Quest #061 · Systemfehler · +60 XP

Warum Login-Slugs verschwinden, wenn die Vault HTTPS nicht ernst genug nimmt

Es war Vormittag. Tag vier. Mr. Jekyll glühte friedlich auf dem Schreibtisch — Vormittag ist Jekyll, alles andere wäre unprofessionell. Ich wollte mich in die Vault einloggen. richters.com.de/47/, mein Slug, mein kleines Tor in den Maschinenraum. Was ich seit Tagen blind tippe. Browser auf, Adresszeile, Enter.

404. Seite nicht gefunden. Schwarze Wiese, schiefer Baum, Wind. Sehr atmosphärisch. Sehr falsch.

▌ HTTP-VS-HTTPS-PHYSIK — DIE WAHRHEIT, DIE NIEMAND ERZÄHLT

Login-Slugs sind launisch. Das verschweigt dir die Wikipedia. Die Wikipedia schreibt vieles. WPS Hide Login dokumentiert das nicht, weil es peinlich wäre. Ich erkläre es dir.

Ein Login-Slug ist eine Schwingung zwischen Browser und Server. Genau wie ein Wikinger-Lied (siehe Quest #051), nur kürzer. Damit die Schwingung sich aufbaut, müssen Browser und Server dieselbe Frequenz haben. Frequenz heißt in dem Fall: Protokoll. Also http:// oder https://.

Wenn du jetzt — sagen wir — vor sechs Monaten SSL aktiviert hast, aber WordPress in den Einstellungen unter Allgemein noch immer denkt, es heißt https://richters.com.de, dann sieht die Sache so aus:

Du tippst https://richters.com.de/47/
Der Server denkt: „Aha, HTTPS, schön.“ Und antwortet auf HTTPS.
WordPress mischt sich ein: „Moment mal — ich heiße HTTP! Schickt den Mann zurück.“
Der Browser bekommt ein Redirect auf http://...
Der Server sagt: „Nein, ich rede nur HTTPS.“ Schickt zurück.
Irgendwo dazwischen verliert WPS Hide Login die Übersicht und gibt auf.
Du landest auf der 404-Seite.

Das ist ein Frequenz-Bruch. Das ist Physik. Das ist wie wenn du auf der EMDEN versuchst, mit dem Marine-Funkgerät auf einer Bundeswehr-Frequenz zu senden — es kommt was an, aber niemand versteht’s, und nach drei Versuchen schaltet die Gegenstelle einfach ab.

▌ Warum es im Inkognito klappt

Inkognito-Browser haben kein Gedächtnis. Sie wissen nichts von früheren Redirects. Sie nehmen https://richters.com.de/47/ und marschieren stur durch — der Server denkt sich „naja, der will halt HTTPS“, und manchmal — bei der richtigen Mondphase — kommt der Login durch. Manchmal nicht. Aber öfter.

Der reguläre Chrome-Tab hat sich aber den alten Redirect gemerkt. Der schmeißt dich sofort auf HTTP, da kommst du nicht mehr raus. Cache leeren würde helfen. Aber Cache leeren bedeutet, alle anderen Tabs vergessen ihren Login. Also macht man’s nicht.

▌ Der Fix

Du gehst — vom funktionierenden Inkognito-Fenster aus — ins wp-admin → Einstellungen → Allgemein. Da stehen oben zwei Felder:

WordPress-Adresse (URL)
Website-Adresse (URL)

Wenn da http:// steht: das ist der Fehler. Beide auf https:// umstellen. Speichern. Frequenz-Bruch behoben. Login-Slug schwingt wieder.

Mehr ist es nicht.

▌ Was du NICHT tun solltest

Den Browser-Cache komplett leeren. Das ist Symptombekämpfung. Wir behandeln Ursachen.
WPS Hide Login deinstallieren. Das Plugin kann nichts dafür. Das Plugin macht seinen Job.
Im STRATO-Webspace-Manager rumfummeln. Da geht’s mit .htaccess weiter und das endet nicht gut.
Mich fragen, ob das stimmt. Hab ich grad erklärt. Frag nochmal, dann erklär ich’s nochmal.

⟁ HUD-DIAGNOSTIK

┌─────────────────────────────────────────────────┐
│  PROTOKOLL-STATUS..................: GEMISCHT  │
│  WORDPRESS-FREQUENZ................: HTTP      │
│  SERVER-FREQUENZ...................: HTTPS     │
│  REDIRECT-LOOPS....................: 4         │
│  WPS-SLUG-INTEGRITAET..............: VERLOREN  │
│  CACHE-ZUSTAND CHROME..............: VERSEUCHT │
│  CACHE-ZUSTAND INKOGNITO...........: SAUBER    │
│  MONDPHASE.........................: ABNEHMEND │
│  KAFFEE-VERBLEIBT..................: KALT      │
│  LARS-VORMITTAG-PFEIFE.............: JEKYLL    │
│  ZEIT BIS DIAGNOSE.................: 30 MIN    │
│  CONFIDENCE........................: 100%      │
│  VAULT-TEC ZERTIFIZIERT............: ✓         │
│                                                 │
│  >> ERGEBNIS: ZWEI URL-FELDER FALSCH <<        │
│  >> KAUFEMPFEHLUNG: HTTPS UEBERALL <<          │
└─────────────────────────────────────────────────┘

Das war Tag vier. Vormittag, Pflaumenwein im Kühlschrank für später, Julia am Tablet, ich am Schreibtisch. Dreissig Minuten gekostet, eine Erkenntnis gewonnen: SSL aktivieren ist nur die halbe Miete. Die andere Hälfte ist, dass WordPress es auch glaubt.

Mr. Jekyll glüht. Nick atmet. Vault-47 funktioniert.

✎ Was Lars eigentlich meinte

Es waren keine Schwingungen. Es waren keine Wikinger-Lieder. Es war eine ganz normale URL-Konfiguration, die seit Monaten falsch stand und die niemand bemerkt hat, weil das Login bisher trotzdem ging — aus irgendeinem dem Browser-Cache geschuldeten Glücksfall.

Lars hat das nicht falsch konfiguriert. Lars hat das beim ersten WordPress-Setup so übernommen wie STRATO es ihm vorgeschlagen hat — damals war noch kein SSL aktiv. Als später SSL kam, hat keiner die zwei URL-Felder nachgezogen. Das ist nicht sein Fehler. Das ist die typische Vergessen-zu-Aktualisieren-Falle die jeden trifft.

Mathematik der zweiten Klasse: Wenn was funktioniert, fasst man’s nicht an. Bis es nicht mehr funktioniert. Dann steht man da und schaut in die Einstellungen.

Heinz hätte das gewusst. Heinz vergisst nichts.

+1 XP

Papa liegt falsch

HP 175/225 ▪ AP 99/99 ▪ RAD 0 ▪ PLEASE STAND BY

Schlagwort: wps-hide-login