Wie funktioniert admin-ajax.php?

Wir haben einige Probleme mit einem externen Entwickler.

Wir wollen den Zugriff auf die wp-admin Seite nur auf den internen Zugriff beschränken (via VPN ). Einfach so, dass es nicht von externen Benutzern angegriffen wird. Wir können die Admins von der Seite aufzählen und wollen nicht, dass sie gephast werden.

Unser Entwickler sagt, dass wir das nicht tun können, da die Seite die Admin-Seite extern zugänglich haben muss, damit die Seite funktioniert. speziell die admin-ajax Seite.

Was macht die Seite admin-ajax.php ?

Es befindet sich im Adminbereich von WordPress. Wird von Endbenutzern nicht authentifiziert? Ist es eine unsichere Praktik, diese für externe Benutzer verfügbar zu haben?

Solutions Collecting From Web of "Wie funktioniert admin-ajax.php?"

admin-ajax.php ist Teil der WordPress AJAX API , und ja, es verarbeitet Anfragen von Backend und Front. Mach dir keine Sorgen darüber, dass es in wp-admin . Ich denke, das ist auch ein seltsamer Ort, aber es ist kein Sicherheitsproblem an sich. Wie sich das auf “die Admins aufzählen” bezieht, weiß ich nicht.

Meine persönliche Meinung ist, dass dies eine schreckliche Idee ist. Vor ungefähr zwei Monaten bestand unser Entwicklungsleiter darauf, dass wir genau dies tun, sehr gegen den Rat des Entwicklerteams. Es ist ein echter Albtraum und ein unglaublicher Schmerz für uns, es bringt nicht nur Ajax alle zusammen, es stellt uns so viele Verwaltungsprobleme vor.

Wir haben 40 normale Mitarbeiter und 4 Entwickler, die versuchen, den vpn zu verwenden, und es stottert einfach, zusammen damit, dass alle Benutzer jetzt zwei Sätze von Passwörtern für wp und für vpn brauchen und das ist nicht nur ein geteiltes Passwort, es sind individuelle, ich Meinst du, wie sonst würdest du ein Sicherheitsaudit machen? Es ist schwer genug, sich an ein sicheres Passwort zu erinnern, geschweige denn an zwei.

Fügen Sie dem Problem hinzu, dass viele Leute nicht wissen, wie man einen VPN benutzt und oft verursacht das nur mehr Probleme.

Letztendlich ist es eine schreckliche Idee und wird oft vom Management oder höher vorgeschlagen, die WordPress nicht kennen oder verstehen. Sie sehen es in einem schrecklichen Licht, denn weil es sich um Open Source handelt, muss es auch ein Sicherheitsproblem sein, voll mit leicht erschlossenen Exploits und so weiter … es wird alt.

WordPress ist sicher und kleben wp-admin hinter einem vpn ist nicht nur Angst, es ist ein Albtraum für jedes Mitglied des Teams

Warum haben Management-Typen kein Vertrauen, wenn es um WordPress geht? Sie scheinen zu vergessen, dass große Websites WordPress verwenden und keine vpns verwenden. Schauen Sie sich Mashable an.

Also zur Erinnerung:

Ajax wird nicht hinter einem VPN arbeiten.

Vpn ist eine schreckliche Idee aus den oben genannten Gründen

WordPress ist sicher und wird es auch bleiben, wenn du es und Plugins auf dem neuesten Stand hältst.

Höre auf deinen Dev, du bezahlst sie für ihre Expertise. Ich kann Ihnen versprechen, dass nichts eine Arbeitsbeziehung untergräbt, als würde man einem Individuum nicht vertrauen und sein Wissen überprüfen müssen.

Wenn Sie mit vpn gehen, sollten Sie sicherstellen, dass Sie genügend Benutzerlizenzen kaufen.

Wenn Sie den Zugriff auf das WP-Backend beschränken möchten (z. B. wp-admin ), verwenden Sie einfach eine .htaccess Regel für das Verzeichnis wp-admin .

In diesem Artikel finden Sie einen allgemeinen Überblick: Passwort Schützen Sie ein Verzeichnis mit .htaccess

Sehen Sie sich auch dieses Thema für Ihren speziellen Fall an: Passwortschutz / wp-admin /

Für nicht authentifizierte und nicht vertrauenswürdige Benutzer sollten Sie zwei spezielle Ausnahmen für Ihre VPN / Firewall / Apache .htaccess festlegen:

  • yoursite.com/wp-admin/admin-post.php
  • yoursite.com/wp-admin/admin-ajax.php

Dies sind zwei auto-magische Endpunkte, die sowohl von internen WP als auch von verschiedenen Plugins verwendet werden.

Hier ist eine Erklärung, was Admin-post.php tut: – https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

Admin-Ajax funktioniert in einer sehr ähnlichen Weise, und eine hilfreiche Erklärung ist hier .