it-swarm-eu.dev

Jak funguje admin-ajax.php?

Máme nějaké problémy s externím vývojářem.

Chceme omezit přístup na stránku wp-admin pouze na interní přístup (přes VPN ). Jednoduše tak nebude napaden externími uživateli. Můžeme vyjmenovat správce z webu a nechceme, aby byly phishing.

Náš vývojář říká, že to nemůžeme udělat, protože stránka musí mít přístupnou stránku pro správu externě, aby stránka fungovala. konkrétně stránku admin-ajax.

Co dělá stránka admin-ajax.php?

Je umístěn v admin části WordPressu. Je přístup ke koncovým uživatelům neoverený? Je to nebezpečné, pokud je tato možnost k dispozici externím uživatelům?

12
nick

admin-ajax.php je součástí WordPress AJAX API , a ano, zpracovává požadavky z backendu i front. Snažte se obávat toho, že je v wp-admin. Myslím, že je to pro něj také zvláštní místo, ale není to bezpečnostní problém sám o sobě. Jak to souvisí s "výčtem administrátorů", nevím.

4
s_ha_dum

Pro neautentizované a nedůvěryhodné uživatele budete chtít provést dvě konkrétní výjimky ze své sítě VPN/Firewall/Apache .htaccess, kterými jsou:

  • yoursite.com/wp-admin/admin-post.php
  • yoursite.com/wp-admin/admin-ajax.php

Jedná se o dva auto-magické koncové body, které hodně používá jak interní WP, tak i různé pluginy.

Zde je několik vysvětlení, co Admin-post.php dělá: - https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

Admin-ajax funguje velmi podobným způsobem a užitečné vysvětlení je zde .

3
haz

Můj osobní názor je, že se jedná o bůh hrozný nápad. Asi před dvěma měsíci náš vývojář trval na tom, abychom to dělali, hodně proti radám týmu Dev. Je to opravdová noční můra a neuvěřitelná bolest pro nás, a to nejen že zabíjí iaxa dohromady, ale představuje pro nás tolik administrativních problémů.

Máme 40 pravidelných zaměstnanců a 4 devs se snaží občas používat vpn a je to jen koktání, spolu s tím, že všichni uživatelé nyní vyžadují dvě sady hesel, jednu pro wp a jednu pro vpn a to není jen sdílené heslo, které je individuální, I znamená, jak jinak byste provedli bezpečnostní audit. Je dost těžké zapamatovat si jedno bezpečné heslo, natož dva.

Přidat k problému, že mnoho lidí neví, jak používat vpn a často jen způsobuje více problémů.

Nakonec je to hrozný nápad a je často předkládán managementem nebo vyšší, kteří neznají ani nerozumí WordPress. Vidí to v hrozném světle, že protože je to open source, musí to být také bezpečnostní problém, naplněný snadno využitými exploity a tak dále ... jeho stárnutí.

WordPress je bezpečný a lepení wp-admin za vpn je nejen strach mongering představuje noční můra pro každého člena týmu

Proč je to, že management typy nemají důvěru, pokud jde o WordPress, zdá se, že zapomenout na hlavní stránky používají WordPress a nepoužívají vpns, podívejte se na mashable například.

Takže k rekapitulaci:

Ajax nebude fungovat za vpn.

Vpn je hrozný nápad z výše uvedených důvodů

WordPress je bezpečný a zůstane tak, pokud jej budete udržovat a aktualizovat.

Poslechněte si svůj Dev, zaplatíte za jejich odborné znalosti. Můžu vám slíbit, že nic nenarušuje pracovní vztah, jako kdybyste svou důvěru nevkládali jednotlivci a nemuseli kontrolovat své znalosti.

Pokud jdete s vpn, nezapomeňte si koupit dostatek uživatelských licencí.

2
MichaelJames

Chcete-li omezit přístup k backendu WP (např. wp-admin), použijte pravidlo .htaccess v adresáři wp-admin.

Obecné informace naleznete v tomto článku: Ochrana heslem adresáře pomocí .htaccess

Podívejte se také na toto téma pro konkrétní případ: Ochrana heslem/wp-admin/

2
skim-