Admin-ajax.php nasıl çalışır?

Harici bir geliştiriciyle ilgili bazı sorunlar yaşıyoruz.

wp-adminSiteye erişimi yalnızca dahili erişimle ( VPN üzerinden ) sınırlamak istiyoruz . Basitçe, dış kullanıcılar tarafından saldırıya uğramayacak. Yöneticileri siteden numaralandırabilir ve kimlik avı yapılmasını istemeyiz.

Geliştiricimiz bunu yapamayacağımızı söylüyor çünkü sitenin harici olarak erişilebilir olması için sayfanın çalışması gerekir. özellikle admin-ajaxsayfa.

Sayfa ne yapar admin-ajax.php?

WordPress'in yönetici bölümünde bulunur. Son kullanıcılar tarafından erişilemez mi? Bunu harici kullanıcılar için güvenli hale getirmek güvenli olmayan bir uygulama mı?

admin-ajax.phpWordPress AJAX API'sinin bir parçasıdır ve evet, hem arka uçtan hem de önden gelen istekleri işler. İçinde olduğu gerçeği hakkında endişelenmemeye çalışın wp-admin. Bence burası da garip bir yer ama kendi başına bir güvenlik sorunu değil. Bunun "yöneticileri numaralandırma" ile nasıl ilişkili olduğunu bilmiyorum.

Doğrulanmamış ve güvenilmeyen kullanıcılar için, VPN'nize / Firewall / Apache için iki spesifik istisnalar olmak istersiniz .htaccessvardır:

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

Bunlar, hem dahili WP hem de çeşitli eklentiler tarafından çokça kullanılan iki otomatik büyü uç noktasıdır.

İşte ne yaptığına dair bazı açıklamalar admin-post.php:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.phpçok benzer bir şekilde çalışır ve yararlı bir açıklama burada .

Benim kişisel görüşüm bunun tanrının korkunç bir fikri olduğudur. Yaklaşık iki ay önce kalkınma direktörümüz, Dev ekibinin tavsiyesine rağmen bunun tam olarak yapılmasında ısrar etti. Bu bizim için gerçek bir kabus ve inanılmaz bir acı, sadece ajax'ı birlikte öldürmekle kalmıyor, bizim için çok fazla yönetim sorunu sunuyor.

Zaman zaman vpn kullanmaya çalışan 40 düzenli personelimiz ve 4 geliştiricimiz var ve sadece kekikler, tüm kullanıcıların artık wp için bir ve vpn için bir tane iki parola seti gerektirdiği ve bu sadece bireysel paylaşılan bir şifre değil, ben güvenlik denetimini başka nasıl yaparsınız anlamına gelir. İki tane olmak üzere, güvenli bir şifreyi hatırlamak yeterince zor.

Birçok insanın bir VPN nasıl kullanılacağını bilmediği ve genellikle daha fazla soruna neden olan soruna ekleyin.

Sonuçta bu korkunç bir fikirdir ve genellikle WordPress'i bilmeyen veya anlamayan yönetim veya üstü tarafından ileri sürülür. Bunu korkunç bir ışık altında görüyorlar, çünkü açık kaynak olduğu için, kolayca tıklanan istismarlarla dolu bir güvenlik sorunu olmalı ... vb.

WordPress güvenlidir ve wp-admin'i bir vpn'nin arkasına yapıştırmak, sadece takastan korkmak değildir, takımın her üyesi için bir kabus sunar.

Neden WordPress söz konusu olduğunda yönetim türlerine güvenmiyorlar, büyük sitelerin WordPress kullandığını ve vpns kullanmadıklarını unutuyorlar, örneğin mashable'a bakın.

Özetlemek gerekirse:

Ajax bir VPN'in arkasında çalışmaz.

Vpn yukarıda belirtilen nedenlerden dolayı korkunç bir fikir

WordPress güvenlidir ve güncel tutarsanız ve eklentilerinizde kalır.

Dev'inizi dinleyin, uzmanlıkları için onlara ödeme yapın. Size söz verebilirim ki, hiçbir şey bir kişiye güvenmemek ve onların bilgilerini kontrol etmek zorunda kalmak gibi bir çalışma ilişkisini zedeleyemez.

VPN ile gidiyorsanız, yeterli kullanıcı lisansı satın aldığınızdan emin olun.

WP arka ucuna erişimi sınırlamak istiyorsanız (ör:) , dizinde wp-adminbir .htaccesskural kullanın wp-admin.

Genel bir genel bakış için bu makaleye göz atın: .htaccess Kullanarak Parola Bir Dizini Koruma

Ayrıca özel durumunuz için bu konuyu inceleyin: Parola koruma / wp-admin /