Admin-ajax.phpはどのように機能しますか?
外部の開発者と問題があります。
wp-adminサイトへのアクセスを( _ vpn _ による)内部アクセスのみに制限したいです。単にそうすればそれは外部ユーザーによって攻撃されないでしょう。私たちはサイトから管理者を列挙することができ、それらがフィッシングされることを望まない。
サイトが管理ページにアクセス可能にしてページが機能するようにする必要があるので、私たちの開発者はそうすることができないと言っています。特にadmin-ajaxページ。
admin-ajax.phpページは何をしますか?
これはWordPressの管理セクションにあります。エンドユーザーによって認証されずにアクセスされますか?これを外部ユーザーが利用できるようにするのは危険な方法ですか?
admin-ajax.phpは WordPress AJAX API の一部であり、はい、バックエンドとフロントの両方からのリクエストを処理します。それがwp-adminにあるという事実を心配しないようにしてください。それも奇妙なところだと思いますが、それ自体はセキュリティ問題ではありません。これが「管理者を列挙する」こととどのように関連しているか、私にはわかりません。
認証されていないユーザーや信頼されていないユーザーの場合は、VPN/Firewall/Apacheの.htaccessに次の2つの例外を加える必要があります。
- yoursite.com/wp-admin/admin-post.php
- yoursite.com/wp-admin/admin-ajax.php
これらは内部WPとさまざまなプラグインの両方でよく使われている2つの自動マジックエンドポイントです。
これはAdmin-post.phpが何をするのかについての説明です: - https://www.sitepoint.com/handling-post-requests-the-wordpress-way/ /
Admin-ajaxは非常によく似た方法で機能します。有用な説明は here です。
私の個人的な意見では、これは神のひどい考えです。約2ヵ月前、開発担当ディレクターは、開発チームのアドバイスに反して、これを行うことを強く主張しました。それは本物の悪夢であり、私たちにとっては非常に大きな苦痛です。Ajaxをすべて無効にするだけでなく、管理上の問題も多くあります。
私たちは40人の正規スタッフと4人の開発者がvpnを同時に使用しようとしています、それにすべてのユーザーが今2つのパスワードのセットを必要としています。他にどのようにしてセキュリティ監査を行うのでしょうか。 2つだけではなく、1つの安全なパスワードを覚えておくのは十分困難です。
多くの人がVPNを使用する方法を知らないという問題に加えて、そしてそれはしばしばより多くの問題を引き起こすだけです。
結局それはひどい考えであり、それはWordPressを知らないか、または理解していない経営陣またはより上の方によってしばしば提案されます。彼らはそれをひどい光の中で見ています、それはオープンソースだからセキュリティ上の問題でもなくてはならず、簡単にタップされたエクスプロイトなどで満たされています…それは古くなっています。
WordPressは安全でvpnの後ろにwp-adminを貼り付けることはそれがチームのすべてのメンバーにとって悪夢を提示することを恐れて恐れているだけではありません
WordPressに関しては管理タイプが信頼できないのはなぜでしょうか。彼らは主要サイトがWordPressを使用し忘れてvpnsを使用していないことを忘れているようです。
要約すると:
AjaxはVPNの背後では動作しません。
Vpnは上記の理由からひどい考えです
WordPressは安全であり、あなたがそれを維持しそして最新のものにプラグインするならばそう残るでしょう。
あなたの開発者に耳を傾け、あなたは彼らの専門知識のためにそれらを支払います。私はあなたに約束することができます、あなたの信頼を個人に入れないで、彼らの知識をチェックしなければならないことのような働く関係を損なうものは何もない。
あなたがVPNを使用する場合は、十分なユーザーライセンスを購入するようにしてください。
WPバックエンドへのアクセスを制限したい場合(例:wp-admin)、.htaccessディレクトリにwp-adminルールを使用してください。
一般的な概要については、この記事をご覧ください。 .htaccessを使用してディレクトリをパスワードで保護する
あなたの特定のケースについてもこのトピックをチェックしてください: パスワード保護/ wp-admin /