Drupal admin area dan login, Amankan mereka dengan HTTPS

Saya telah membaca banyak tentang ini dan mencoba banyak metode yang saya temukan dan belum bisa membuat apa pun bekerja dengan baik.

Saya ingin dapat mengamankan area admin dan halaman login yang terkait. Jadi apa pun yang ada di example.com/admin/* atau example.com/user/* dll, harus melalui SSL / TLS. Kami ingin ini berlaku untuk setiap situs dengan pengaturan multisite. Jadi example1.com, example2.com, example3.com semuanya ada di server / akun pengguna yang sama.

Pengaturan

• Drupal 7 multi-situs
• URL bersih diaktifkan
• PHP 5.3
• MySQL v14 d5
• Apache2

Catatan

• Securepages bukanlah suatu opsi, karena tidak ada rilis Drupal 7 yang stabil, dan menggunakan versi dev yang ada membutuhkan penambalan Drupal Core, yang bertentangan dengan kebijakan kami
• Sudah mencoba Sesi 443 tanpa hasil
• Sudah mencoba Secure Login tanpa hasil
• Sertifikat SSL (yang ditandatangani sendiri untuk saat ini, saat pengujian) diinstal dan berfungsi di server untuk tujuan lain, hanya saja tidak Drupal.
• Saya telah membaca semua dokumen di Drupal.org tentang mengaktifkan HTTPS dan berusaha mengikuti arahan di sana dengan sedikit keberhasilan
• Saya telah mengaktifkan pengaturan $ conf ['https'] di settings.php tanpa hasil yang dapat dilihat.

Pertanyaan-pertanyaan

Jika saya mengaktifkan HTTPS untuk semua yang ada di situs, saya mendapatkan 404 untuk apa pun yang mencoba melalui https: //, yang membuat saya berpikir bahwa aturan penulisan ulang tidak berlaku untuk halaman https. Apa yang kulewatkan di sini? Apakah ada syarat / aturan penulisan ulang yang dapat saya tambahkan ke htaccess untuk memperbaikinya?

Apakah ini bukan masalah yang diselesaikan di komunitas Drupal? Apakah orang hanya meninggalkan area admin mereka tanpa jaminan, dengan kata sandi pengguna dikirim secara jelas? Saya menemukan ini sulit untuk dipercaya, namun sepertinya tidak ada solusi bawaan untuk masalah ini.

Ini bukan pertanyaan yang Anda ajukan, tetapi jawaban paling sederhana adalah Anda hanya perlu mengubah kebijakan Anda.

Inti "Peretasan" (menambalnya) dan menjalankan rilis yang tidak stabil adalah kenyataan menjalankan situs web.

Dua tambalan yang diperlukan untuk securepage seringkali perlu digulung ulang, ditinjau, atau diperbaiki. Terlibat dalam siklus itu dan bantu membuatnya stabil.

Saya menggunakan pengaturan berikut melakukan ini ... dan tidak perlu modul untuk melakukannya. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

Dan voooala !! ini akan membuat semua lalu lintas http melakukan perjalanan melalui https termasuk sumber daya seperti js dan css. Jika Anda ingin subdomain, pastikan untuk menambahkan arahan ServerAlias ​​yang sesuai dalam file vhosts.

Saya menggunakan modul Ubercart SSL yang merupakan modul yang fantastis, meskipun itu mengerikan bernama . Anda tidak perlu menjalankan Ubercart untuk memanfaatkan modul ini yang sangat stabil dan mudah digunakan.