Nginx, WordPress - Probleme mit Verzeichnisschutz

matz

Active Member
Ich betreibe einen kleinen Root-VPS. Dort läuft ISPConfig in der aktuellen Version 3.2.2, Nginx und zwei WordPress-Seiten, beide mit .htpasswd geschützt. Der Schutz erstreckt sich jeweils auf die gesamte Seite, also "/". Nachdem ich diese Woche Wordpress auf 5.6.2 aktualisiert habe, ist ein Problem aufgetaucht, das bisher nicht da war...

Ich öffne die Seite, Anmelde-Popup kommt, ich gebe die Zugangsdaten und bin drin. Im Administartionsbereich von WP (wp-admin) taucht dann das Problem auf. Wenn ich unter "Werkzeuge" Website-Zustand aufrufe, sieht access.log so aus:
Code:
"GET /wp-json/wp-site-health/v1/tests/authorization-header?_locale=user HTTP/2.0" 401 (...)

Sofort kommt das Anmelde-Popup, nur diesmal klappt die Anmeldung nicht weil error.log so aussieht:
Code:
11252#11252: *3192 user "user" was not found in "/var/www/clients/client7/web32/web/.htpasswd"

Das wird etwas mit Ajax zu tun haben (ein Hinweis von @Till und sorry für das Zumüllen des anderen Threads) und hier brauche ich Hilfe. Der für Wordpress zuständige Teil der vhost-Config sieht so aus:
Code:
location / {
            try_files $uri $uri/ /index.php?$args;
            if (!-e $request_filename) {
                 rewrite ^(.+)$ /index.php?q=$1 last;
             }
                auth_basic "Members Only";
                auth_basic_user_file /var/www/clients/client7/web32/web/.htpasswd;

                location ~  \.php$ {
                    try_files /cb7266e685e01e60a34c4694bb83d601.htm @php;
                }
        }

Wenn ich die location ~\.php$ (mit cb7266e685e01e60a34c4694bb83d601.htm) auskommentiere, kommt dieser Fehler nicht, alles läuft einwandfrei. Nun komme ich nicht dahinter was diese Zeile für einen Sinn hat und wie schlimm oder wie egal es wäre, wenn ich diese location auskommentiert lasse. Deswegen ist sie noch drin und ich kann den Zustand der Website nicht überprüfen. Ok, das ist nicht lebenswichtig aber ab und zu möchte ich schon wissen ob alles soweit in Ordnung ist. Weiß jemand was in den location-Block rein muss, damit dieses Anmelde-Popup nicht mehr kommt wenn man die Überprüfung aufruft?
 
Zuletzt bearbeitet:

matz

Active Member
Jetzt wird es interessant... Habe gerade eben beide Seiten (die geschützten) auf PHP8.0 "hochgestuft". Beim client7 (s.o) ist das Problem weiterhin da, bei der der anderen Seite nicht. client7 wurde kürzlich vom Bekannten übernommen (schon unter ISPC 3.2.2), die andere Seite entstand noch unter ISPC 3.2 (als es noch APS gab) und wurde mit dem Update auf ISP 3.2.2 weiter im geschützten Verzeichnis betrieben. Hmm...
 

Werbung

Top