Expertenmeinungen benötigt: Wie (in) sicher ist dieser Ansatz?

Auf meinem Server sind sowohl WordPress als auch ein Webmail-Client installiert.

  • WordPress ist zugänglich durch: _http: //a-totally-wesome-domain.com/
  • Webmail ist erreichbar über: _http: //a-totally-wesome-domain.com/webmail/

Jetzt darf der Webmail-Client nicht von außerhalb von WordPress-Admin erreichbar sein. Deshalb habe ich folgendes zu .htaccess hinzugefügt:

RewriteEngine On # if the request's referer isn't from a php page on your site RewriteCond %{HTTP_REFERER} !^http?://a-totally-awesome-domain.com # deny access to the list of php files RewriteRule ^(webmail/*)$ - [L,F] 

Dies scheint gut zu funktionieren: 403 wird zurückgegeben, wenn versucht wird, auf _http: //a-totally-wesome-domain.com/webmail/ zuzugreifen. Jetzt, für den WordPress-Admin-Integrationsteil, habe ich das folgende Plugin erstellt, um den Webmail-Client innerhalb von WordPress-Admin anzuzeigen:

 <?php /* Plugin Name: Webmail integration plugin Description: hm... Author: what? Version: 0.1 */ add_action('admin_menu', 'webmail_plugin_setup'); function webmail_plugin_setup() { add_menu_page( 'Webmail', 'Webmail', 'manage_options', 'webmail-plugin', 'webmail_plugin_init', 'dashicons-email-alt'); } function webmail_plugin_init() { echo ''; } ?> 

Dies macht den Webmail-Client in WordPress-Admin verfügbar.

Die Frage ist, ist das ausreichend sicher? Ich habe gelesen, dass Iframes als Sicherheitsrisiken gelten. Gibt es irgendetwas, worüber ich mich bei diesem Ansatz Gedanken machen muss? Wenn ich bedenke, dass ich der einzige Benutzer auf der Website bin und der Webmail-Client hinter WordPress-Administrator versteckt ist, gibt es eine mögliche Sicherheitsbedrohung? Wenn ja, wie könnte es verhindert werden?

Edit: Etwas mehr Klarstellung:

Obwohl der Webmail-Client die Authentifizierung unterstützt, möchte ich seine Anmeldeseite lieber nicht öffentlich zugänglich machen. Vor allem, weil der Webmail-Client nur Benutzernamen / Passwort-Login unterstützt, während WordPress durch Zwei-Faktor-Authentifizierung, Brute-Force-Erkennung und einige andere Sicherheitsfunktionen abgesichert ist. Es scheint also eine gute Idee zu sein, den Webmail-Client hinter der WordPress-Installation zu verstecken.

Bitte denken Sie daran, dass ich ein Anfänger mit WordPress und all den Web-Zeug bin, und Ihre Beratung wird sehr geschätzt, Danke!

Solutions Collecting From Web of "Expertenmeinungen benötigt: Wie (in) sicher ist dieser Ansatz?"

Nein. es ist nicht sicher. weil eine curl-HTTP-Anfrage einen beliebigen Parameter in den Anforderungsheadern fälschen kann. Was du machen solltest? Das Mindeste, was Sie tun können, ist eine htpassword-Datei im Mail-Client-Verzeichnis zu erstellen, die eine Username- und Passwort-Anfrage stellt, bevor der Inhalt an den Benutzer gesendet wird. google über die Erstellung einer .htpassword-Datei.