Область і адміністратор Drupal, захищаючи їх HTTPS

Я багато читав про це і перепробував багато методів, які я знайшов, і досі не зміг домогтися належного функціонування.

Я хочу мати змогу захистити область адміністратора та пов'язані сторінки входу. Тому все, що в example.com/admin/* або example.com/user/* тощо, повинно перейти через SSL / TLS. Ми хотіли б, щоб це було застосовано до кожного веб-сайту за допомогою налаштування багатосайтових сайтів. Отже, example1.com, example2.com, example3.com - це один і той же обліковий запис сервера / користувача.

Налаштування

• Drupal 7 мультисайт
• Увімкнено чисті URL-адреси
• PHP 5.3
• MySQL v14 d5
• Apache2

Примітки

• Securepages - це не варіант, оскільки немає стабільного випуску Drupal 7, а використання існуючої версії розробника вимагає виправлення Drupal Core, що суперечить нашій політиці
• Спробували сесію 443 без успіху
• Спробували Безпечний Логін без успіху
• Сервер SSL (самостійно підписаний на даний момент під час тестування) встановлюється і працює на сервері для інших цілей, тільки не для Drupal.
• Я прочитав усі документи на Drupal.org про ввімкнення HTTPS і намагався виконувати вказівки з цим з невеликим успіхом
• Я змінив налаштування $ conf ['https'] у settings.php, не маючи помітних результатів.

Питання

Якщо я вмикаю HTTPS для всього на сайті, я отримую 404 за все, що намагається пройти через https: //, що призводить мене до думки, що правила перезапису не застосовуються до сторінок https. Що я тут пропускаю? Чи можна переписати умову / правило, яке я можу додати до htaccess, щоб виправити це?

Чи це не вирішена проблема в спільноті Друпал? Чи просто люди залишають свої адміністраторські зони незахищеними, а паролі користувачів надсилаються в поле очищення? Мені це важко повірити, але, здається, немає вбудованого або загальновідомого рішення проблеми.

Це не питання, яке ви задали, але найпростіша відповідь - ви просто повинні змінити свою політику.

"Злому" ядра (виправлення) та запуску нестабільних релізів - реальність запуску веб-сайту.

Дві патчі, необхідні для безпечних сторінок, часто потребують повторного прокрутки, огляду чи вдосконалення. Включіться в цей цикл і допоможіть їм стабільно працювати.

Я використав наступні налаштування, щоб зняти це ... і мені не потрібен модуль для цього. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

І вуоала !! це зробить весь трафік http-трафіку через https, включаючи такі ресурси, як js та css. Якщо ви хочете мати субдомени, не забудьте додати відповідні директиви ServerAlias ​​у файл (и) vhosts.

Я використовую модуль SSL Ubercart, який є фантастичним модулем, хоча він жахливо названий . Вам не потрібно запускати Ubercart, щоб скористатися цим модулем, який дуже стійкий і простий у використанні.