Як працює admin-ajax.php?

У нас виникають деякі проблеми із зовнішнім розробником.

Ми хочемо обмежити доступ до wp-adminсайту лише до внутрішнього доступу (через VPN ). Просто так на нього не будуть нападати зовнішні користувачі. Ми можемо перерахувати адміністраторів із сайту та не хочемо, щоб вони фіширувалися.

Наш розробник каже, що ми не можемо цього зробити, оскільки сайт повинен мати сторінку адміністратора зовнішньо, щоб сторінка діяла. конкретно на admin-ajaxсторінці.

Що робить admin-ajax.phpсторінка?

Він розташований у розділі адміністратора WordPress. Чи отримують доступ до нього не автентифіковані кінцевими користувачами? Чи небезпечна практика надавати це доступним зовнішнім користувачам?

admin-ajax.phpє частиною API WordPress AJAX , і так, він обробляє запити як із бекенда, так і з фронту. Постарайтеся не турбуватися про те, що воно є wp-admin. Я думаю, що це теж дивне місце для цього, але це не є проблемою безпеки сама по собі. Як це стосується "перерахування адміністраторів", я не знаю.

Для неавторизованих та ненадійних користувачів вам потрібно зробити два винятки для вашого VPN / брандмауера / Apache .htaccess, які є:

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

Це дві кінцеві точки автоматичної магії, які багато використовуються як внутрішніми WP, так і різними плагінами.

Ось кілька пояснень того, що admin-post.phpробить:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.phpпрацює дуже схожим чином, і корисне пояснення тут .

Моя особиста думка, що це бога жахлива ідея. Близько двох місяців тому наш директор з розробки наполягав, що ми робимо саме це, на противагу порадам команди Dev. Це справжній кошмар і неймовірний біль для нас, він не тільки вбиває аякса, а разом і разом з нами створює стільки проблем з адміністрацією.

У нас 40 штатних співробітників і 4 розробники, які намагаються використовувати vpn часом, і він просто заїкається, а також всім користувачам зараз потрібні два набори паролів, один для wp і один для vpn, і це не просто загальний пароль, це індивідуальні, я означає, як інакше ви зробили б аудит безпеки. Досить важко запам’ятати один безпечний пароль, не кажучи вже про два.

Додайте до проблеми, що багато людей не знають, як використовувати vpn, і часто це викликає більше проблем.

Зрештою, це жахлива ідея, і її часто висувають керівництво або вище, які не знають і не розуміють WordPress. Вони бачать у жахливому світлі, що, оскільки це відкритий код, це також має бути проблемою безпеки, наповненою легко використовуваними подвигами тощо. Старіння.

WordPress захищений і тримає wp-адмініструвальника за vpn - це не лише страх, що надихається, він представляє кошмар для кожного члена команди

Чому типи управління не мають довіри, коли мова заходить про WordPress, вони, здається, забувають, що основні сайти використовують WordPress і не використовують vpns, подивіться, наприклад, на mashable.

Отже, резюмувати:

Ajax не працюватиме за vpn.

Vpn - жахлива ідея з вищезгаданих причин

WordPress захищений і залишатиметься таким, якщо ви будете постійно його оновлювати та додатки.

Слухайте свого Dev, ви платите їм за їхній досвід. Я можу вам пообіцяти, що ніщо не підриває робочих відносин, як, наприклад, не довіряти особі і не потрібно перевіряти їх знання.

Якщо ви хочете користуватися vpn, не забудьте придбати достатню кількість ліцензій користувача.

Якщо ви хочете обмежити доступ до бекенда WP (наприклад:) wp-admin, просто використовуйте .htaccessправило в wp-adminкаталозі.

Перегляньте цю статтю для загального огляду: Захист паролем каталогу за допомогою .htaccess

Також ознайомтеся з цією темою для вашого конкретного випадку: Захист паролем / wp-admin /