Bagaimana cara kerja admin-ajax.php?

Kami mengalami beberapa masalah dengan pengembang eksternal.

Kami ingin membatasi akses ke wp-adminsitus hanya untuk akses internal (melalui VPN ). Sederhananya itu tidak akan diserang oleh pengguna eksternal. Kami dapat menghitung admin dari situs dan tidak ingin mereka di-phishing.

Pengembang kami mengatakan kami tidak dapat melakukan itu karena situs perlu memiliki halaman admin yang dapat diakses secara eksternal sehingga halaman tersebut akan berfungsi. khusus admin-ajaxhalaman.

Apa yang dilakukan admin-ajax.phphalaman?

Terletak di bagian admin WordPress. Apakah itu diakses tanpa diautentikasi oleh pengguna akhir? Apakah ini praktik yang tidak aman untuk menyediakan ini untuk pengguna eksternal?

admin-ajax.phpadalah bagian dari WordPress AJAX API , dan ya, ia menangani permintaan dari backend dan front. Cobalah untuk tidak khawatir tentang fakta bahwa dalam wp-admin. Saya pikir itu adalah tempat yang aneh juga, tapi itu bukan masalah keamanan itu sendiri. Bagaimana ini berhubungan dengan "menghitung admin", saya tidak tahu.

Untuk pengguna yang tidak diautentikasi dan tidak dipercaya, Anda harus membuat dua pengecualian khusus untuk VPN / Firewall / Apache Anda .htaccess, yaitu:

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

Ini adalah dua titik akhir auto-magic yang digunakan oleh banyak oleh WP internal dan juga berbagai plugin.

Inilah beberapa penjelasan tentang apa yang admin-post.phpdilakukannya:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.phpbekerja dengan cara yang sangat mirip, dan penjelasan yang bermanfaat ada di sini .

Pendapat pribadi saya adalah bahwa ini adalah ide yang mengerikan. Sekitar dua bulan lalu direktur pengembangan kami bersikeras kami melakukan ini, sangat bertentangan dengan saran dari tim Dev. Ini adalah mimpi buruk yang asli dan rasa sakit yang luar biasa bagi kita, tidak hanya membunuh ajax bersama-sama itu menghadirkan begitu banyak masalah administrasi bagi kita.

Kami memiliki 40 staf reguler dan 4 devs yang mencoba menggunakan vpn di waktu dan itu hanya gagap, bersama dengan itu semua pengguna sekarang memerlukan dua set kata sandi satu untuk wp dan satu untuk vpn dan itu bukan hanya kata sandi yang dibagikan itu masing-masing, saya Berarti bagaimana lagi Anda melakukan audit keamanan. Cukup sulit untuk mengingat satu kata sandi aman, apalagi dua.

Tambahkan ke masalah yang banyak orang tidak tahu cara menggunakan vpn dan seringkali hanya menyebabkan lebih banyak masalah.

Pada akhirnya itu adalah ide yang mengerikan dan sering diajukan oleh manajemen atau lebih tinggi yang tidak tahu atau mengerti WordPress. Mereka melihatnya dalam cahaya yang mengerikan, bahwa karena open source itu juga harus menjadi masalah keamanan, diisi dengan eksploitasi yang mudah disadap dan seterusnya .... semakin tua.

WordPress aman dan menempelkan wp-admin di belakang vpn tidak hanya takut mongering itu menghadirkan mimpi buruk bagi setiap anggota tim

Mengapa jenis manajemen tidak percaya ketika datang ke WordPress, mereka tampaknya lupa situs utama menggunakan WordPress dan tidak menggunakan vpns, lihat misalnya mashable.

Jadi untuk rekap:

Ajax tidak akan bekerja di belakang vpn.

Vpn adalah ide yang buruk karena alasan yang disebutkan di atas

WordPress aman dan akan tetap demikian jika Anda tetap dan pluginnya mutakhir.

Dengarkan Dev Anda, Anda membayar mereka untuk keahlian mereka. Saya bisa berjanji kepada Anda, bahwa tidak ada yang merusak hubungan kerja seperti tidak menaruh kepercayaan Anda pada seorang individu dan harus memeriksa pengetahuan mereka.

Jika Anda menggunakan vpn, pastikan untuk membeli lisensi pengguna yang cukup.

Jika Anda ingin membatasi akses ke WP backend (ex:) wp-admin, cukup gunakan .htaccessaturan pada wp-admindirektori.

Lihat artikel ini untuk tinjauan umum: Kata Sandi Lindungi Direktori Menggunakan .htaccess

Lihat juga topik ini untuk kasus spesifik Anda: Melindungi kata sandi / wp-admin /