Dans WP versions> = 4.0, FORCE_SSL_LOGIN impose-t-il HTTPS pour toute la session administrateur?

Si je ne me trompe pas, je me souviens d'avoir été en mesure d'utiliser FORCE_SSL_LOGIN pour sécuriser uniquement le processus de connexion WP et non la session d'administrateur en entier, qui est l'objectif de FORCE_SSL_ADMIN. Certains navigateurs conserveraient HTTPS dans l'URL après la connexion, mais le passage à HTTP ne redirigerait pas vers HTTPS.

J'ai WP 4.0 et 4.1 installations, et j'utilise le FORCE_SSL_LOGIN définir dans mon fichier wp-config.php, mais toute tentative d'utilisation de HTTP pendant une session d'administration est redirigée vers HTTPS.

Avant de rencontrer ce problème, je n'avais pas consulté le code source de ce processus, mais il me semble que FORCE_SSL_LOGIN et FORCE_SSL_ADMIN génèrent la même expérience, HTTPS, pour toute la session d'administration.

En regardant wp_ssl_constants() dans wp-includes/default-constants.php, je vois que force_ssl_admin(true) est appelé, si FORCE_SSL_LOGIN est défini et true. De plus, wp-admin/admin.php appelle auth_redirect() (voir wp-includes\pluggable.php) et auth_redirect() utilise force_ssl_admin() et semble rediriger vers HTTPS si FORCE_SSL_LOGIN est vrai et que la demande actuelle utilise HTTP et que l'URL de la demande contient "wp- admin ".

Est-ce que quelqu'un d'autre a vécu ce comportement? Est-ce que je comprends le code correctement?