Nous rencontrons des problèmes avec un développeur externe.
Nous voulons limiter l'accès au wp-admin
site à un accès interne uniquement (via VPN ). Simplement pour ne pas être attaqué par des utilisateurs externes. Nous pouvons énumérer les administrateurs du site et ne voulons pas qu'ils soient phishing.
Notre développeur dit que nous ne pouvons pas faire cela car le site doit avoir la page d'administration accessible en externe pour que la page fonctionne. spécifiquement la admin-ajax
page.
Que fait la admin-ajax.php
page?
Il se trouve dans la section admin de WordPress. Est-il accessible non authentifié par les utilisateurs finaux? Est-il dangereux de mettre ces informations à la disposition des utilisateurs externes?
ajax-admin.php
gère .. les demandes ajax. Veuillez effacer votre titre et la question en général, wordpress.stackexchange.com/faqRéponses:
admin-ajax.php
fait partie de l' API WordPress AJAX , et oui, il gère les demandes du backend et du front. Essayez de ne pas vous inquiéter du fait qu'il se trouvewp-admin
. Je pense que c'est un endroit étrange pour lui aussi, mais ce n'est pas un problème de sécurité en soi. Comment cela se rapporte à «énumérer les administrateurs», je ne sais pas.la source
wp-admin
soit à partir de l'IP de votre VPN, alors oui, cela devrait gâcher AJAX. Les appels AJAX proviennent du navigateur de l'utilisateur et proviennent donc de l'adresse IP de l'utilisateur.Pour les utilisateurs non authentifiés et non fiables, vous souhaiterez faire deux exceptions spécifiques à votre VPN / pare-feu / Apache
.htaccess
, qui sont:example.com/wp-admin/admin-post.php
example.com/wp-admin/admin-ajax.php
Ce sont deux points de terminaison auto-magiques utilisés par beaucoup à la fois par WP interne et par divers plugins.
Voici une explication de ce qui
admin-post.php
fait:admin-ajax.php
fonctionne de manière très similaire, et une explication utile est ici .la source
Mon opinion personnelle est que c'est une idée horrible de Dieu. Il y a environ deux mois, notre directeur du développement a insisté pour que nous fassions exactement cela, bien contre l'avis de l'équipe de développement. C'est un véritable cauchemar et une douleur incroyable pour nous, non seulement il tue ajax tous ensemble, mais il présente tant de problèmes d'administration pour nous.
Nous avons 40 employés réguliers et 4 développeurs essayant d'utiliser le vpn à certains moments et il bégaie simplement, avec le fait que tous les utilisateurs ont maintenant besoin de deux ensembles de mots de passe un pour wp et un pour vpn et ce n'est pas seulement un mot de passe partagé, c'est individuel, je dire comment feriez-vous autrement un audit de sécurité. Il est assez difficile de se souvenir d'un mot de passe sécurisé, sans parler de deux.
Ajoutez au problème que beaucoup de gens ne savent pas comment utiliser un VPN et souvent cela ne fait que causer plus de problèmes.
En fin de compte, c'est une idée terrible et elle est souvent mise en avant par la direction ou un supérieur qui ne connaît pas ou ne comprend pas WordPress. Ils le voient sous un jour terrible, car parce qu'il est open source, cela doit aussi être un problème de sécurité, rempli d'exploits faciles à exploiter et ainsi de suite ... ça vieillit.
WordPress est sécurisé et coller wp-admin derrière un vpn n'est pas seulement la peur de faire du commerce, il présente un cauchemar pour chaque membre de l'équipe
Pourquoi les types de gestion n'ont-ils aucune confiance en ce qui concerne WordPress, ils semblent oublier que les principaux sites utilisent WordPress et n'utilisent pas de VPN, regardez mashable par exemple.
Donc, pour récapituler:
Ajax ne fonctionnera pas derrière un vpn.
Le VPN est une idée terrible pour les raisons mentionnées ci-dessus
WordPress est sécurisé et le restera si vous le gardez et les plugins à jour.
Écoutez votre Dev, vous le payez pour son expertise. Je peux vous promettre que rien ne sape une relation de travail comme ne pas faire confiance à un individu et devoir vérifier ses connaissances.
Si vous optez pour vpn, assurez-vous d'acheter suffisamment de licences utilisateur.
la source
Si vous souhaitez limiter l'accès au backend WP (ex:)
wp-admin
, utilisez simplement une.htaccess
règle sur lewp-admin
répertoire.Consultez cet article pour un aperçu général: Protéger un répertoire par mot de passe à l'aide de .htaccess
Consultez également cette rubrique pour votre cas spécifique: Protection par mot de passe / wp-admin /
la source