Accès à wp-json forbidden (403)

je confirme avec Gutemberg qui n'est pas encore livré en standard (prévu v5)
`You don't have permission to access /wp-json/wp/v2/posts/... on this server.`
ce qui me parait normal, le répertoire ` /wp-json/` n'existe pas

si j'en crois les https://github.com/WordPress/gutenberg/issues issues et les pull requests non fermées de Gutemberg, je pense qu'il est urgent de ne pas l'utiliser :/

il suffit de le désinstaller

sur les sites sortis de boites ou sur les sites sur lesquels je suis intervenus, pas ce chemin...

je n'utilise pas le module 1 clic d'ovh pas à jour

Même soucis sur la plupart de mes sites, les requêtes POST vers /wp-json/wp/v2/posts (et autres post types, d'ailleurs) renvoient systématiquement une erreur 403. Très ennuyeux quand on a des projets entiers basés sur l'API REST… Problème observé sur des multisites, des sites basiques, avec ou sans Gutenberg, avec ou sans JetPack, avec ou sans plugins tout court.

je viens d'essayer sur un wordpress, **installation manuelle**, sans plugins, sorti de la boite:

* installation gutemberg, erreur 403 `/wp-json/wp/v2/posts/...`

même procédure sur mon nouvel hébergeur:

* installation gutemberg, TOUT fonctionne

j'ai rien trouvé dans la doc api rest pour me mettre sur la voie, j'ai essayé deux plugins d'authentification, deux navigateurs, un réglage htaccess, des accès curl avec authentification, **rien toujours la même erreur**

Ovh pose problème (un de plus)

J'ai − apparemment − résolu le problème en désactivant le firewall, hint donné par https://community.ovhcloud.com/community/fr/request-http-php?id=community_question&sys_id=641fa90cb5d60ad0f078da7e5576c974 cette réponse à un autre sujet. Mon serveur était déjà en `production` et `stable`, mais avec firewall activé ; `http.firewall=none`a immédiatement réglé le problème de 403. À voir si ça tient dans le temps…

ah curieux, j'ai le firewall désactivé pourtant, mais oui, sur le principe, il VAUT MIEUX ne pas l'activer ici (mod_security, apache)

j'ai fait un test dernièrement sur ce "firewall".
je l'ai activé pour tester une discussion.

MAIS même désactivé, je vois qu'il est toujours en place :/

**désactiver firewall récalcitrant**:
https://community.ovhcloud.com/community/fr/admin-inaccessible?id=community_question&sys_id=95633d4cf5d246d02d4c5f7a9ab361a3?u=kyodev

Bonjour,

le firewall n'active ou ne désactive aucune fonction de apache, il fait juste du filtre sur des règles que seul OVH connait (car c'est eux qui les gèrent).

Donc si il vous pose problème ==> désactivation.

Cordialement, janus57

> Il sera peut être intéressant de savoir en détail ce qu'il se passe si l'on désactive

moi j'aimerai bien savoir en détail ce qu'il se passe quand on l'active alors qu'il est désactivé par défaut

ne pas confondre un firewall avec cet affreuse appellation ici du mod_security de Apache

Bonjour,

j'ai trouvé cette article,

il n'a rien à voir avec le firewall du mutu qui est un WAF et qui se nomme mod_security.

Cordialement, janus57

par défaut ce n'est pas activé
l'article ne concerne pas le même firewall dont on parle ici
c'est un abus de langage de Ovh de parler du firewall pour le site, c'est juste un mod_security apache activé avec des règles obscures

Bonjour,

donc c'est quoi ce firewall network dans le VAC ?

c'est un firewall de "pré-filtrage" dans la solution anti-DDoS de OVH, mais c'est valable pour les VPS/Dédié, le mutu a encore une autre protection anti-DDoS plus spécifique.

Cordialement, janus57

Bonjour à tous,

Meme problème que ce que tout le monde rapporte plus haut : Je viens de faire la MAJ wordpress 5.02 et depuis, plus possible d'enregistrer les articles (je suppose que c'est la passage au nouvel éditeur qui pose problème) ou encore de modifier les réglages dans Jetpack (ça il me semble que j'avais déjà le soucis avant la MAJ). Bref le seul moyen pour que tout fonctionne désormais est de désactiver le firewall OVH (dans l'onglet multisite)..
Du coup j'ai bien un plugin de sécurité, mais que risque t on à ne plus utiliser le firewall OVh, est il si performant que ça ?
Sinon quelqu'un a une idée pour contourner cela (je veux dire utiliser le Firewall OVH sans que cela ne gêne pour l'utilisation du site) ?

comme indiqué plus haut, ce truc mal configuré sur Ovh n'est pas une sécurité!

ce n'est pas la faute de mod_security en lui même

si tu veux tu veux utiliser le le Firewall OVH, change de cms ;)

mod_security

Bonjour à tous,

même problème que vous. Je ne l'avais constaté pour le moment que sur la page de réglages de Jetpack.
Mais avec l'arrivée de Gutenberg, c'est beaucoup plus problématique : on ne peut pas créer d'article.
La fonction de sauvegarde automatique ne fonctionne pas, on ne peut pas visualiser un brouillon.

A chaque requête de sauvegarde auto (http://mon_nom_de_domaine/wp-json/wp/v2/posts/3267/autosaves?_locale=user) on obtient une erreur 403.
Je trouve ça fou de devoir désactiver mod_security.
Ovh ne peut pas régler le problème ?

cela bloque l'api rest, là est le problème
mais que penses tu que mod_security puisse t'apporter, tu ne connais pas sa config?
sais tu au moins ce que c'est?

pour désactiver:

* hébergement: infos générales, configuration (en profiter pour se débarrasser d'une éventuelle image legacy, et d'avoir php 7.2, pas plus, après avoir sauvegardé)
* éventuellement si ce n'est pas suffisant, chasser le https://docs.ovh.com/fr/hosting/configurer-fichier-ovhconfig/ fichier .ovhconfig

Je suis nouveau et voulais mettre en place un hébergement facilement avec OVH.
Je viens de passer 15 jours à me prendre la tete à chercher un problème qu'OVH devrait me signaler (J'ai plus de 3 tickets ouverts chez eux)

J'ai eu moi aussi ce problème. Après de nombreuses heures passées et en désactivant le firewall, j'ai compris que c'est lui qui posait problème. Une fois le sujet compris j'ai fait une recher et suis tombé sur ce post.
Comment faire pour informer les autre utilisateurs OVH.
Le service client OVH n'est pas aidant sur ses sujets/ ou n'est pas formé