Como o admin-ajax.php funciona?

Estamos tendo alguns problemas com um desenvolvedor externo.

Queremos limitar o acesso ao wp-adminsite apenas ao acesso interno (via VPN ). Simplesmente para que não seja atacado por usuários externos. Podemos enumerar os administradores do site e não queremos que eles sejam fraudados.

Nosso desenvolvedor está dizendo que não podemos fazer isso porque o site precisa ter a página de administrador acessível externamente para que a página funcione. especificamente a admin-ajaxpágina.

O que a admin-ajax.phppágina faz?

Está localizado na seção de administração do WordPress. É acessado não autenticado pelos usuários finais? É uma prática insegura disponibilizá-lo para usuários externos?

admin-ajax.phpfaz parte da API AJAX do WordPress e, sim, lida com solicitações de back-end e front-end. Tente não se preocupar com o fato de que ele está em wp-admin. Eu acho que é um lugar estranho para ele também, mas não é um problema de segurança em si. Como isso se relaciona com "enumerar os administradores", eu não sei.

Para usuários não autenticados e não confiáveis, convém fazer duas exceções específicas à sua VPN / Firewall / Apache .htaccess, que são:

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

Esses são dois pontos de extremidade automáticos usados ​​por muitos pelo WP interno e também por vários plugins.

Aqui está uma explicação do que admin-post.phpfaz:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.phpfunciona de maneira muito semelhante, e uma explicação útil está aqui .

Minha opinião pessoal é que essa é uma péssima idéia para Deus. Há cerca de dois meses, nosso diretor de desenvolvimento insistiu em fazer exatamente isso, muito contra os conselhos da equipe de desenvolvimento. É um pesadelo genuíno e uma dor incrível para nós, além de matar o Ajax todos juntos, apresenta tantos problemas de administração para nós.

Temos 40 funcionários regulares e 4 desenvolvedores tentando usar a vpn às vezes e isso simplesmente gagueja, além de todos os usuários agora exigirem dois conjuntos de senhas, uma para wp e outra para vpn, e essa não é apenas uma senha compartilhada, é individual. significa de que outra forma você faria uma auditoria de segurança. É difícil o suficiente lembrar uma senha segura, muito menos duas.

Adicione ao problema que muitas pessoas não sabem como usar uma VPN e geralmente isso causa mais problemas.

Em última análise, é uma péssima ideia e é frequentemente apresentada pela gerência ou superior que não conhece nem entende o WordPress. Eles vêem isso de uma maneira terrível: por ser de código aberto, também deve ser um problema de segurança, repleto de explorações facilmente acessadas e assim por diante ... está ficando velho.

O WordPress é seguro e manter o wp-admin por trás de uma VPN não é apenas o medo de fazer propaganda, é um pesadelo para todos os membros da equipe

Por que os tipos de gerenciamento não confiam no que diz respeito ao WordPress, eles parecem esquecer que os principais sites usam o WordPress e não usam vpns, veja mashable, por exemplo.

Então, para recapitular:

O Ajax não funciona atrás de uma VPN.

Vpn é uma péssima idéia pelos motivos mencionados acima

O WordPress é seguro e permanecerá assim, se você o mantiver atualizado e com os plugins.

Ouça o seu desenvolvedor, você paga pela experiência deles. Posso prometer-lhe que nada prejudica uma relação de trabalho, como não colocar sua confiança em um indivíduo e ter que verificar seus conhecimentos.

Se você optar pela vpn, compre licenças de usuário suficientes.

Se você deseja limitar o acesso ao back-end do WP (ex:) wp-admin, basta usar uma .htaccessregra no wp-admindiretório.

Confira este artigo para obter uma visão geral: Proteger um diretório com senha usando .htaccess

Verifique também este tópico para seu caso específico: Proteção de senha / wp-admin /