Jak działa admin-ajax.php?

Mamy problemy z zewnętrznym programistą.

Chcemy ograniczyć dostęp do wp-adminstrony tylko do dostępu wewnętrznego (przez VPN ). Po prostu nie będzie atakowany przez zewnętrznych użytkowników. Możemy wyliczyć administratorów z witryny i nie chcemy, aby zostali wyłudzeni.

Nasz programista twierdzi, że nie możemy tego zrobić, ponieważ strona musi mieć zewnętrzną stronę administratora, aby strona mogła działać. konkretnie admin-ajaxstrona.

Czym zajmuje się admin-ajax.phpstrona?

Znajduje się w sekcji administracyjnej WordPress. Czy dostęp nie jest uwierzytelniany przez użytkowników końcowych? Czy udostępnianie tego użytkownikom zewnętrznym jest niebezpieczne?

admin-ajax.phpjest częścią API AJAX WordPress i tak, obsługuje żądania zarówno z zaplecza, jak i z przodu. Staraj się nie martwić faktem, że to jest wp-admin. Myślę, że to też dziwne miejsce, ale samo w sobie nie stanowi problemu bezpieczeństwa. Jak to się odnosi do „wyliczenia administratorów”, nie wiem.

W przypadku użytkowników nieuwierzytelnionych i niezaufanych należy wprowadzić dwa wyjątki od VPN / Firewall / Apache .htaccess, które są:

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

Są to dwa auto-magiczne punkty końcowe, z których często korzysta zarówno wewnętrzna WP, jak i różne wtyczki.

Oto kilka wyjaśnień admin-post.php:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.phpdziała w bardzo podobny sposób, a pomocne wyjaśnienie znajduje się tutaj .

Moim osobistym zdaniem jest to okropny pomysł boga. Około dwa miesiące temu nasz dyrektor ds. Rozwoju nalegał, abyśmy to zrobili, wbrew radom zespołu deweloperów. To prawdziwy koszmar i niesamowity ból dla nas, nie tylko zabija wszystkich razem, ale także przedstawia nam tak wiele problemów administracyjnych.

Mamy 40 stałych pracowników i 4 deweloperów próbujących czasami korzystać z VPN, a to po prostu się zacina, a wszyscy użytkownicy wymagają teraz dwóch zestawów haseł, jednego dla wp i jednego dla VPN, a to nie tylko wspólne hasło, to indywidualne, ja oznacza, jak inaczej zrobiłbyś audyt bezpieczeństwa. Trudno jest zapamiętać jedno bezpieczne hasło, a co dopiero dwa.

Dodaj do problemu, że wiele osób nie wie, jak korzystać z VPN, a to często powoduje więcej problemów.

Ostatecznie jest to okropny pomysł i często jest zgłaszany przez kierownictwo lub wyższe, które nie znają ani nie rozumieją WordPressa. Widzą to w strasznym świetle, ponieważ ponieważ jest to oprogramowanie typu open source, musi to również stanowić problem bezpieczeństwa, wypełniony łatwymi w użyciu exploitami i tak dalej ... starzeje się.

WordPress jest bezpieczny, a trzymanie wp-admin za VPN to nie tylko strach przed manipulowaniem, ale także koszmar dla każdego członka zespołu

Dlaczego typy zarządzania nie mają zaufania, jeśli chodzi o WordPress, wydają się zapominać, że główne witryny używają WordPress i nie używają VPN, na przykład mashable.

Podsumowując:

Ajax nie będzie działał za VPN.

VPN to straszny pomysł z wyżej wymienionych powodów

WordPress jest bezpieczny i pozostanie taki, jeśli będziesz go aktualizować i wtyczek.

Słuchaj swojego Deva, płacisz im za ich wiedzę. Mogę obiecać, że nic nie podważa relacji roboczych, takich jak nie zaufanie do osoby i sprawdzenie jej wiedzy.

Jeśli korzystasz z VPN, pamiętaj, aby kupić wystarczającą liczbę licencji użytkowników.

Jeśli chcesz ograniczyć dostęp do zaplecza WP (np .:) wp-admin, po prostu użyj .htaccessreguły w wp-adminkatalogu.

Zapoznaj się z tym artykułem, aby uzyskać ogólny przegląd: Zabezpieczanie katalogu hasłem za pomocą .htaccess

Sprawdź także ten temat w konkretnym przypadku: Ochrona hasłem / wp-admin /