admin-ajax.php ทำงานอย่างไร

เรากำลังประสบปัญหาบางอย่างกับผู้พัฒนาภายนอก

เราต้องการ จำกัด การเข้าถึงwp-adminเว็บไซต์เพื่อการเข้าถึงภายในเท่านั้น (ผ่านVPN ) เพียงเพื่อจะไม่ถูกโจมตีจากผู้ใช้ภายนอก เราสามารถระบุผู้ดูแลระบบจากเว็บไซต์และไม่ต้องการให้พวกเขาเป็นฟิชชิ่ง

นักพัฒนาของเรากำลังพูดว่าเราไม่สามารถทำเช่นนั้นได้เนื่องจากเว็บไซต์จะต้องเข้าถึงหน้าผู้ดูแลระบบจากภายนอกเพื่อให้หน้าทำงานได้ โดยเฉพาะadmin-ajaxหน้า

อะไรadmin-ajax.phpหน้าทำอย่างไร

ตั้งอยู่ในส่วนผู้ดูแลระบบของ WordPress มันเข้าถึงไม่ได้รับการรับรองโดยผู้ใช้ปลายทางหรือไม่ เป็นวิธีที่ไม่ปลอดภัยหรือไม่ที่จะให้ผู้ใช้ภายนอกนี้ใช้งานได้

admin-ajax.phpเป็นส่วนหนึ่งของWordPress AJAX APIและใช่มันจัดการคำขอจากแบ็กเอนด์และด้านหน้า wp-adminพยายามที่จะไม่ต้องกังวลเกี่ยวกับความจริงที่ว่ามันอยู่ใน ฉันคิดว่ามันเป็นสถานที่ที่แปลกสำหรับมันเหมือนกัน แต่มันก็ไม่ใช่ปัญหาด้านความปลอดภัยในตัวเอง สิ่งนี้เกี่ยวข้องกับ "แจกแจงผู้ดูแลระบบ" ฉันไม่รู้

สำหรับผู้ใช้ที่ไม่ผ่านการตรวจสอบและไม่น่าเชื่อถือคุณจะต้องทำการยกเว้นสองประการสำหรับ VPN / Firewall / Apache ของ.htaccessคุณซึ่ง ได้แก่ :

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

นี่คือจุดปลายเวทย์มนตร์อัตโนมัติสองจุดที่ใช้โดยมากโดย WP ภายในและปลั๊กอินต่าง ๆ

นี่คือคำอธิบายของสิ่งที่admin-post.phpจะ:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.phpทำงานในลักษณะที่คล้ายกันมากและคำอธิบายที่เป็นประโยชน์เป็นที่นี่

ความคิดเห็นส่วนตัวของฉันคือว่านี่เป็นความคิดอันยิ่งใหญ่ของพระเจ้า ประมาณสองเดือนที่ผ่านมาผู้อำนวยการฝ่ายพัฒนาของเรายืนยันว่าเราทำอย่างนี้กับคำแนะนำของทีม Dev มันเป็นฝันร้ายของแท้และความเจ็บปวดที่เหลือเชื่อสำหรับเราไม่เพียง แต่จะฆ่าอาแจ็กซ์ด้วยกันมันนำเสนอปัญหาการบริหารจัดการมากมายสำหรับเรา

เรามีเจ้าหน้าที่ประจำ 40 คนและผู้พยายาม 4 คนพยายามใช้ vpn ในบางครั้งและมันก็แค่พูดไม่ชัดพร้อมกับผู้ใช้ทุกคนตอนนี้ต้องใช้รหัสผ่านสองชุดหนึ่งชุดสำหรับ wp และหนึ่งสำหรับ vpn และนั่นไม่ใช่แค่รหัสผ่านที่ใช้ร่วมกัน หมายถึงวิธีอื่นที่คุณจะทำการตรวจสอบความปลอดภัย มันยากพอที่จะจำรหัสผ่านที่ปลอดภัยเพียงหนึ่งเดียว

เพิ่มไปยังปัญหาที่ผู้คนจำนวนมากไม่ทราบวิธีการใช้ VPN และบ่อยครั้งที่ทำให้เกิดปัญหามากขึ้น

ในที่สุดมันเป็นความคิดที่แย่มากและมักจะถูกนำเสนอโดยผู้บริหารระดับสูงขึ้นไปที่ไม่รู้หรือเข้าใจ WordPress พวกเขาเห็นมันในแง่ที่แย่มากเพราะมันเป็นโอเพ่นซอร์สมันจะต้องเป็นปัญหาด้านความปลอดภัยที่เต็มไปด้วยการหาประโยชน์จากการเคาะอย่างง่ายดายและอื่น ๆ .... มันเริ่มเก่า

WordPress นั้นปลอดภัยและติด wp-admin อยู่เบื้องหลัง vpn ไม่เพียง แต่กลัวว่ามันจะนำเสนอฝันร้ายสำหรับสมาชิกทุกคนในทีม

ทำไมประเภทการจัดการจึงไม่น่าเชื่อถือเมื่อพูดถึง WordPress พวกเขาดูเหมือนจะลืมเว็บไซต์สำคัญ ๆ ที่ใช้ WordPress และไม่ใช้ vpns ดูที่ mashable เช่น

ดังนั้นเพื่อสรุป:

Ajax จะไม่ทำงานเบื้องหลัง VPN

VPN เป็นความคิดที่แย่มากสำหรับเหตุผลที่กล่าวถึง

WordPress นั้นมีความปลอดภัยและจะยังคงอยู่ดังนั้นหากคุณเก็บมันและใช้งานปลั๊กอินล่าสุด

ฟัง Dev ของคุณคุณจ่ายให้กับความเชี่ยวชาญของพวกเขา ฉันสัญญากับคุณได้ว่าไม่มีอะไรทำลายความสัมพันธ์ในการทำงานอย่างที่ไม่ไว้วางใจบุคคลและต้องตรวจสอบความรู้ของพวกเขา

หากคุณใช้ vpn โปรดซื้อใบอนุญาตผู้ใช้ให้เพียงพอ

หากคุณต้องการ จำกัด การเข้าถึง WP backend (เช่น:) wp-adminเพียงใช้.htaccessกฎในwp-adminไดเรกทอรี

ลองดูบทความนี้สำหรับภาพรวมทั่วไป: รหัสผ่านป้องกันไดเรกทอรีโดยใช้. htaccess

ตรวจสอบหัวข้อนี้สำหรับกรณีเฉพาะของคุณ: การป้องกันด้วยรหัสผ่าน / wp-admin /