it-swarm.com.de

Wie funktioniert admin-ajax.php?

Wir haben einige Probleme mit einem externen Entwickler.

Wir möchten den Zugriff auf die wp-admin-Site nur auf den internen Zugriff beschränken (über VPN ). Einfach so, dass es nicht von externen Benutzern angegriffen wird. Wir können die Administratoren auf der Website auflisten und möchten nicht, dass sie gefälscht werden.

Unser Entwickler sagt, dass wir das nicht tun können, da die Seite extern zugänglich sein muss, damit sie funktioniert. speziell die admin-ajax Seite.

Was macht die admin-ajax.php Seite?

Es befindet sich im Admin-Bereich von WordPress. Wird der Zugriff von Endbenutzern nicht authentifiziert? Ist es unsicher, dies externen Benutzern zur Verfügung zu stellen?

12
nick

admin-ajax.php ist Teil der WordPress AJAX API , und ja, es verarbeitet Anforderungen sowohl vom Backend als auch vom Frontend. Versuchen Sie, sich keine Sorgen darüber zu machen, dass es sich um wp-admin handelt. Ich denke, das ist auch ein seltsamer Ort, aber es ist kein Sicherheitsproblem für sich. Wie das mit "Aufzählen der Admins" zusammenhängt, weiß ich nicht.

4
s_ha_dum

Für nicht authentifizierte und nicht vertrauenswürdige Benutzer sollten Sie zwei Ausnahmen für Ihre VPN/Firewall/Apache .htaccess festlegen:

  • yoursite.com/wp-admin/admin-post.php
  • yoursite.com/wp-admin/admin-ajax.php

Dies sind zwei Auto-Magic-Endpunkte, die sowohl von internen WP als auch von verschiedenen Plugins häufig verwendet werden.

Hier ist eine Erklärung, was Admin-post.php macht: - https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

Admin-Ajax funktioniert auf sehr ähnliche Weise, und eine hilfreiche Erklärung ist hier .

3
haz

Meine persönliche Meinung ist, dass dies eine schreckliche Idee ist. Vor ungefähr zwei Monaten bestand unser Entwicklungsdirektor darauf, dass wir genau dies tun, sehr gegen den Rat des Dev-Teams. Es ist ein wahrer Albtraum und ein unglaublicher Schmerz für uns, der nicht nur Ajax tötet, sondern auch so viele Verwaltungsprobleme für uns aufwirft.

Wir haben 40 reguläre Mitarbeiter und 4 Entwickler, die versuchen, den VPN zu benutzen, und es ruckelt nur, außerdem benötigen alle Benutzer jetzt zwei Sätze von Passwörtern, einen für WP und einen für VPN, und das ist nicht nur ein gemeinsames Passwort, sondern ein individuelles Ich meine, wie sonst würden Sie eine Sicherheitsüberprüfung durchführen. Es ist schon schwer genug, sich ein sicheres Passwort zu merken, geschweige denn zwei.

Fügen Sie dem Problem hinzu, dass viele Leute nicht wissen, wie man einen VPN benutzt, und dass dies oft nur mehr Probleme verursacht.

Letztendlich ist es eine schreckliche Idee und sie wird oft vom Management oder höheren Stellen vorgebracht, die WordPress nicht kennen oder verstehen. Sie sehen es in einem schrecklichen Licht, dass es, weil es Open Source ist, auch ein Sicherheitsproblem sein muss, angefüllt mit leicht anzuzapfenden Exploits und so weiter ... es wird alt.

WordPress ist sicher und wp-admin hinter einem vpn zu stecken ist nicht nur Angst zu haben, es ist ein Albtraum für jedes Mitglied des Teams

Warum haben Management-Typen kein Vertrauen in WordPress? Sie scheinen zu vergessen, dass große Websites WordPress verwenden und keine VPNs verwenden. Schauen Sie sich zum Beispiel mashable an.

Um es noch einmal zusammenzufassen:

Ajax funktioniert nicht hinter einem VPN.

VPN ist eine schreckliche Idee aus den oben genannten Gründen

WordPress ist sicher und bleibt dies auch, wenn Sie es und die Plugins auf dem neuesten Stand halten.

Hören Sie auf Ihren Entwickler, Sie bezahlen ihn für sein Fachwissen. Ich kann Ihnen versprechen, dass nichts eine Arbeitsbeziehung untergräbt, wenn Sie nicht Ihr Vertrauen in einen Einzelnen setzen und dessen Wissen überprüfen müssen.

Wenn Sie sich für VPN entscheiden, müssen Sie genügend Benutzerlizenzen erwerben.

2
MichaelJames

Wenn Sie den Zugriff auf das Backend WP einschränken möchten (Beispiel: wp-admin), verwenden Sie einfach eine .htaccess-Regel für das Verzeichnis wp-admin.

In diesem Artikel finden Sie eine allgemeine Übersicht: Kennwortschutz für ein Verzeichnis mithilfe von .htaccess

Sehen Sie sich auch dieses Thema für Ihren speziellen Fall an: Kennwortschutz/wp-admin/

2
skim-