Wordpress 和 F5 WAF - SSL 导致的无限循环

Question

我在 https 上有一个 wordpress 网站，并且在没有在服务器上实施 F5 WAF 的情况下运行良好。但是一旦启用 WAF，网站就会进入无限循环。

调试后发现wordpress 301重定向到HTTPS，WAF也一样。结果，我停止了 wordpress 对 HTTPS 的 301 重定向，这解决了无限循环问题（因为 wordpress 不再进行 HTTPS 重定向）。但在这样做之后，主题/wordpress 加载的所有资产文件都被阻止，因为它们不再使用 HTTPS。

知道如何解决这个问题吗？

以下是我的 .htaccess 代码：

# BEGIN WordPress
# The directives (lines) between "BEGIN WordPress" and "END WordPress" are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
<IfModule mod_rewrite.c>
RewriteEngine On
# RewriteCond %{HTTPS} off
# RewriteCond %{HTTP:X-Forwarded-Proto} =http
# RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

PS：有什么方法可以让所有主题资源通过相对路径加载而无需基本 URL？我正在使用 Avada 主题。

Answer 1

发生这种情况是因为您有 F5 卸载 SSL 并将明文传输到 WordPress 服务器。有几种方法可以解决这个问题，但最简单的方法是重新加密回您的 Wordpress 服务器。因此，只需将池成员更改为 HTTPS/443 并将“serverssl”配置文件添加到虚拟服务器。 如果您需要更多详细信息，请告诉我。

Answer 2

到目前为止，解决此问题的最简单方法是将 serversl 配置文件添加到 F5 WAF 上的虚拟服务器，使其在将流量发送到 Wordpress 之前重新加密。这样就不会调用重写条件（在您修改之前的原始配置中）。

这也有利于提高应用程序的整体安全性。