Mamy problemy z zewnętrznym programistą.
Chcemy ograniczyć dostęp do wp-adminstrony tylko do dostępu wewnętrznego (przez VPN ). Po prostu nie będzie atakowany przez zewnętrznych użytkowników. Możemy wyliczyć administratorów z witryny i nie chcemy, aby zostali wyłudzeni.
Nasz programista twierdzi, że nie możemy tego zrobić, ponieważ strona musi mieć zewnętrzną stronę administratora, aby strona mogła działać. konkretnie admin-ajaxstrona.
Czym zajmuje się admin-ajax.phpstrona?
Znajduje się w sekcji administracyjnej WordPress. Czy dostęp nie jest uwierzytelniany przez użytkowników końcowych? Czy udostępnianie tego użytkownikom zewnętrznym jest niebezpieczne?
ajax-admin.phpobsługuje .. żądania ajax. Wyczyść swój tytuł i ogólnie pytanie, wordpress.stackexchange.com/faqOdpowiedzi:
admin-ajax.phpjest częścią API AJAX WordPress i tak, obsługuje żądania zarówno z zaplecza, jak i z przodu. Staraj się nie martwić faktem, że to jestwp-admin. Myślę, że to też dziwne miejsce, ale samo w sobie nie stanowi problemu bezpieczeństwa. Jak to się odnosi do „wyliczenia administratorów”, nie wiem.źródło
wp-adminz adresu IP VPN, to tak, to powinno zepsuć AJAX. Połączenia AJAX pochodzą z przeglądarki użytkownika, więc pochodzą z adresu IP użytkownika.W przypadku użytkowników nieuwierzytelnionych i niezaufanych należy wprowadzić dwa wyjątki od VPN / Firewall / Apache
.htaccess, które są:example.com/wp-admin/admin-post.phpexample.com/wp-admin/admin-ajax.phpSą to dwa auto-magiczne punkty końcowe, z których często korzysta zarówno wewnętrzna WP, jak i różne wtyczki.
Oto kilka wyjaśnień
admin-post.php:admin-ajax.phpdziała w bardzo podobny sposób, a pomocne wyjaśnienie znajduje się tutaj .źródło
Moim osobistym zdaniem jest to okropny pomysł boga. Około dwa miesiące temu nasz dyrektor ds. Rozwoju nalegał, abyśmy to zrobili, wbrew radom zespołu deweloperów. To prawdziwy koszmar i niesamowity ból dla nas, nie tylko zabija wszystkich razem, ale także przedstawia nam tak wiele problemów administracyjnych.
Mamy 40 stałych pracowników i 4 deweloperów próbujących czasami korzystać z VPN, a to po prostu się zacina, a wszyscy użytkownicy wymagają teraz dwóch zestawów haseł, jednego dla wp i jednego dla VPN, a to nie tylko wspólne hasło, to indywidualne, ja oznacza, jak inaczej zrobiłbyś audyt bezpieczeństwa. Trudno jest zapamiętać jedno bezpieczne hasło, a co dopiero dwa.
Dodaj do problemu, że wiele osób nie wie, jak korzystać z VPN, a to często powoduje więcej problemów.
Ostatecznie jest to okropny pomysł i często jest zgłaszany przez kierownictwo lub wyższe, które nie znają ani nie rozumieją WordPressa. Widzą to w strasznym świetle, ponieważ ponieważ jest to oprogramowanie typu open source, musi to również stanowić problem bezpieczeństwa, wypełniony łatwymi w użyciu exploitami i tak dalej ... starzeje się.
WordPress jest bezpieczny, a trzymanie wp-admin za VPN to nie tylko strach przed manipulowaniem, ale także koszmar dla każdego członka zespołu
Dlaczego typy zarządzania nie mają zaufania, jeśli chodzi o WordPress, wydają się zapominać, że główne witryny używają WordPress i nie używają VPN, na przykład mashable.
Podsumowując:
Ajax nie będzie działał za VPN.
VPN to straszny pomysł z wyżej wymienionych powodów
WordPress jest bezpieczny i pozostanie taki, jeśli będziesz go aktualizować i wtyczek.
Słuchaj swojego Deva, płacisz im za ich wiedzę. Mogę obiecać, że nic nie podważa relacji roboczych, takich jak nie zaufanie do osoby i sprawdzenie jej wiedzy.
Jeśli korzystasz z VPN, pamiętaj, aby kupić wystarczającą liczbę licencji użytkowników.
źródło
Jeśli chcesz ograniczyć dostęp do zaplecza WP (np .:)
wp-admin, po prostu użyj.htaccessreguły wwp-adminkatalogu.Zapoznaj się z tym artykułem, aby uzyskać ogólny przegląd: Zabezpieczanie katalogu hasłem za pomocą .htaccess
Sprawdź także ten temat w konkretnym przypadku: Ochrona hasłem / wp-admin /
źródło