403 Forbidden
-
Hi zusammen,
ich habe WordPress 6.6 mit woocommerce.
Gestern ist mir aufgefallen, dass wenn ich auf WooCommerce > Produkte gehen und über die Suche nach einem Produkt suche, folgende Meldung erscheint:Forbidden – You don’t have permission to access this resource.
Erst dachte ich, es wäre ein WooCommerce Problem, allerdings bekomme ich diese Meldung auch, wenn ich auf Benutzer > Administratoren gehen und hier einen Admin bearbeiten möchte.
Habe auch testweise mal alle Plugins deaktiviert – Problem bleibt.
Jemand eine Idee?
-
Hallo,
hilfreich für eine Analyse wäre der Website-Bericht:
Du findest unter Werkzeuge > Website-Zustand > Info einen Bericht zur Website. Warte bitte einen Moment bis die Ladeanzeige ganz oben abgeschlossen ist und kopiere dann per Button den Website-Bericht in deine Zwischenablage. Über den Button „Bericht in die Zwischenablage kopieren“ kannst du den Bericht unverändert (bitte mit den Akzentzeichen am Anfang und Ende) einfügen und anschließend hier posten. Evtl. ergeben sich dann weitere Anhaltspunkte, ob und wo das Problem liegt.
Hier ein Screenshot dazu (bei Klick auf das Bild, wird das Bild vergrößert):
Und mit z. B. STRG V in die Antwort bei diesem Thema einfügen.
Mehr Infos zum Website-Zustand findest du z. B. in dem folgenden Video
Viele Grüße
Hans-Gerd` wp-core
version: 6.6
site_language: de_DE_formal
user_language: de_DE_formal
timezone: Europe/Berlin
permalink: /%postname%/
https_status: true
multisite: false
user_registration: 0
blog_public: 1
default_comment_status: undefined
environment_type: production
user_count: 1149
dotorg_communication: true wp-paths-sizes
wordpress_path: /mnt/web024/d1/58/57278358/htdocs
wordpress_size: loading…
uploads_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/uploads
uploads_size: loading…
themes_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/themes
themes_size: loading…
plugins_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/plugins
plugins_size: loading…
fonts_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/uploads/fonts
fonts_size: loading…
database_size: loading…
total_size: loading… wp-active-theme
name: MediaCenter Child (mediacenter-child)
version: 2.7.15
author: MadrasThemes
author_website: https://madrasthemes.com
parent_theme: MediaCenter (mediacenter)
theme_features: core-block-patterns, widgets-block-editor, post-thumbnails, woocommerce, wc-product-gallery-zoom, wc-product-gallery-lightbox, wc-product-gallery-slider, title-tag, post-formats, automatic-feed-links, menus, widgets
theme_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/themes/mediacenter-child
auto_update: Deaktiviert wp-parent-theme
name: MediaCenter (mediacenter)
version: 2.7.15
author: MadrasThemes
author_website: https://madrasthemes.com/
theme_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/themes/mediacenter
auto_update: Deaktiviert wp-themes-inactive (3)
Twenty Twenty-Four: version: 1.1, author: Das WordPress-Team (latest version: 1.2), Automatische Aktualisierungen deaktiviert
Twenty Twenty-Three: version: 1.4, author: Das WordPress-Team (latest version: 1.5), Automatische Aktualisierungen deaktiviert
Twenty Twenty-Two: version: 1.7, author: Das WordPress-Team (latest version: 1.8), Automatische Aktualisierungen deaktiviert wp-plugins-active (20)
Advanced Custom Fields: version: 6.3.3, author: WP Engine, Automatische Aktualisierungen deaktiviert
Child Theme Check: version: 1.0.9, author: Torsten Landsiedel, Automatische Aktualisierungen deaktiviert
Child Theme Configurator: version: 2.6.6, author: Lilaea Media, Automatische Aktualisierungen deaktiviert
CMP - Coming Soon & Maintenance Plugin: version: 4.1.12, author: NiteoThemes, Automatische Aktualisierungen deaktiviert
Contact Form 7: version: 5.9.6, author: Takayuki Miyoshi, Automatische Aktualisierungen deaktiviert
Cookie Notice & Compliance for GDPR / CCPA: version: 2.4.17.1, author: Hu-manity.co, Automatische Aktualisierungen deaktiviert
Easy WP SMTP: version: 2.3.1, author: Easy WP SMTP, Automatische Aktualisierungen deaktiviert
Jetpack: version: 13.6, author: Automattic, Automatische Aktualisierungen deaktiviert
Loco Translate: version: 2.6.11, author: Tim Whitlock, Automatische Aktualisierungen deaktiviert
Media Center Extensions: version: 2.7.15, author: Transvelo, Automatische Aktualisierungen aktiviert
Payment Gateway Based Fees and Discounts for WooCommerce: version: 2.13.0, author: Tyche Softwares, Automatische Aktualisierungen deaktiviert
Redux Framework: version: 4.4.17, author: Team Redux, Automatische Aktualisierungen deaktiviert
Regenerate Thumbnails: version: 3.1.6, author: Alex Mills (Viper007Bond), Automatische Aktualisierungen deaktiviert
Simplesurance plugin: version: 1.0.7, author: simplesurance GmbH, Automatische Aktualisierungen deaktiviert
User Role Editor: version: 4.64.2, author: Vladimir Garagulya, Automatische Aktualisierungen deaktiviert
WooCommerce: version: 9.1.2, author: Automattic, Automatische Aktualisierungen deaktiviert
WooCommerce Legacy REST API: version: 1.0.4, author: WooCommerce, Automatische Aktualisierungen deaktiviert
WooCommerce PayPal Payments: version: 2.8.1, author: WooCommerce, Automatische Aktualisierungen deaktiviert
WooCommerce Shipping Per Product v2: version: 2.2.8, author: WooThemes (latest version: 2.5.7), Automatische Aktualisierungen aktiviert
WPBakery Page Builder: version: 6.6.0, author: Michael M - WPBakery.com (latest version: 7.7.2), Automatische Aktualisierungen deaktiviert wp-media
image_editor: WP_Image_Editor_Imagick
imagick_module_version: 1693
imagemagick_version: ImageMagick 6.9.13-7 Q16 x86_64 18310 https://legacy.imagemagick.org
imagick_version: 3.5.1
file_uploads: 1
post_max_size: 128M
upload_max_filesize: 128M
max_effective_size: 128 MB
max_file_uploads: 20
imagick_limits:
imagick::RESOURCETYPE_AREA: 122 MB
imagick::RESOURCETYPE_DISK: 1073741824
imagick::RESOURCETYPE_FILE: 192
imagick::RESOURCETYPE_MAP: 512 MB
imagick::RESOURCETYPE_MEMORY: 256 MB
imagick::RESOURCETYPE_THREAD: 1
imagick::RESOURCETYPE_TIME: 0
imagemagick_file_formats: 3FR, 3G2, 3GP, A, AAI, AI, APNG, ART, ARW, AVI, AVS, B, BGR, BGRA, BGRO, BMP, BMP2, BMP3, BRF, C, CAL, CALS, CANVAS, CAPTION, CIN, CIP, CLIP, CMYK, CMYKA, CR2, CR3, CRW, CUR, CUT, DATA, DCM, DCR, DCX, DDS, DFONT, DNG, DPX, DXT1, DXT5, EPDF, EPI, EPS, EPS2, EPS3, EPSF, EPSI, EPT, EPT2, EPT3, ERF, FAX, FILE, FITS, FLV, FRACTAL, FTP, FTS, G, G3, G4, GIF, GIF87, GRADIENT, GRAY, GRAYA, GROUP4, H, HALD, HDR, HISTOGRAM, HRZ, HTM, HTML, HTTP, HTTPS, ICB, ICO, ICON, IIQ, INFO, INLINE, IPL, ISOBRL, ISOBRL6, JNG, JNX, JPE, JPEG, JPG, JPS, JSON, K, K25, KDC, LABEL, M, M2V, M4V, MAC, MAGICK, MAP, MASK, MAT, MATTE, MEF, MIFF, MKV, MNG, MONO, MOV, MP4, MPC, MPEG, MPG, MRW, MSL, MSVG, MTV, MVG, NEF, NRW, NULL, O, ORF, OTB, OTF, PAL, PALM, PAM, PANGO, PATTERN, PBM, PCD, PCDS, PCL, PCT, PCX, PDB, PDF, PDFA, PEF, PES, PFA, PFB, PFM, PGM, PGX, PICON, PICT, PIX, PJPEG, PLASMA, PNG, PNG00, PNG24, PNG32, PNG48, PNG64, PNG8, PNM, POCKETMOD, PPM, PS, PS2, PS3, PSB, PSD, PTIF, PWP, R, RADIAL-GRADIENT, RAF, RAS, RAW, RGB, RGBA, RGBO, RGF, RLA, RLE, RMF, RW2, SCR, SCREENSHOT, SCT, SFW, SGI, SHTML, SIX, SIXEL, SPARSE-COLOR, SR2, SRF, STEGANO, SUN, SVG, SVGZ, TEXT, TGA, THUMBNAIL, TIFF, TIFF64, TILE, TIM, TTC, TTF, TXT, UBRL, UBRL6, UIL, UYVY, VDA, VICAR, VID, VIDEO, VIFF, VIPS, VST, WBMP, WEBM, WEBP, WMV, WPG, X3F, XBM, XC, XCF, XPM, XPS, XV, Y, YCbCr, YCbCrA, YUV
gd_version: bundled (2.1.0 compatible)
gd_formats: GIF, JPEG, PNG, WebP, BMP
ghostscript_version: not available wp-server
server_architecture: Linux localhost 4.18.0-513.11.1.el8_9.x86_64 #1 SMP Linux localhost 4.18.0-513.11.1.el8_9.x86_64 #1 SMP Linux localhost 4.18.0-513.11.1.el8_9.x86_64 #1 SMP
httpd_software: Apache/2.4.59 (Unix)
php_version: 7.4.33 64bit
php_sapi: cgi-fcgi
max_input_variables: 4000
time_limit: 240
memory_limit: 512M
max_input_time: 60
upload_max_filesize: 128M
php_post_max_size: 128M
curl_version: 8.8.0 OpenSSL/3.0.14
suhosin: false
imagick_availability: true
pretty_permalinks: true
htaccess_extra_rules: false
current: 2024-07-17T06:13:40+00:00
utc-time: Wednesday, 17-Jul-24 06:13:40 UTC
server-time: 2024-07-17T08:13:38+02:00 wp-database
extension: mysqli
server_version: 5.7.42-log
client_version: 5.6.45
max_allowed_packet: 67108864
max_connections: 3000 wp-constants
WP_HOME: undefined
WP_SITEURL: undefined
WP_CONTENT_DIR: /mnt/web024/d1/58/57278358/htdocs/wp-content
WP_PLUGIN_DIR: /mnt/web024/d1/58/57278358/htdocs/wp-content/plugins
WP_MEMORY_LIMIT: 512M
WP_MAX_MEMORY_LIMIT: 512M
WP_DEBUG: false
WP_DEBUG_DISPLAY: true
WP_DEBUG_LOG: false
SCRIPT_DEBUG: false
WP_CACHE: false
CONCATENATE_SCRIPTS: undefined
COMPRESS_SCRIPTS: undefined
COMPRESS_CSS: undefined
WP_ENVIRONMENT_TYPE: Nicht definiert
WP_DEVELOPMENT_MODE: undefined
DB_CHARSET: utf8mb4
DB_COLLATE: undefined wp-filesystem
wordpress: writable
wp-content: writable
uploads: writable
plugins: writable
themes: writable
fonts: not writable
0: Writable redux-framework
version: 4.4.17
installation: plugin
data directory: /mnt/web024/d1/58/57278358/htdocs/wp-content/plugins/redux-framework/redux-core/
browser:
Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:128.0) Gecko/20100101 Firefox/128.0
Browser: Firefox
Version: 128.0
Platform: Apple redux-instance-media_center_theme_options
opt_name: media_center_theme_options
global_variable: media_center_theme_options
dev_mode: false
ajax_save: true
page_slug: theme_options
page_permissions: manage_options
menu_type: menu
page_parent: themes.php
compiler: true
output: true
output_tag: true
templates_path: undefined
extensions:
Accordion: 4.3.16
Color Scheme: 4.4.10
Custom Fonts: 4.4.2
Customizer: 4.4.11
Datetime: 4.3.15
Google Maps: 4.4.0
Icon Select: 4.4.2
Import Export: 4.0.0
Js Button: 4.3.16
Metaboxes: 4.2.0
Multi Media: 4.4.1
Options Object: 4.0.0
Repeater: 4.3.13
Search: 3.4.5
Shortcodes: 4.3.6
Social Profiles: 4.3.17
Tabbed: 4.4.8
Taxonomy: 4.4.6
Users: 4.4.1
Widget Areas: 4.3.20 acf
version: 6.3.3
plugin_type: Free
ui_field_groups: 4
php_field_groups: 0
json_field_groups: 0
rest_field_groups: 0
post_types_enabled: true
ui_post_types: 16
json_post_types: 0
ui_taxonomies: 10
json_taxonomies: 0
rest_api_format: light
admin_ui_enabled: true
field_type-modal_enabled: true
field_settings_tabs_enabled: false
shortcode_enabled: true
registered_acf_forms: 0
json_save_paths: 1
json_load_paths: 1 jetpack
site_id: 192803303
ssl_cert: No
time_diff: undefined
version_option: 13.6:1721141666
old_version: 13.6:1721141666
public: Public
master_user: #1238 AdminXXX21
is_offline_mode: off
is_offline_mode_constant: off
current_user: #1238 AdminXXX21
tokens_set: Blog User
blog_token: XXX
user_token: XXX
version: 13.6
jp_plugin_dir: /mnt/web024/d1/58/57278358/htdocs/wp-content/plugins/jetpack/
plan: free
protect_header: {"trusted_header":"REMOTE_ADDR","segments":1,"reverse":false}
full_sync: {"started":"Sat, 15 May 2021 09:48:16 +0000","finished":"Sat, 15 May 2021 09:52:58 +0000","progress":{"options":{"finished":true},"functions":{"finished":true},"constants":{"finished":true},"users":{"total":"1","sent":1,"finished":true,"last_sent":"2"},"network_options":{"finished":true}},"config":{"options":true,"functions":true,"constants":true,"users":[2],"network_options":true}}
sync_size: undefined
sync_lag: 0 seconds
full_sync_size: undefined
full_sync_lag: 0 seconds
idc_urls: {"home":"https:\/\/XXX.de","siteurl":"https:\/\/XXX.de","WP_HOME":"","WP_SITEURL":""}
idc_error_option: false
idc_optin: true
cxn_tests: All Pass. easy_wp_smtp
version: 2.3.1
license_key_type: lite
debug: No debug notices found.
lite_install_date: Jul 16, 2024 @ 4:54pmIst dein Hosting bei Strato? Falls ja, könnte es an denen liegen (wie ich aus Berichten anderer in den letzten Tagen weiß). Wende dich in dem Fall an den Support von Strato.
Ja ist bei Strato. Hast du eien Referenz für mich, wo andere auch noch vom Problem berichten?
Auf die Schnelle hab ich aus den letzten 24 Stunden die 2 gefunden:
https://de.wordpress.org/support/topic/woocommerce-produkte-loeschen-geht-nicht-fehler-404/
https://de.wordpress.org/support/topic/403-forbidden-bei-beitragssuche-in-wp-admin/Es gibt noch ein paar mehr.
wie hast du das Plugin „User Role Editor“ konfiguriert, hängt die Problematik evtl. damit zusammen? Auch wenn du alle Plugins deaktiviert hast, könnten Cookies oder Cache noch wirksam sein.
Deaktiviere noch einmal alle Plugins, lösche zuvor aber Cache von Plugins (falls vorhanden, z. B. könnte JetPack/JetPack Boost Cache speichern). Melde dich ab und in einem anderen Browser (mit gelöschten Cookies und Cache) an und teste.
tatsächlich habe ich das auf einer anderen WordPress Seite auch (selbes Problem).
Hier ist dieses Plugin nicht installiert – läuft aber auch über Strato
Hier ist ein relevanter Thread in Bezug auf Strato
https://wordpress.org/support/topic/fehler-403-bei-auswahl-einer-produktkategorie/
It’s not over till it’s over.
It seems like the problem results of an Apache Security update :
Orange Tsai discovered that the Apache HTTP Server mod_rewrite module
incorrectly handled certain substitutions. A remote attacker could possibly
use this issue to execute scripts in directories not directly reachable
by any URL, or cause a denial of service. Some environments may require
using the new UnsafeAllow3F flag to handle unsafe substitutions.
(CVE-2024-38474, CVE-2024-38475, CVE-2024-39573)So maybe the WordPress developer Team should have an eye on that.
I’m referring to this discussions in TYPO3 and Contao Community:
We would like to keep this forum accessible for users who only speak German.
Please rephrase your question to German. Thank you for your understanding.Aktuell sieht es so aus als würde der Fehler durch ein Apache Security update erzeugt:
Zitat von https://ubuntu.com/security/notices/USN-6885-1:
„Orange Tsai discovered that the Apache HTTP Server mod_rewrite module
incorrectly handled certain substitutions. A remote attacker could possibly
use this issue to execute scripts in directories not directly reachable
by any URL, or cause a denial of service. Some environments may require
using the new UnsafeAllow3F flag to handle unsafe substitutions.
(CVE-2024-38474, CVE-2024-38475, CVE-2024-39573)“Eventuell sollte das WP Entwicklerteam da mal einen Blick drauf werfen, für mich sieht das nach einem dauerhaften Zustand aus.
Es müsste das neue Flag UnsafeAllow3F in die rewriterules der .htaccess ergänzt werden. Das Flag funktioniert ab Apache 2.4.6. Strato benutzt allerdings noch Apache 2.4.59, die Version kennt das Flag noch nicht.
Ich verweise hier mal auf die Diskussionen der TYPO3 und Contao Community:
Eventuell sollte das WP Entwicklerteam da mal einen Blick drauf werfen
Die „Supporter“ hier sind keine WordPress-Core-Entwickler sondern WP-Anwender. Um Sicherheitslücken zu melden, sieh bitte dort:
- Diese Antwort wurde geändert vor 4 Monaten, 2 Wochen von Angelika Reisiger. Grund: überarbeitet
Das Problem sollte von STRATO behoben sein.
- Diese Antwort wurde geändert vor 4 Monaten, 2 Wochen von Nikolai Graf-Rüssel.
kann ich bestätigen! 🙂
Nachdem unsere Seite seit Mittwoch Abend wieder funktioniert hat haben wir am Donnerstag nochmal diese Support Aussage von Strato bekommen:
Sie hatten sich an uns gewandt, da Sie bei der Nutzung Ihrer WordPress Instanz unter der Domain auf eine Fehlermeldung („403 Forbidden“) gestoßen sind.
Diese rührt daher, dass eine unsichere Schwachstelle durch ein Softwareupdate in der Infrastruktur geschlossen wurde. Diese hätte es Angreifern erlaubt in Ihren Webspace einzudringen und Schadcode auszuführen. Dies unterbindet die Kommunikation von WordPress und dessen verwendeter Methode mit dem Webserver in einigen Bereichen der WordPress Instanz.
Wir verweisen auf Schwachstellenbeschreibung CVE-2024-38474 (https://www.cve.org/CVERecord?id=CVE-2024-38474). Dieses Update wird generell auf allen gängigen Apache Instanzen installiert werden.
Aus Sicherheitsgründen werden wir die unsichere Methode die WordPress verwendet auf den Hostsystemen nicht wieder freigeben. Wir bitten Sie ggfs. den Entwickler von WordPress zu Kontaktieren und Ihn auf die Schwachstelle hinzuweisen. Wir empfehlen ausdrücklich keine Modifikationen die dies umgeht umzusetzen, weil Sie dadurch angreifbar werden.
Tja nun, die Kommunikation von und mit Strato war ne Katastrophe aber es funktioniert aktuell alles wieder.
Chefchiller
- Du musst angemeldet sein, um auf dieses Thema zu antworten.