Wir haben einige Probleme mit einem externen Entwickler.
Wir möchten den Zugriff auf die wp-admin
Site auf den internen Zugriff beschränken (über VPN ). Einfach so wird es nicht von externen Usern angegriffen. Wir können die Administratoren auf der Website auflisten und möchten nicht, dass sie gefälscht werden.
Unser Entwickler sagt, dass wir das nicht tun können, da die Seite extern zugänglich sein muss, damit sie funktioniert. speziell die admin-ajax
Seite.
Was macht die admin-ajax.php
Seite?
Es befindet sich im Admin-Bereich von WordPress. Wird der Zugriff von Endbenutzern nicht authentifiziert? Ist es unsicher, dies externen Benutzern zur Verfügung zu stellen?
ajax-admin.php
behandelt .. Ajax-Anfragen. Bitte klären Sie Ihren Titel und die Frage im Allgemeinen, wordpress.stackexchange.com/faqAntworten:
admin-ajax.php
ist Teil der AJAX-API von WordPress und verarbeitet Anforderungen sowohl vom Backend als auch vom Frontend. Versuchen Sie, sich keine Sorgen darüber zu machen, dass es in istwp-admin
. Ich denke, das ist auch ein seltsamer Ort, aber es ist kein Sicherheitsproblem für sich. Wie das mit "Aufzählen der Admins" zusammenhängt, weiß ich nicht.quelle
wp-admin
über die IP Ihres VPNs benötigen , sollte dies AJAX durcheinander bringen. AJAX-Aufrufe erfolgen über den Browser des Benutzers, dh, die IP-Adresse des Benutzers.Für nicht authentifizierte und nicht vertrauenswürdige Benutzer möchten Sie zwei spezifische Ausnahmen für Ihr VPN / Ihre Firewall / Ihren Apache festlegen
.htaccess
:example.com/wp-admin/admin-post.php
example.com/wp-admin/admin-ajax.php
Dies sind zwei Auto-Magic-Endpunkte, die sowohl von internen WPs als auch von verschiedenen Plugins häufig verwendet werden.
Hier ist eine Erklärung dessen, was
admin-post.php
passiert:admin-ajax.php
funktioniert auf sehr ähnliche Weise, und eine hilfreiche Erklärung finden Sie hier .quelle
Meine persönliche Meinung ist, dass dies eine schreckliche Idee ist. Vor ungefähr zwei Monaten bestand unser Entwicklungsdirektor darauf, dass wir genau dies tun, sehr gegen den Rat des Entwicklerteams. Es ist ein wahrer Albtraum und ein unglaublicher Schmerz für uns, der nicht nur Ajax tötet, sondern auch so viele Verwaltungsprobleme mit sich bringt.
Wir haben 40 reguläre Mitarbeiter und 4 Entwickler, die versuchen, den VPN zu benutzen, und es ruckelt nur, außerdem benötigen alle Benutzer jetzt zwei Sätze von Passwörtern, einen für WP und einen für VPN, und das ist nicht nur ein gemeinsames Passwort, sondern ein individuelles Ich meine, wie sonst würden Sie eine Sicherheitsüberprüfung durchführen. Es ist schon schwer genug, sich ein sicheres Passwort zu merken, geschweige denn zwei.
Fügen Sie dem Problem hinzu, dass viele Leute nicht wissen, wie man einen VPN benutzt, und dass dies oft nur mehr Probleme verursacht.
Letztendlich ist es eine schreckliche Idee und sie wird oft vom Management oder höheren Stellen vorgebracht, die WordPress nicht kennen oder verstehen. Sie sehen es in einem schrecklichen Licht, dass es, weil es Open Source ist, auch ein Sicherheitsproblem sein muss, angefüllt mit leicht anzuzapfenden Exploits und so weiter ... es wird alt.
WordPress ist sicher und wp-admin hinter einem vpn zu stecken ist nicht nur Angst zu haben, es ist ein Albtraum für jedes Mitglied des Teams
Warum haben Management-Typen kein Vertrauen in WordPress? Sie scheinen zu vergessen, dass große Websites WordPress verwenden und keine VPNs verwenden. Schauen Sie sich zum Beispiel mashable an.
Um es noch einmal zusammenzufassen:
Ajax funktioniert nicht hinter einem VPN.
VPN ist eine schreckliche Idee aus den oben genannten Gründen
WordPress ist sicher und bleibt dies auch, wenn Sie es und die Plugins auf dem neuesten Stand halten.
Hören Sie auf Ihren Entwickler, Sie bezahlen ihn für sein Fachwissen. Ich kann Ihnen versprechen, dass nichts eine Arbeitsbeziehung untergräbt, wenn Sie nicht Ihr Vertrauen in einen Einzelnen setzen und dessen Wissen überprüfen müssen.
Wenn Sie sich für VPN entscheiden, müssen Sie genügend Benutzerlizenzen erwerben.
quelle
Wenn Sie den Zugriff auf das WP-Backend einschränken möchten (Beispiel:)
wp-admin
, verwenden Sie einfach eine.htaccess
Regel für daswp-admin
Verzeichnis.In diesem Artikel finden Sie eine allgemeine Übersicht: Kennwortschutz für ein Verzeichnis mithilfe von .htaccess
Sehen Sie sich auch dieses Thema für Ihren speziellen Fall an: Kennwortschutz / wp-admin /
quelle