php中使用此代码
add_action('template_redirect', 'f_force_ssl');
function f_force_ssl()
{
if (!is_ssl())
{
wp_redirect('https://' . $_SERVER['HTTP_HOST'] .
$_SERVER['REQUEST_URI'], 301);
exit();
}
}
你可能还喜欢下面这些文章
为什么WordPress短代码在前台不解析
WordPress短代码在前台不解析是常见问题,本文提供系统排查指南。首先需验证基础短代码功能是否正常,排除核心支持问题;其次检查主题兼容性,建议切换默认主题测试;插件冲突需通过逐一停用排查;短代码语法错误、缓存机制干扰及特定场景限制(如文本
为什么WordPress网站头部出现多余代码
WordPress网站头部出现多余代码是常见问题,可能由插件冲突、主题异常、数据库损坏或恶意代码导致。这些代码通常出现在标签内,表现为乱码、调试信息或异常脚本,影响美观且可能引发安全隐患。排查时建议先切换默认主题并停用所有插件定位问题源,随后
如何使用WordPress短代码实现分栏布局
**摘要内容:** 本文介绍如何利用WordPress短代码轻松实现分栏布局,解决单栏排版单调、信息冗长的问题。短代码兼具轻量与灵活性,无需代码基础即可快速创建多栏设计,比手动编写HTML或依赖大型插件更高效。文章详细讲解两种实现方式:原生
wordpress去除index.php的方法
wordpress去除index.php的方法:首先登录wordpress后台。wordpress设置固定链接登录wordpress后台,依次选择‘设置/固定链接,在出现的页面中,选择‘自定义结构’,然后根据你的情况,设置好链接。/wordp
如何解决WordPress网站REST API访问被拒绝
WordPress网站REST API访问被拒绝是开发者常见问题,可能由安全插件、服务器配置或权限设置导致。本文提供系统排查方案:首先检查安全插件设置,临时停用以确认冲突;其次审查服务器.htaccess文件及Nginx重写规则;针对跨域请求
如何使用WordPress短代码插入动态图表
**摘要内容:** 在数据驱动的时代,动态图表能显著提升网站内容的专业性和互动性。本文详细介绍了如何通过WordPress短代码轻松插入动态图表,无需编程知识。首先,选择合适的图表插件(如Visualizer、WP Data Tables等
为什么WordPress网站RSS订阅功能失效
**摘要内容:** 本文详细解析了WordPress网站RSS订阅功能失效的常见原因及系统化修复方案。RSS作为内容分发的核心渠道,可能因基础设置错误(如文章显示数量设为0)、插件冲突(缓存/安全插件干扰)、主题代码错误或服务器配置问题(如
为什么WordPress网站会出现404页面错误
WordPress网站出现404页面错误是常见问题,影响用户体验和SEO排名。本文系统分析了404错误的多种成因及解决方案:固定链接设置不当是最常见原因,可通过后台重新保存设置或检查.htaccess文件解决;插件或主题冲突需采用停用排查法;