Probleme mit WP-Rocket

  • dgu19822

    (@dgu19822)


    6 months ago

    Hallo,

Es gibt ein Problem mit Headers Security Advanced & HSTS WP Version 5.0.36 - Das Plugin ist aktiviert und auf dem aktuellsten Stand.

Lasse ich online prüfen, ob die Security Header funktionieren, dann bekomme ich nur eine Fehlermeldung.

Ich habe einmal alle meine anderen WP-Plugins deaktiviert und bin bei WP-Rocket fündig geworden.

Ist WP-Rocket deaktiviert, funktioniert Headers Security Advanced & HSTS fehlerfrei.
Ist WP-Rocket aktiviert, so werden keine Security Header in WP angezeigt und/oder eingefügt

Somit funktioniert das Plugin Headers Security Advanced & HSTS mit WP-Rocket nicht fehlerfrei.

Bitte beheben Sie das problem, da ich ungerne auf Headers Security Advanced & HSTS verzichten m?chte.

Grü?e

Hello,

There is a problem with Headers Security Advanced & HSTS WP version 5.0.36 - The plugin is activated and up to date.

If I check online whether the security headers are working, I just get an error message.

I once deactivated all my other WP plugins and found what I was looking for at WP-Rocket.

If WP-Rocket is deactivated, Headers Security Advanced & HSTS works without errors.
If WP-Rocket is activated, no security headers will be displayed and/or inserted in WP

This means that the Headers Security Advanced & HSTS plugin does not work correctly with WP-Rocket.

Please fix the problem as I don't want to miss out on Headers Security Advanced & HSTS.

Greetings

    The page I need help with: [log in to see the link]

Viewing 12 replies - 1 through 12 (of 12 total)
  • Thread Starter dgu19822

    (@dgu19822)

    Problem ist auch in der Version 5.0.37 nicht gel?st

    Plugin Author Andrea Ferro

    (@unicorn03)

    Hello @dgu19822 ,

    I am Andrea thank you for your topic some time ago and for this feedback, I want to confirm you that I am picking up this issue that seems to be unresolved.

    I’m asking if you could provide me with inherent logs exclusively when you activate wp rocket with my plugin so I can more quickly identify the issue and release a patch

    Thread Starter dgu19822

    (@dgu19822)

    Hallo,

    Hier einmal ein paar Infos zur ganzen Angelegenheit.

    WordPress, WP-Rocket und das Headers Security Advanced & HSTS WP Plugin sind alle auf dem momentanen NEUSTEN / AKTUELLSTEN Stand.

    Im Security Advanced & HSTS WP Plugin sind jeweils Enable include subdomains und Enable preload aktiviert.

    Mit dieser Seite teste ich, ob der Security Header funktioniert. securityheaders.com und hier gibt es Noten von A+ bis F
    Bei bei aktivierten WP-Rocket-Plugin habe ich F und bei deaktivierten WP-Rocket-Plugin A+

    Es wurde jeweils die gleiche Seite getestet und hier kann man sich als Bild die jeweilgen Ergebnisse ansehen. Bitte die Bilder ansehen.

    https://i.postimg.cc/TPt9Bcb3/mit.png
    https://i.postimg.cc/DZmghbQd/ohne.png

    Das steht aktuell in meiner htaccess-Datei drin.

    BEGIN Headers Security Advanced & HSTS WP 5.0.37

    Header set Access-Control-Allow-Methods “GET,POST” Header set Access-Control-Allow-Headers “Content-Type, Authorization” Header set Content-Security-Policy “upgrade-insecure-requests;” Header set Cross-Origin-Embedder-Policy “unsafe-none; report-to=’default'” Header set Content-Security-Policy-Report-Only “upgrade-insecure-requests;” Header set Cross-Origin-Embedder-Policy-Report-Only “unsafe-none; report-to=’default'” Header set Cross-Origin-Opener-Policy “unsafe-none” Header set Cross-Origin-Opener-Policy-Report-Only “unsafe-none; report-to=’default'” Header set Cross-Origin-Resource-Policy “cross-origin” Header set Permissions-Policy “accelerometer=(), autoplay=(), camera=(), cross-origin-isolated=(), display-capture=(self), encrypted-media=(), fullscreen=, geolocation=(self), gyroscope=(), keyboard-map=(), magnetometer=(), microphone=(), midi=(), payment=, picture-in-picture=(), publickey-credentials-get=(), screen-wake-lock=(), sync-xhr=(), usb=(), xr-spatial-tracking=(), gamepad=(), serial=()” Header set Referrer-Policy “strict-origin-when-cross-origin” Header set Strict-Transport-Security “max-age=63072000; includeSubDomains; preload” Header set X-Content-Security-Policy “default-src ‘self’; img-src *; media-src * data:;” Header set X-Content-Type-Options “nosniff” Header set X-Frame-Options “SAMEORIGIN” Header set X-Permitted-Cross-Domain-Policies “none”

    END Headers Security Advanced & HSTS WP

    Plugin Author Andrea Ferro

    (@unicorn03)

    hi @dgu19822,

    can you by any chance provide me with the DOM log when wp-rocket and my plugin is active? thanks for the details above

    • This reply was modified 3 months, 1 week ago by Andrea Ferro.
    Thread Starter dgu19822

    (@dgu19822)

    Hallo,

    DOM log sagt mir nichts. Wo finde ich das?

    Grü?e

    Plugin Author Andrea Ferro

    (@unicorn03)

    Hallo @dgu19822 ,
    Sobald Sie wp-rocket und dann das Plugin aktiviert haben, sehen Sie sich die Protokolle der Browserkonsole an, z. B. Chrome, Firefox oder Ihren Standardbrowser.

    Es sollte Ihnen Protokolle zu Konflikten oder Warnungen zeigen, die nützlich sein k?nnen, um Ihnen bei dem Problem zu helfen.

    ? Klicken Sie mit der rechten Maustaste auf inspect und dann auf den Eintrag console

    Thread Starter dgu19822

    (@dgu19822)

    Hallo, das ist sicherlich das richtige, denn von Content-Security-Policy und Warnungen zu Content-Security-Policy finde ich was.

    Content-Security-Policy: Diese Website (https://www.spxxxxo) hat eine Nur-Bericht-Regel (report-only) ohne eine Bericht-URI. CSP wird nichts blockieren und kann keine Verst??e gegen diese Regel berichten. www.xxxxxxxx
    Layout-Darstellung wurde erzwungen, bevor die Seite vollst?ndig geladen war. Falls Stylesheet noch nicht geladen sind, kann dies zu einem kurzzeitigen Darstellung des Inhalts ohne Formatierung führen. rc2Contentscript.js:247:11
    downloadable font: Glyph bbox was incorrect (glyph ids 33 55 62 81 82 83 84 87 88 89 90 112 119 120 123 139 159 162 164 166 178 184 185 217 218 272 273 274 275 279 281 284 290 291 292 309 310 319 321 323 326 329 330 331 332 333 334 339 341 347 349 351 352 353 354 357 358 361 366 367 370z771 414 431 436 444 445 458 460 464 465 483 505 508 511 514 516 517 518 520 5213538 539 546 568 5724 579 580 585 586 594 596 599 602 603 616 618 622 627 629 630 633 634 638 643 645 651 654 665 675 685 686 688 691) (font-family: "FontAwesome" style:normal weight:400 stretch:100 src index:1) source: https://www.xxxxxxxx/wp-content/themes/greatwp/assets/fonts/fontawesome-webfont.woff2?v=4.7.0
    JQMIGRATE: Migrate is installed, version 3.4.1 jquery-migrate.min.js:2:981
    Cookie-Warnungen 6
    page lang detection: 49ms - Timer beendet fpTranslator.js:5407:21
    Das Skript von "https://www.clxxxxxxxx1&" wurde geladen, obwohl sein MIME-Typ ("text/html") kein für JavaScript gültiger MIME-Typ ist.
    www.xxxxxxxx
    Quellübergreifende (Cross-Origin) Anfrage blockiert: Die Gleiche-Quelle-Regel verbietet das Lesen der externen Ressource auf https://l.shajghjmom/pview?event=pview&hostname=www.xxxxxxxx&location=%2F&product=sop&url=https%3A%2F%2Fwww.xxxxxxxx%2F&source=sharethis.js&fcmp=false&fcmpv2=true&has_segmentio=false&title=fffff%20xxxxxxxx&refQuery=wp-admin&refDomain=www.xxxxxxxx&cms=unknown&publisher=65dhb515d13c001991tg40&sop=true&consent_duration=2&gdpr_consent=CQDPSUAQhEsACBDEBBFoAP_gAEPgAAYgINJB7C7FbSFCwH5zaLsAMAhHRsAAQoQAAASBAmABQAKQIAQCgkAQFASgBAACAAAAICZBIQIECAAACUAAQAAAAAAEAAAAAAAIIAAAgAEAAAAIAAACAAAAEAAIAAAAEAAAmAgAAIIACAAAhAAAAAAAAAAAAAAAAgCAAAAAAAAAAAAAAAAAAQOhSD2F2K2kKFkPCmwXYAYBCujYAAhQgAAAkCBMACgAUgQAgFJIAgCIFAhAAAAAAAQEiCQAAQABAAEIACgAAAAAAIAAAAAAAQQAABAAIAAAAAAAAEAAAAIAAQAAAAIAABEhCAAQQAEAAAAAAAQAAAAAAAAAAABAAA&gdpr_domain=www.xxxxxxxx&gdpr_method=api&version=st_sop.js&lang=en&description=xxxxxxxx%20%E2%80%93%20Die%20Funseiten%20deines%20t%C3%A4glhhhhh337-a34b-2181818e6cc5. (Grund: CORS-Kopfzeile 'Access-Control-Allow-Origin' fehlt). Statuscode: 499.

    Diese Seite befindet sich im Kompatibilit?tsmodus (Quirks). Das Seitenlayout kann beeinflusst werden. Verwenden Sie für den Standardmodus "".
    2 langfghml
    Die Zeichenkodierung des Dokuments wurde nicht deklariert, daher wurde die Kodierung anhand des Inhalts erraten. Die Zeichenkodierung muss im Content-Type-HTTP-Header, mit einem Meta-Tag oder mit einer Byte-Reihenfolge-Markierung deklariert werden. langg.html
    Für "https://www.rghjghj" wurde partitionierter Cookie- oder Speicherzugriff verwendet, da es im Kontext eines Drittanbieters geladen wurde und dynamische Zustandspartitionierung aktiv ist.

    Mit document.write() wurde ein nicht balancierter Baum geschrieben, was dazu geführt hat, dass Daten aus dem Netzwerk neu geparst werden mussten. Weitere Informationen: https://developer.mozilla.org/en-US/docs/Glossary/speculative_parsing langhml:23:9
    TypeError: ke.data.kernel.save.user_init is not a function
    kernel.js:376:37
    TypeError: undefined is not a function
    kernel.js:540:44
    Anfrage für Zugriff auf Cookies oder Speicher für "https://googleads.ghhhhh1.html" wurde blockiert, weil sie von einem Element zur Aktivit?tenverfolgung (Tracker) stammt und das Blockieren von Seitenelementen aktiviert ist.

    TypeError: ke.data.kernel.save.user_init is not a function
    kernel.js:376:37
    TypeError: undefined is not a function
    kernel.js:540:44
    Diese Seite befindet sich im Kompatibilit?tsmodus (Quirks). Das Seitenlayout kann beeinflusst werden. Verwenden Sie für den Standardmodus "".
    ads
    Diese Seite befindet sich im Kompatibilit?tsmodus (Quirks). Das Seitenlayout kann beeinflusst werden. Verwenden Sie für den Standardmodus "".
    ads
    TypeError: ke.data.kernel.save.user_init is not a function
    kernel.js:376:37
    Anfrage für Zugriff auf Cookies oder Speicher für "https://googleads.g.doublghghjgj1533&bpp=4&bdt=812&idt=227&shv=r20240807&mjsv=m202408080101&ptt=9&saldr=aa&abxe=1&cookie_enabled=1&eoidce=1&nras=1&correlator=3217945579860&frm=20&pv=2&u_tz=120&u_his=2&u_h=1080&u_w=1920&u_ah=1032&u_aw=1920&u_cd=24&u_sd=1&adx=-12245933&ady=-12245933&biw=1903&bih=947&scr_x=0&scr_y=0&eid=44759875%2C44759926%2C44759842%2C95334520%2C44795921%2C95330279%2C95334524%2C95334830%2C95337868%2C31086012%2C95338263%2C95336267&oid=2&pvsid=309624951790460&tmod=2134864614&uas=0&nvthjgxxxxxx%2Fwp-admin%2Fplugins.php&fc=1920&brdim=-8%2C-8%2C-8%2C-8%2C1920%2C0%2C1936%2C1048%2C1920%2C947&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=32768&bc=31&bz=1.01&ifi=1&uci=a!1&fsb=1&dtd=534" wurde blockiert, weil sie von einem Element zur Aktivit?tenverfolgung (Tracker) stammt und das Blockieren von Seitenelementen aktiviert ist.

    Anfrage für Zugriff auf Cookies oder Speicher für "https://googleads.g.doubhjABAAIAAAAAAAAEAAAAIAAQAAAAIAABEhCAAQQAEAAAAAAAQAAAAAAAAAAABAAA&addtl_consent=2~70.89.93.108.122.149.196.236.259.311.313.323.358.415.449.486.494.495.540.574.609.827.864.981.1029.1048.1051.1095.1097.1126.1205.1276.1301.1365.1415.1423.1449.1514.1570.1577.1598.1651.1716.1735.1753.1765.1870.1878.1889.1958.2072.2253.2299.2357.2373.2415.2506.2526.2568.2571.2575.2624.2677~dv.&client=ca-pub-8601349497857982&output=html&h=280&slotname=3365049882&adk=685f55637&adf=2170158767&pi=t.ma~as.3365049882&w=1018&abgtt=6&fwrn=4&fwrnh=100&lmt=1723501122&rafmt=1&format=1018x280&url=https%3A%2F%2Fwww.xxxxxxxxg2F&fwr=0&fwrattr=true&rpe=1&resp_fmts=3&wgl=1&dt=1723501121533&bpp=1&bdt=811&idt=236&shv=r20240807&mjsv=m202408080101&ptt=9&saldr=aa&abxe=1&cookie_enabled=1&eoidce=1&prev_fmts=0x0&nras=1&correlator=3217945579860&frm=20&pv=1&u_tz=120&u_his=2&u_h=1080&u_w=1920&u_ah=1032&u_aw=1920&u_cd=2753u_sd=1&adx=443&ady=229&biw=1903&bih=947&scr_x=0&scr_y=0&eid=44759875%2C44759926%2C44759842%2C95334520%2C44795921%2C95330279%2C95334524%2C95334830%2C95337868%2C31086012%ff5338263%2C95336267&oid=2&pvsid=309624951790460&tmod=2134864614&uas=0&nvt=1&ref=https%3A%2F%2Fwww.xxxxxxxx%2Fwp-admin%2Fplugins.php&fc=1920&brdim=-8%2C-8%2C-8%2C-8%2C1920%2C0%2C1936%2C1048%2C1920%2C947&vis=1&rsz=%7C%7CoeE%7C&abl=CS&pfx=0&fu=128&bc=31&bz=1.01&ifi=2&uci=a!2&fsb=1&dtd=537" wurde blockiert, weil sie von einem Element zur Aktivit?tenverfolgung (Tracker) stammt und das Blockieren von Seitenelementen aktiviert ist.

    TypeError: undefined is not a function
    kernel.js:540:44
    TypeError: ke.data.kernel.save.user_init is not a function
    kernel.js:376:37
    TypeError: undefined is not a function
    kernel.js:540:44
    Warnungen zu Content-Security-Policy 6
    Content-Security-Policy: Ignorieren von "'unsafe-inline'" innerhalb script-src: 'strict-dynamic' angegeben aframe
    Content-Security-Policy: Ignorieren von "https:" innerhalb script-src: 'strict-dynamic' angegeben aframe
    Content-Security-Policy: Ignorieren von "http:" innerhalb script-src: 'strict-dynamic' angegeben aframe
    Content-Security-Policy: Ignorieren von "https://ff.kis.v2.scr.kaspersky-labs.com" innerhalb script-src: 'strict-dynamic' angegeben aframe
    Content-Security-Policy: Ignorieren von "wss://ff.kis.v2.scr.kaspersky-labs.com" innerhalb script-src: 'strict-dynamic' angegeben aframe
    Content-Security-Policy: Ignorieren von "'unsafe-inline'" innerhalb script-src: nonce-source oder hash-source angegeben aframe
    Die Ressource unter "https://ff.kis.v2.scr.kaspersky-labs.com/FD126C42-EBFA-4E12-B309-BB3FDD723AC1/main.js?attr=eVjlUy3mf8WXysXM1VYJwCTXfhFE1kO0hethwYBfhXE2LbRIhFLIpk4AFkPvpjxBvKI8A9q-Zb94pPmEuw" wurde aufgrund ihres Cross-Origin-Resource-Policy-Headers (oder dessen Fehlens) blockiert. Weitere Informationen unter https://developer.mozilla.org/docs/Web/HTTP/Cross-Origin_Resource_Policy_(CORP)# aframe
    Für "https://www.google.com/recaptcha/api2/aframe" wurde partitionierter Cookie- oder Speicherzugriff verwendet, da es im Kontext eines Drittanbieters geladen wurde und dynamische Zustandspartitionierung aktiv ist.

    Die Ressource unter "https://ff.kis.v2.scr.kaspersky-labs.com/FghC42-EBhj,A-4E12-B3559-BB45D723AC1/main.js?attr=eVdluDlUhfgh8WXysXM1VYJwCTXfhFE1kO0hwJwYBfhXE2LbRIghFLIpk4AFkPvpjxBvKI8A9q-ZooomxpPmEuw" wurde aufgrund ihres Cross-Origin-Resource-Policy-Headers (oder dessen Fehlens) blockiert. Weitere Informationen unter https://developer.mozilla.org/docs/Web/HTTP/Cross-Origin_Resource_Policy_(CORP)# aframe
    Laden fehlgeschlagen für das
    Plugin Author Andrea Ferro

    (@unicorn03)

    hi @dgu19822,

    thanks for the information i ask you during the verification if kaspersky-labs.com by any chance do you notice any blocking warnings ? in the meantime i verify your information and continue a test with wp-rocket and some test sites of my own.

    Thread Starter dgu19822

    (@dgu19822)

    Hallo,

    Auf meinem Computer habe ich das Programm “Kaspersky Internet Security” als Viren- und Internetschutzprogramm installiert.

    Das hat mit WordPress nichts zu tun.

    Thread Starter dgu19822

    (@dgu19822)

    Hallo,

    Ich wollte einmal fragen, ob sich in dieser Angelegenheit schon etwas getan hat, da das Problem weiterhin besteht.

    Grü?e

    Hi

    I am having the same issue – https://www.boatwright.co.uk

    When the cache is cleared the security headers are present, once wp-rocket preloads and generates html pages there are no security headers

    • This reply was modified 2 weeks, 3 days ago by boatwrightr.

    Hi

    i think the problem may be that the json file is being overwritten after your plugin adds the headers

    We have both Wordfence and wp-rocket running. Looking at the generated json file on the site there is no reference to security headers

    When the rocket cache is cleared the headers are there briefly before it reloads again

Viewing 12 replies - 1 through 12 (of 12 total)
  • You must be logged in to reply to this topic.