Par défaut, WordPress applique des tests sécuritaires aux URL téléchargées pour les flux RSS par exemple. Cela est une très bonne chose d’un point de vue de la sécurité. Une des conséquences de ces tests, c’est que les adresses URL pointant vers des IP locales sont bloquées au téléchargement. Pour les flux RSS cela peut être pénalisant.
Sommaire
Description de la situation
Tout d’abord, assurez-vous que le module XML de PHP (exemple php7.0-xml) est installé et chargé, car il est nécessaire au traitement des flux RSS. Notamment le message d’erreur « Une erreur est survenue, le flux est probablement indisponible. Veuillez réessayer plus tard. » signifie un échec total de téléchargement qui peut être du au manque de XML pour PHP.
Le problème se produit par exemple avec ce fichier /etc/hosts suivant qui permet de forcer l’accès par l’interface interne à un un site hébergé localement. Cela ne pose pas le moindre problème à Apache du moment que le VirtualHost est compatible avec de multiple IP comme ceci : <VirtualHost *:80> .
|
1 2 |
127.0.0.1 www.site-heberge-localement.fr 192.168.1.1 www.autre-site-local.fr |
En essayant d’ajouter l’adresse http://www.site-heberge-localement.fr/feed/ dans le widget WordPress, on rencontrera le message d’erreur suivant : « A valid URL was not provided. » ou en Français « L’URL fournie n’est pas valide.« . On pourrait croire que WordPress ne respecte pas le fichiers hosts alors que si, il bloque juste les IP locales.
Lever l’interdiction de télécharger du contenu local
Le code responsable de ce blocage est dans wp-includes/class-http.php, ligne 253 à 255 et plus précisément la ligne $url = wp_http_validate_url( $url ); . Le fait de commenter cette ligne bypassera les contrôles de sécurité et permettra de récupérer le flux RSS. Mais ce n’est pas une bonne solution.
|
1 2 3 4 5 6 7 8 |
if ( function_exists( 'wp_kses_bad_protocol' ) ) { if ( $r['reject_unsafe_urls'] ) { $url = wp_http_validate_url( $url ); } if ( $url ) { $url = wp_kses_bad_protocol( $url, array( 'http', 'https', 'ssl' ) ); } } |
Plus précisément dans wp-includes/http.php ligne 743 (ou 606 selon votre version) on remarque que les hôtes locaux sont refusés « sauf si expressément autorisés ».
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
if ( $ip ) { $parts = array_map( 'intval', explode( '.', $ip ) ); if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || ( 172 === $parts[0] && 16 <= $parts[1] && 31 >= $parts[1] ) || ( 192 === $parts[0] && 168 === $parts[1] ) ) { // If host appears local, reject unless specifically allowed. /** * Check if HTTP request is external or not. * * Allows to change and allow external requests for the HTTP request. * * @since 3.6.0 * * @param bool false Whether HTTP request is external or not. * @param string $host IP of the requested host. * @param string $url URL of the requested host. */ if ( ! apply_filters( 'http_request_host_is_external', false, $host, $url ) ) return false; } } |
Une bonne solution serait d’injecter une whitelist dans WordPress afin de ne pas contrôler sévèrement les hôtes connus.
Bingo, c’est à priori ici, qu’on va pouvoir agir, ligne 584. Dans l’idéal il faudrait surcharger la méthode allowed_http_request_hosts() dans le fichier functions.php du thème.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
/** * Whitelists allowed redirect hosts for safe HTTP requests as well. * * Attached to the {@see 'http_request_host_is_external'} filter. * * @since 3.6.0 * * @param bool $is_external * @param string $host * @return bool */ function allowed_http_request_hosts( $is_external, $host ) { if ( ! $is_external && wp_validate_redirect( 'http://' . $host ) ) $is_external = true; return $is_external; } |
On peut ajouter par exemple dans cette fonction les lignes suivants avant l’instruction return.
|
1 2 |
if ($host == "www.site-heberge-localement.fr") $is_external = true; |
La bonne manière : modification des filters WordPress
Plutôt que de modifier le code de /wp-includes/http.conf je vous propose de regarder simplement /wp-includes/default-filters.php. On y trouve la ligne :
|
1 |
add_filter( 'http_request_host_is_external', 'allowed_http_request_hosts', 10, 2 ); |
Cela ouvre la voie à une customisation via le fichier functions.php du thème. Dans /wp-content/themes/custom-theme/functions.php :
|
1 2 3 4 5 6 7 8 9 10 11 12 |
function allowed_http_request_hosts_custom( $is_external, $host ) { if ( ! $is_external && wp_validate_redirect( 'http://' . $host ) ) { $is_external = true; } if (in_array($host, array("domaine1.fr", "www.domaine2.fr", "www.domaine3.eu"))) { $is_external=true; } return $is_external; } remove_filter( 'http_request_host_is_external', 'allowed_http_request_hosts', 10, 2 ); add_filter( 'http_request_host_is_external', 'allowed_http_request_hosts_custom', 10, 2 ); |
Voilà enfin une modification qui survivra aux mises à jour de WordPress !
Liens en rapport
- RSS WP HTTP Error: A valid URL was not provided. ‘reject_unsafe_urls’, WordPress.org
- WordPress you make me mad, gist.github.com
- How do I use the ‘http_request_host_is_external’ filter, wordpress.stackexchange.com
Une fonctionnalité connexe de WordPress et qui a trait à la sécurité, c’est le blocage des téléchargements externes dans wp-config.php avec le paramètre WP_HTTP_BLOCK_EXTERNAL et de spécifier une whitelist avec le paramètre WP_ACCESSIBLE_HOSTS . Exemple dans wp-config.php
|
1 2 |
define('WP_HTTP_BLOCK_EXTERNAL', true); define('WP_ACCESSIBLE_HOSTS', 'sitedistant.fr,autresite.com'); |
Mais nous avons vu dans le code plus haut que cela ne corrigera pas le blocage des IP internes.
