• Hi zusammen,

    ich habe WordPress 6.6 mit woocommerce.
    Gestern ist mir aufgefallen, dass wenn ich auf WooCommerce > Produkte gehen und über die Suche nach einem Produkt suche, folgende Meldung erscheint:

    Forbidden – You don’t have permission to access this resource.

    Erst dachte ich, es wäre ein WooCommerce Problem, allerdings bekomme ich diese Meldung auch, wenn ich auf Benutzer > Administratoren gehen und hier einen Admin bearbeiten möchte.

    Habe auch testweise mal alle Plugins deaktiviert – Problem bleibt.

    Jemand eine Idee?

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 25)
  • Hallo,
    hilfreich für eine Analyse wäre der Website-Bericht:
    Du findest unter Werkzeuge > Website-Zustand > Info einen Bericht zur Website. Warte bitte einen Moment bis die Ladeanzeige ganz oben abgeschlossen ist und kopiere dann per Button den Website-Bericht in deine Zwischenablage. Über den Button „Bericht in die Zwischenablage kopieren“ kannst du den Bericht unverändert (bitte mit den Akzentzeichen am Anfang und Ende) einfügen und anschließend hier posten. Evtl. ergeben sich dann weitere Anhaltspunkte, ob und wo das Problem liegt.
    Hier ein Screenshot dazu (bei Klick auf das Bild, wird das Bild vergrößert):
    Website-Bericht

    Und mit z. B. STRG V in die Antwort bei diesem Thema einfügen.

    Mehr Infos zum Website-Zustand findest du z. B. in dem folgenden Video

    Viele Grüße
    Hans-Gerd

    Thread-Starter undusted1364

    (@ghost108)

    ` wp-core

    version: 6.6
    site_language: de_DE_formal
    user_language: de_DE_formal
    timezone: Europe/Berlin
    permalink: /%postname%/
    https_status: true
    multisite: false
    user_registration: 0
    blog_public: 1
    default_comment_status: undefined
    environment_type: production
    user_count: 1149
    dotorg_communication: true wp-paths-sizes

    wordpress_path: /mnt/web024/d1/58/57278358/htdocs
    wordpress_size: loading…
    uploads_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/uploads
    uploads_size: loading…
    themes_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/themes
    themes_size: loading…
    plugins_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/plugins
    plugins_size: loading…
    fonts_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/uploads/fonts
    fonts_size: loading…
    database_size: loading…
    total_size: loading… wp-active-theme

    name: MediaCenter Child (mediacenter-child)
    version: 2.7.15
    author: MadrasThemes
    author_website: https://madrasthemes.com
    parent_theme: MediaCenter (mediacenter)
    theme_features: core-block-patterns, widgets-block-editor, post-thumbnails, woocommerce, wc-product-gallery-zoom, wc-product-gallery-lightbox, wc-product-gallery-slider, title-tag, post-formats, automatic-feed-links, menus, widgets
    theme_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/themes/mediacenter-child
    auto_update: Deaktiviert wp-parent-theme

    name: MediaCenter (mediacenter)
    version: 2.7.15
    author: MadrasThemes
    author_website: https://madrasthemes.com/
    theme_path: /mnt/web024/d1/58/57278358/htdocs/wp-content/themes/mediacenter
    auto_update: Deaktiviert wp-themes-inactive (3)

    Twenty Twenty-Four: version: 1.1, author: Das WordPress-Team (latest version: 1.2), Automatische Aktualisierungen deaktiviert
    Twenty Twenty-Three: version: 1.4, author: Das WordPress-Team (latest version: 1.5), Automatische Aktualisierungen deaktiviert
    Twenty Twenty-Two: version: 1.7, author: Das WordPress-Team (latest version: 1.8), Automatische Aktualisierungen deaktiviert wp-plugins-active (20)

    Advanced Custom Fields: version: 6.3.3, author: WP Engine, Automatische Aktualisierungen deaktiviert
    Child Theme Check: version: 1.0.9, author: Torsten Landsiedel, Automatische Aktualisierungen deaktiviert
    Child Theme Configurator: version: 2.6.6, author: Lilaea Media, Automatische Aktualisierungen deaktiviert
    CMP - Coming Soon & Maintenance Plugin: version: 4.1.12, author: NiteoThemes, Automatische Aktualisierungen deaktiviert
    Contact Form 7: version: 5.9.6, author: Takayuki Miyoshi, Automatische Aktualisierungen deaktiviert
    Cookie Notice & Compliance for GDPR / CCPA: version: 2.4.17.1, author: Hu-manity.co, Automatische Aktualisierungen deaktiviert
    Easy WP SMTP: version: 2.3.1, author: Easy WP SMTP, Automatische Aktualisierungen deaktiviert
    Jetpack: version: 13.6, author: Automattic, Automatische Aktualisierungen deaktiviert
    Loco Translate: version: 2.6.11, author: Tim Whitlock, Automatische Aktualisierungen deaktiviert
    Media Center Extensions: version: 2.7.15, author: Transvelo, Automatische Aktualisierungen aktiviert
    Payment Gateway Based Fees and Discounts for WooCommerce: version: 2.13.0, author: Tyche Softwares, Automatische Aktualisierungen deaktiviert
    Redux Framework: version: 4.4.17, author: Team Redux, Automatische Aktualisierungen deaktiviert
    Regenerate Thumbnails: version: 3.1.6, author: Alex Mills (Viper007Bond), Automatische Aktualisierungen deaktiviert
    Simplesurance plugin: version: 1.0.7, author: simplesurance GmbH, Automatische Aktualisierungen deaktiviert
    User Role Editor: version: 4.64.2, author: Vladimir Garagulya, Automatische Aktualisierungen deaktiviert
    WooCommerce: version: 9.1.2, author: Automattic, Automatische Aktualisierungen deaktiviert
    WooCommerce Legacy REST API: version: 1.0.4, author: WooCommerce, Automatische Aktualisierungen deaktiviert
    WooCommerce PayPal Payments: version: 2.8.1, author: WooCommerce, Automatische Aktualisierungen deaktiviert
    WooCommerce Shipping Per Product v2: version: 2.2.8, author: WooThemes (latest version: 2.5.7), Automatische Aktualisierungen aktiviert
    WPBakery Page Builder: version: 6.6.0, author: Michael M - WPBakery.com (latest version: 7.7.2), Automatische Aktualisierungen deaktiviert wp-media

    image_editor: WP_Image_Editor_Imagick
    imagick_module_version: 1693
    imagemagick_version: ImageMagick 6.9.13-7 Q16 x86_64 18310 https://legacy.imagemagick.org
    imagick_version: 3.5.1
    file_uploads: 1
    post_max_size: 128M
    upload_max_filesize: 128M
    max_effective_size: 128 MB
    max_file_uploads: 20
    imagick_limits:
    imagick::RESOURCETYPE_AREA: 122 MB
    imagick::RESOURCETYPE_DISK: 1073741824
    imagick::RESOURCETYPE_FILE: 192
    imagick::RESOURCETYPE_MAP: 512 MB
    imagick::RESOURCETYPE_MEMORY: 256 MB
    imagick::RESOURCETYPE_THREAD: 1
    imagick::RESOURCETYPE_TIME: 0
    imagemagick_file_formats: 3FR, 3G2, 3GP, A, AAI, AI, APNG, ART, ARW, AVI, AVS, B, BGR, BGRA, BGRO, BMP, BMP2, BMP3, BRF, C, CAL, CALS, CANVAS, CAPTION, CIN, CIP, CLIP, CMYK, CMYKA, CR2, CR3, CRW, CUR, CUT, DATA, DCM, DCR, DCX, DDS, DFONT, DNG, DPX, DXT1, DXT5, EPDF, EPI, EPS, EPS2, EPS3, EPSF, EPSI, EPT, EPT2, EPT3, ERF, FAX, FILE, FITS, FLV, FRACTAL, FTP, FTS, G, G3, G4, GIF, GIF87, GRADIENT, GRAY, GRAYA, GROUP4, H, HALD, HDR, HISTOGRAM, HRZ, HTM, HTML, HTTP, HTTPS, ICB, ICO, ICON, IIQ, INFO, INLINE, IPL, ISOBRL, ISOBRL6, JNG, JNX, JPE, JPEG, JPG, JPS, JSON, K, K25, KDC, LABEL, M, M2V, M4V, MAC, MAGICK, MAP, MASK, MAT, MATTE, MEF, MIFF, MKV, MNG, MONO, MOV, MP4, MPC, MPEG, MPG, MRW, MSL, MSVG, MTV, MVG, NEF, NRW, NULL, O, ORF, OTB, OTF, PAL, PALM, PAM, PANGO, PATTERN, PBM, PCD, PCDS, PCL, PCT, PCX, PDB, PDF, PDFA, PEF, PES, PFA, PFB, PFM, PGM, PGX, PICON, PICT, PIX, PJPEG, PLASMA, PNG, PNG00, PNG24, PNG32, PNG48, PNG64, PNG8, PNM, POCKETMOD, PPM, PS, PS2, PS3, PSB, PSD, PTIF, PWP, R, RADIAL-GRADIENT, RAF, RAS, RAW, RGB, RGBA, RGBO, RGF, RLA, RLE, RMF, RW2, SCR, SCREENSHOT, SCT, SFW, SGI, SHTML, SIX, SIXEL, SPARSE-COLOR, SR2, SRF, STEGANO, SUN, SVG, SVGZ, TEXT, TGA, THUMBNAIL, TIFF, TIFF64, TILE, TIM, TTC, TTF, TXT, UBRL, UBRL6, UIL, UYVY, VDA, VICAR, VID, VIDEO, VIFF, VIPS, VST, WBMP, WEBM, WEBP, WMV, WPG, X3F, XBM, XC, XCF, XPM, XPS, XV, Y, YCbCr, YCbCrA, YUV
    gd_version: bundled (2.1.0 compatible)
    gd_formats: GIF, JPEG, PNG, WebP, BMP
    ghostscript_version: not available wp-server

    server_architecture: Linux localhost 4.18.0-513.11.1.el8_9.x86_64 #1 SMP Linux localhost 4.18.0-513.11.1.el8_9.x86_64 #1 SMP Linux localhost 4.18.0-513.11.1.el8_9.x86_64 #1 SMP
    httpd_software: Apache/2.4.59 (Unix)
    php_version: 7.4.33 64bit
    php_sapi: cgi-fcgi
    max_input_variables: 4000
    time_limit: 240
    memory_limit: 512M
    max_input_time: 60
    upload_max_filesize: 128M
    php_post_max_size: 128M
    curl_version: 8.8.0 OpenSSL/3.0.14
    suhosin: false
    imagick_availability: true
    pretty_permalinks: true
    htaccess_extra_rules: false
    current: 2024-07-17T06:13:40+00:00
    utc-time: Wednesday, 17-Jul-24 06:13:40 UTC
    server-time: 2024-07-17T08:13:38+02:00 wp-database

    extension: mysqli
    server_version: 5.7.42-log
    client_version: 5.6.45
    max_allowed_packet: 67108864
    max_connections: 3000 wp-constants

    WP_HOME: undefined
    WP_SITEURL: undefined
    WP_CONTENT_DIR: /mnt/web024/d1/58/57278358/htdocs/wp-content
    WP_PLUGIN_DIR: /mnt/web024/d1/58/57278358/htdocs/wp-content/plugins
    WP_MEMORY_LIMIT: 512M
    WP_MAX_MEMORY_LIMIT: 512M
    WP_DEBUG: false
    WP_DEBUG_DISPLAY: true
    WP_DEBUG_LOG: false
    SCRIPT_DEBUG: false
    WP_CACHE: false
    CONCATENATE_SCRIPTS: undefined
    COMPRESS_SCRIPTS: undefined
    COMPRESS_CSS: undefined
    WP_ENVIRONMENT_TYPE: Nicht definiert
    WP_DEVELOPMENT_MODE: undefined
    DB_CHARSET: utf8mb4
    DB_COLLATE: undefined wp-filesystem

    wordpress: writable
    wp-content: writable
    uploads: writable
    plugins: writable
    themes: writable
    fonts: not writable
    0: Writable redux-framework

    version: 4.4.17
    installation: plugin
    data directory: /mnt/web024/d1/58/57278358/htdocs/wp-content/plugins/redux-framework/redux-core/
    browser:
    Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:128.0) Gecko/20100101 Firefox/128.0
    Browser: Firefox
    Version: 128.0
    Platform: Apple redux-instance-media_center_theme_options

    opt_name: media_center_theme_options
    global_variable: media_center_theme_options
    dev_mode: false
    ajax_save: true
    page_slug: theme_options
    page_permissions: manage_options
    menu_type: menu
    page_parent: themes.php
    compiler: true
    output: true
    output_tag: true
    templates_path: undefined
    extensions:
    Accordion: 4.3.16
    Color Scheme: 4.4.10
    Custom Fonts: 4.4.2
    Customizer: 4.4.11
    Datetime: 4.3.15
    Google Maps: 4.4.0
    Icon Select: 4.4.2
    Import Export: 4.0.0
    Js Button: 4.3.16
    Metaboxes: 4.2.0
    Multi Media: 4.4.1
    Options Object: 4.0.0
    Repeater: 4.3.13
    Search: 3.4.5
    Shortcodes: 4.3.6
    Social Profiles: 4.3.17
    Tabbed: 4.4.8
    Taxonomy: 4.4.6
    Users: 4.4.1
    Widget Areas: 4.3.20 acf

    version: 6.3.3
    plugin_type: Free
    ui_field_groups: 4
    php_field_groups: 0
    json_field_groups: 0
    rest_field_groups: 0
    post_types_enabled: true
    ui_post_types: 16
    json_post_types: 0
    ui_taxonomies: 10
    json_taxonomies: 0
    rest_api_format: light
    admin_ui_enabled: true
    field_type-modal_enabled: true
    field_settings_tabs_enabled: false
    shortcode_enabled: true
    registered_acf_forms: 0
    json_save_paths: 1
    json_load_paths: 1 jetpack

    site_id: 192803303
    ssl_cert: No
    time_diff: undefined
    version_option: 13.6:1721141666
    old_version: 13.6:1721141666
    public: Public
    master_user: #1238 AdminXXX21
    is_offline_mode: off
    is_offline_mode_constant: off
    current_user: #1238 AdminXXX21
    tokens_set: Blog User
    blog_token: XXX
    user_token: XXX
    version: 13.6
    jp_plugin_dir: /mnt/web024/d1/58/57278358/htdocs/wp-content/plugins/jetpack/
    plan: free
    protect_header: {"trusted_header":"REMOTE_ADDR","segments":1,"reverse":false}
    full_sync: {"started":"Sat, 15 May 2021 09:48:16 +0000","finished":"Sat, 15 May 2021 09:52:58 +0000","progress":{"options":{"finished":true},"functions":{"finished":true},"constants":{"finished":true},"users":{"total":"1","sent":1,"finished":true,"last_sent":"2"},"network_options":{"finished":true}},"config":{"options":true,"functions":true,"constants":true,"users":[2],"network_options":true}}
    sync_size: undefined
    sync_lag: 0 seconds
    full_sync_size: undefined
    full_sync_lag: 0 seconds
    idc_urls: {"home":"https:\/\/XXX.de","siteurl":"https:\/\/XXX.de","WP_HOME":"","WP_SITEURL":""}
    idc_error_option: false
    idc_optin: true
    cxn_tests: All Pass. easy_wp_smtp

    version: 2.3.1
    license_key_type: lite
    debug: No debug notices found.
    lite_install_date: Jul 16, 2024 @ 4:54pm
    Moderator threadi

    (@threadi)

    Ist dein Hosting bei Strato? Falls ja, könnte es an denen liegen (wie ich aus Berichten anderer in den letzten Tagen weiß). Wende dich in dem Fall an den Support von Strato.

    Thread-Starter undusted1364

    (@ghost108)

    Ja ist bei Strato. Hast du eien Referenz für mich, wo andere auch noch vom Problem berichten?

    Moderator threadi

    (@threadi)

    @ghost108

    wie hast du das Plugin „User Role Editor“ konfiguriert, hängt die Problematik evtl. damit zusammen? Auch wenn du alle Plugins deaktiviert hast, könnten Cookies oder Cache noch wirksam sein.

    Deaktiviere noch einmal alle Plugins, lösche zuvor aber Cache von Plugins (falls vorhanden, z. B. könnte JetPack/JetPack Boost Cache speichern). Melde dich ab und in einem anderen Browser (mit gelöschten Cookies und Cache) an und teste.

    Thread-Starter undusted1364

    (@ghost108)

    tatsächlich habe ich das auf einer anderen WordPress Seite auch (selbes Problem).

    Hier ist dieses Plugin nicht installiert – läuft aber auch über Strato

    It’s not over till it’s over.

    It seems like the problem results of an Apache Security update :

    Orange Tsai discovered that the Apache HTTP Server mod_rewrite module
    incorrectly handled certain substitutions. A remote attacker could possibly
    use this issue to execute scripts in directories not directly reachable
    by any URL, or cause a denial of service. Some environments may require
    using the new UnsafeAllow3F flag to handle unsafe substitutions
    .
    (CVE-2024-38474CVE-2024-38475CVE-2024-39573)

    So maybe the WordPress developer Team should have an eye on that.

    https://stackoverflow.com/questions/78729429/403-forbidden-when-url-contains-get-with-encoded-question-mark-unsafeallow3f

    I’m referring to this discussions in TYPO3 and Contao Community:

    https://forum.t3academy.de/d/507-neues-problem-bei-strato-create-content-element-forbidden-error-403/28

    https://community.contao.org/de/showthread.php?87114-Fehler-403-Forbidden-durch-Cookiebar-AH10508-Unsafe-URL-with-3f-URL-rewritten&p=586343

    @chefchiller

    We would like to keep this forum accessible for users who only speak German.
    Please rephrase your question to German. Thank you for your understanding.

    Aktuell sieht es so aus als würde der Fehler durch ein Apache Security update erzeugt:

    Zitat von https://ubuntu.com/security/notices/USN-6885-1:

    „Orange Tsai discovered that the Apache HTTP Server mod_rewrite module
    incorrectly handled certain substitutions. A remote attacker could possibly
    use this issue to execute scripts in directories not directly reachable
    by any URL, or cause a denial of service. Some environments may require
    using the new UnsafeAllow3F flag to handle unsafe substitutions.
    (CVE-2024-38474CVE-2024-38475CVE-2024-39573)“

    Eventuell sollte das WP Entwicklerteam da mal einen Blick drauf werfen, für mich sieht das nach einem dauerhaften Zustand aus.

    https://stackoverflow.com/questions/78729429/403-forbidden-when-url-contains-get-with-encoded-question-mark-unsafeallow3f

    Es müsste das neue Flag UnsafeAllow3F in die rewriterules der .htaccess ergänzt werden. Das Flag funktioniert ab Apache 2.4.6. Strato benutzt allerdings noch Apache 2.4.59, die Version kennt das Flag noch nicht.

    Ich verweise hier mal auf die Diskussionen der TYPO3 und Contao Community:

    https://forum.t3academy.de/d/507-neues-problem-bei-strato-create-content-element-forbidden-error-403/28

    https://community.contao.org/de/showthread.php?87114-Fehler-403-Forbidden-durch-Cookiebar-AH10508-Unsafe-URL-with-3f-URL-rewritten&p=586343

    @chefchiller

    Eventuell sollte das WP Entwicklerteam da mal einen Blick drauf werfen

    Die „Supporter“ hier sind keine WordPress-Core-Entwickler sondern WP-Anwender. Um Sicherheitslücken zu melden, sieh bitte dort:

    https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/#where-do-i-report-security-issues

    • Diese Antwort wurde geändert vor 4 Monaten, 2 Wochen von Angelika Reisiger. Grund: überarbeitet

    Das Problem sollte von STRATO behoben sein.

    Thread-Starter undusted1364

    (@ghost108)

    kann ich bestätigen! 🙂

    Nachdem unsere Seite seit Mittwoch Abend wieder funktioniert hat haben wir am Donnerstag nochmal diese Support Aussage von Strato bekommen:

    Sie hatten sich an uns gewandt, da Sie bei der Nutzung Ihrer WordPress Instanz unter der Domain auf eine Fehlermeldung („403 Forbidden“) gestoßen sind.

    Diese rührt daher, dass eine unsichere Schwachstelle durch ein Softwareupdate in der Infrastruktur geschlossen wurde. Diese hätte es Angreifern erlaubt in Ihren Webspace einzudringen und Schadcode auszuführen. Dies unterbindet die Kommunikation von WordPress und dessen verwendeter Methode mit dem Webserver in einigen Bereichen der WordPress Instanz.

    Wir verweisen auf Schwachstellenbeschreibung CVE-2024-38474 (https://www.cve.org/CVERecord?id=CVE-2024-38474). Dieses Update wird generell auf allen gängigen Apache Instanzen installiert werden.

    Aus Sicherheitsgründen werden wir die unsichere Methode die WordPress verwendet auf den Hostsystemen nicht wieder freigeben. Wir bitten Sie ggfs. den Entwickler von WordPress zu Kontaktieren und Ihn auf die Schwachstelle hinzuweisen. Wir empfehlen ausdrücklich keine Modifikationen die dies umgeht umzusetzen, weil Sie dadurch angreifbar werden.

    Tja nun, die Kommunikation von und mit Strato war ne Katastrophe aber es funktioniert aktuell alles wieder.

    Chefchiller

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 25)