Mybb 1.8 i SSL w Cloudflare

Założony przez  Swordancer.

wersja skryptu MyBB:1.8.3
adres forum:http://odjechani.com.pl
Chciałem uruchomić szyfrowanie ssl pod forum przy użyciu Cloudflare:

Tak więc, aby zwiększyć bezpieczeństwo strony postanowiłem połączyć forum z Cloudflare, plan darmowy oczywiście. Korzystam z niego, bo ma dużo ciekawych i przydatnych opcji, jestem zadowolony. Chciałem jednak uruchomić domyślne szyfrowanie SSL od Cloudflare i umożliwić dostęp do forum z przez https:// Nie chcę jednak niczego schrzanić. Włączyłem SSL w opcjach Cloudflare, ale pod https:// mam teraz puste strony.

Domyślam się, że muszę coś ustawić na hostingu i moje pytanie brzmi co?

Widzę w directadmin opcję w domenach:
Cytat:Użyj dowiązania symbolicznego private_html do public_html
Pozwala na dostęp do tej samej strony zarówno przez http:// jak i https://

Problem taki, że nie wiem czy czegoś nie usunę jak zmienię tę opcję? Mam hosting w biznes-host.pl, domena leży gdzie indziej.

Drugie pytanie brzmi czy to normalne?
Total Threats Stopped: 1701

Czyżby aż tyle jakiś spam botów próbowało się połączyć?
Forum: https://odjechani.com.pl Konto testowe - Login:Mybboard.pl Hasło:mybboard Posiadam link do Mybboard.pl w stopce. 
Jaki tryb SSL masz włączony w Cloudflare?
Czy zmieniłeś adres w ustawieniach forum?
Adresu forum w ustawieniach na razie nie zmieniałem, forum działa normalnie pod http i błędnie pod https tzn. raz jest strona, ale nie ładuje się jak należy, a raz jest błąd 404. Ustawienia mam na "Full SSL", a próbowałem też pod "Flexible SLL", oczywiście własnego certyfikatu nie mam, dlatego chciałem wykorzystać to oferowane za darmo w Cloudflare m.in. w ramach jego użytkowania z forum.

Przez adres https pliki forum są szukanie w folderze private_html, a forum stoi na public_HTML, dlatego pytam czy zmiana wspomnianej opcji w direct admin jest bezpieczna. Włączyłem to i nic się nie stało, wcześniej zrobiłem kopię forum i wlączyłem tryb dev w cloudflare. Jedyne co się zmieniło, to to, ze teraz pod https forum ładuje się, ale niekompletnie i nei wiem dlaczego niekompletnie.

Domyślam się, że teraz wina to adres w ustawieniach forum, ale gdy zmienię na https, to chodź strona ładuje się już w znacznie większym stopniu, to wciąż brakuje gdzieniegdzie elementów, które forum próbuje ładować z http.

Oto błędy:
Cytat:Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure stylesheet 'http://fonts.googleapis.com/css?family=Exo+2:400,600'. This request has been blocked; the content must be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://i49.tinypic.com/149ujop.jpg?dateline=1357823783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://img.liczniki.org/20150321/robotox_AV-1426964516.png?dateline=1426964783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://i49.tinypic.com/149ujop.jpg?dateline=1357823783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://img.liczniki.org/20150321/robotox_AV-1426964516.png?dateline=1426964783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://vpx.pl/i/2015/03/28/avatar288925_10.gif?dateline=1427561435'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://vpx.pl/i/2015/03/28/avatar288925_10.gif?dateline=1427561435'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://img.liczniki.org/20150321/robotox_AV-1426964516.png?dateline=1426964783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://vpx.pl/i/2015/03/28/avatar288925_10.gif?dateline=1427561435'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://i49.tinypic.com/149ujop.jpg?dateline=1357823783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://vpx.pl/i/2015/03/28/avatar288925_10.gif?dateline=1427561435'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://vpx.pl/i/2015/03/28/avatar288925_10.gif?dateline=1427561435'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://avatarek.pl/tQvG8gMzO5_3.jpg?dateline=1383663917'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://i49.tinypic.com/149ujop.jpg?dateline=1357823783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://vpx.pl/i/2015/03/28/avatar288925_10.gif?dateline=1427561435'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://img.liczniki.org/20150321/robotox_AV-1426964516.png?dateline=1426964783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://img.liczniki.org/20111229/ChomikImage-1325174285.jpg?dateline=1325174319'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://img.liczniki.org/20150321/robotox_AV-1426964516.png?dateline=1426964783'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://odjechani.com.pl/403.shtml'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure image 'http://img1.liczniki.org/20111229/ChomikImage-1325174285.jpg?dateline=1325174319'. This content should also be served over HTTPS.
Forum: https://odjechani.com.pl Konto testowe - Login:Mybboard.pl Hasło:mybboard Posiadam link do Mybboard.pl w stopce. 
Swordancer napisał(a):Przez adres https pliki forum są szukanie w folderze private_html, a forum stoi na public_HTML, dlatego pytam czy zmiana wspomnianej opcji w direct admin jest bezpieczna.
Tak, pozwala na użycie dwóch protokołów (najlepiej jednak później ustawić przekierowanie z http:// na https://).

Cytat:Włączyłem to i nic się nie stało, wcześniej zrobiłem kopię forum i wlączyłem tryb dev w cloudflare. Jedyne co się zmieniło, to to, ze teraz pod https forum ładuje się, ale niekompletnie i nei wiem dlaczego niekompletnie.
Po zmianie protokołu w konfiguracji MyBB wszystko powinno działać poprawnie (ewentualnie trzeba będzie jeszcze zmienić protokół przy zewnętrznych zasobach [biblikoteki JavaScript, itp.]).
No właśnie i tu jest pewien problem, gdy ładuję stronę po ustawieniu w ACP adresu na https przez adres http, to strona z zasobami np. obrazkami https ładuje się normalnie, ale ładując przez https wciąż brakuje niektórych zasobów, no i mam problem z awatarami, które przecież zwykle mają http w adresie, a zaliczają się do zewnętrznych zasobów na stronie, wiecie co mam z tym zrobić?
Forum: https://odjechani.com.pl Konto testowe - Login:Mybboard.pl Hasło:mybboard Posiadam link do Mybboard.pl w stopce. 
Musisz pozmieniać wszystkie skrypty i arkusze .css jakie ładujesz na stronie na https:// w adresie. Grafiki te co możesz także pozmieniaj, reszta grafik może zostać po http (nie zostaną one zablokowane).
No niestety mimo wszystko, tak to wygląda:

http://imgur.com/w2uW1Xr.png

Mimo, że pozmieniałem co się dało na https, to np. jak widać logo, czy domyślnego awataru i innych obrazków nie wczytuje. Co dziwniejsze gdy załaduje je przez https w nowej karcie, to obrazek wczytuje się.
Forum: https://odjechani.com.pl Konto testowe - Login:Mybboard.pl Hasło:mybboard Posiadam link do Mybboard.pl w stopce. 
Nie widzę żadnych zmian. U mnie wszystkie skrypty dalej lecą po http
Bo zmieniłem w ACP z powrotem na http, przecież nie będę userom zbugowanej strony wyświetlał. Strona tak jak na screenie się wyświetla po zmianie adresu w ACP. W dodatku po przejściu np. ze strony głównej do wątku przeglądarka ostrzega o pętli przekierowań.
Forum: https://odjechani.com.pl Konto testowe - Login:Mybboard.pl Hasło:mybboard Posiadam link do Mybboard.pl w stopce. 
W szablonach twojego stylu nadal znajdują się zasoby pobierane przez http:// - trzeba je zmienić (można na // - wtedy będzie działać w każdym przypadku; np. logo w header).
To nie to, problemem okazuje się plugin Google Seo, a raczej jego wpisy w pliku .htaccess Pozmieniałem wszystkie url na https i działa, ale problem jest taki, że przy wejściach w tematy jest pętla przekeirowań, dopiero jak wyłączę plugin to działa.

Na razie mam gdzieś to szyfrowanie, więcej z tym kłopotów niż pożytku. Opcja Enable Google SEO Redirect pluginu Goolge SEO nawet już po całkowicie poprawnym skonfigurowaniu wywołuje problem z pętlą przekierowań w wątkach. W dodatku nie moge wymusić https w pliku .htaccess, bo wątki wywołują błąd 404.
Forum: https://odjechani.com.pl Konto testowe - Login:Mybboard.pl Hasło:mybboard Posiadam link do Mybboard.pl w stopce. 
Należy w pluginie google seo w pliku inc/plugins/google_seo/redirect.php
Odszukać ciąg sprawdzeń protokołu https i kierować go na port 80 a nie 443, bo ssl po cloud flare jest po stronie wyjściowej a nie serwera gdzie leży skrypt.
if($_SERVER['HTTPS'] != "off" && ($_SERVER['HTTPS'] || $_SERVER['SERVER_PORT'] == 443))

poza tym ssl po cloudflare będzie chyba także wymagać przerobienia pliku rejestracji, nie wiem jak z mybb 1.8.4

url forum ma być https
.htaccess google seo rewrite też https
i plik pluginu google seo też przerobić port z 443 na 80
Witajcie, dzisiaj udało mi się bez jakiś większych bagów przejść na https, oczywiście wciąż przez długi czas będziemy mieli mixed http/https content, ale tak czy siak jakoś to chodzi. W member.php zmieniłem wszystkie HTTP_REFERER na HTTPS, ale co jeszcze powinienem zmienić w szablonach i plikach php skryptu? Na stronę możecie wejść:

https://odjechani.com.pl i zajrzeć, na razie dużo do poprawy, ale jakiś progress jest.

Mam jeszcze dwa poważniejsze błędy, ale nie widzę w kodzie gdzie to leży:

Cytat:Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure stylesheet 'http://fonts.googleapis.com/css?family=Ubuntu:400,700'. This request has been blocked; the content must be served over HTTPS.
(index):50 Mixed Content: The page at 'https://odjechani.com.pl/' was loaded over HTTPS, but requested an insecure stylesheet 'http://maxcdn.bootstrapcdn.com/font-awesome/4.2.0/css/font-awesome.min.css'. This request has been blocked; the content must be served over HTTPS.

Dodam, że jest to flexible, jak włączę full to widzę tylko "Apache is working" i tyle.

Mogę prosić o dalsze porady?
Forum: https://odjechani.com.pl Konto testowe - Login:Mybboard.pl Hasło:mybboard Posiadam link do Mybboard.pl w stopce. 
(04.09.2015, 13:51)Swordancer napisał(a): oczywiście wciąż przez długi czas będizemy mieli mixed http/https content, ale tak czy siak jakoś to chodzi
Niektóre zasoby można bez problemów przełączyć na HTTPS. W przypadku strony głównej dla gości, w pliku CSS guestwarn.css wystarczy zmienić http:// na // (bez konkretnego protokołu - automatycznie).

Cytat:W member.php zmieniłem wszystkie HTTP_REFERER na HTTPS, ale co jeszcze powinienem zmienić w szablonach i plikach php skryptu?
To nie powinno być zmieniane.

Jeśli jeszcze tego nie robiłeś, spytaj dział techniczny hostingu o możliwość instalacji mod_cloudflare: https://support.cloudflare.com/hc/en-us/...loudflare-. Bez tego logi serwera pozostają bezużyteczne.

Na chwilę obecną możesz jednak włączyć opcję Sprawdzać adres IP użytkownika w nagłówkach HTTP? (Ustawienia serwera i optymalizacji).
Jeśli chodzi o ten mod do instalacji, to wkrótce i tak zmieniam hosting, więc z tym poczekam, a IP userów w mybb mam poprawne, tzn oryginalne.

No dobra, w member zrobiłem jak było, ale na pewno nie powinno być https, aby było bezpieczniej?

Jeśli chodzi o plik guestwarn.css, to doszedłem do tego co jest nie tak już wcześniej i po po prostu wyciąłem te zasoby, zmieniłem czcionkę, ale strona zachowuje się jakby dalej tam były, mimo, że CF przeładowałem cache i o dziwo wskazuje na linię 1, jakby był tam jakiś załącznik widmo.

Edit:
Dobra poradziłem sobie, należało jeszcze edytować specjalny arkusz css pluginu, aby zniknęły te dwa błędy. Strona ma już zieloną kłódeczkę w chrome. :D

Jeśli macie jeszcze jakieś uwagi, to będę wdzięczny. No i czy ktoś wie co w końcu z tymi plikami rejestracji? Ruszać, olać?
Forum: https://odjechani.com.pl Konto testowe - Login:Mybboard.pl Hasło:mybboard Posiadam link do Mybboard.pl w stopce. 



Użytkownicy przeglądający ten wątek:

1 gości