Admin-ajax.php hoạt động như thế nào?

Chúng tôi đang có một số vấn đề với một nhà phát triển bên ngoài.

Chúng tôi muốn giới hạn quyền truy cập vào wp-admintrang web chỉ truy cập nội bộ (thông qua VPN ). Đơn giản như vậy nó sẽ không bị tấn công bởi người dùng bên ngoài. Chúng tôi có thể liệt kê các quản trị viên từ trang web và không muốn chúng bị lừa đảo.

Nhà phát triển của chúng tôi nói rằng chúng tôi không thể làm điều đó vì trang web cần phải có trang quản trị có thể truy cập bên ngoài để trang sẽ hoạt động. cụ thể là admin-ajaxtrang.

Không những gì admin-ajax.phptrang làm gì?

Nó nằm trong phần quản trị của WordPress. Có phải nó được truy cập không được xác thực bởi người dùng cuối? Đây có phải là một thực tế không an toàn để có sẵn cho người dùng bên ngoài?

admin-ajax.phplà một phần của API AJAX của WordPress và vâng, nó xử lý các yêu cầu từ cả phụ trợ và phía trước. Cố gắng đừng lo lắng về thực tế rằng nó là trong wp-admin. Tôi nghĩ rằng đó là một nơi xa lạ đối với nó, nhưng bản thân nó không phải là vấn đề bảo mật. Làm thế nào điều này liên quan đến "liệt kê các quản trị viên", tôi không biết.

Đối với người dùng không được xác thực và không tin cậy, bạn sẽ muốn đưa ra hai ngoại lệ cụ thể cho VPN / Tường lửa / Apache của mình .htaccess, đó là:

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

Đây là hai điểm cuối tự động ma thuật được sử dụng bởi cả WP nội bộ và các plugin khác nhau.

Dưới đây là một số giải thích về những gì admin-post.phpkhông:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.phphoạt động theo cách rất giống nhau, và một lời giải thích hữu ích ở đây .

Ý kiến ​​cá nhân của tôi là đây là một ý tưởng khủng khiếp của chúa. Khoảng hai tháng trước, giám đốc phát triển của chúng tôi đã nhấn mạnh rằng chúng tôi làm điều này, trái với lời khuyên của nhóm Dev. Đó là một cơn ác mộng thực sự và là một nỗi đau không thể tin được đối với chúng tôi, nó không chỉ giết chết ajax mà còn thể hiện rất nhiều vấn đề quản trị cho chúng tôi.

Chúng tôi có 40 nhân viên thường xuyên và 4 nhà phát triển cố gắng sử dụng vpn đôi khi và nó chỉ dừng lại ở đó, cùng với đó tất cả người dùng hiện yêu cầu hai bộ mật khẩu một cho wp và một cho vpn và đó không chỉ là mật khẩu dùng chung, đó là mật khẩu cá nhân, tôi có nghĩa là làm thế nào khác bạn sẽ làm một kiểm toán bảo mật. Nó đủ khó để nhớ một mật khẩu an toàn, huống chi là hai.

Thêm vào vấn đề là nhiều người không biết cách sử dụng vpn và thường chỉ gây ra nhiều vấn đề hơn.

Cuối cùng, đó là một ý tưởng tồi tệ và nó thường được đưa ra bởi ban quản lý hoặc những người không biết hoặc không hiểu về WordPress. Họ nhìn thấy nó trong một ánh sáng khủng khiếp, bởi vì đó là nguồn mở, nó cũng phải là một vấn đề bảo mật, chứa đầy những khai thác dễ dàng khai thác và cứ thế .... nó trở nên cũ kỹ.

WordPress an toàn và gắn bó với wp-admin đằng sau một vpn không chỉ là nỗi sợ hãi mà nó còn là cơn ác mộng đối với mọi thành viên trong nhóm

Tại sao các loại quản lý không có sự tin tưởng khi nói đến WordPress, họ dường như quên các trang web lớn sử dụng WordPress và không sử dụng vpns, ví dụ như nhìn vào mashable.

Vì vậy, để tóm tắt lại:

Ajax sẽ không làm việc đằng sau một vpn.

Vpn là một ý tưởng khủng khiếp vì những lý do nêu trên

WordPress là an toàn và sẽ vẫn như vậy nếu bạn giữ nó và bổ sung cập nhật.

Nghe Dev của bạn, bạn trả tiền cho chuyên môn của họ. Tôi có thể hứa với bạn, rằng không có gì làm suy yếu mối quan hệ công việc như không đặt niềm tin vào một cá nhân và phải kiểm tra kiến ​​thức của họ.

Nếu bạn đi với vpn, hãy chắc chắn mua đủ giấy phép người dùng.

Nếu bạn muốn giới hạn quyền truy cập vào phụ trợ WP (ví dụ wp-admin:), chỉ cần sử dụng .htaccessquy tắc trên wp-adminthư mục.

Kiểm tra bài viết này để biết tổng quan chung: Mật khẩu Bảo vệ thư mục bằng cách sử dụng .htaccess

Ngoài ra hãy xem chủ đề này cho trường hợp cụ thể của bạn: Mật khẩu bảo vệ / wp-admin /