Estamos com alguns problemas com um desenvolvedor externo.
Queremos limitar o acesso ao site wp-admin apenas ao acesso interno (via VPN ). Simplesmente por isso não será atacado por usuários externos. Podemos enumerar os administradores do site e não queremos que eles sejam violados.
Nosso desenvolvedor está dizendo que não podemos fazer isso porque o site precisa ter a página de administração acessível externamente para que a página funcione. especificamente a página admin-ajax .
O que a página admin-ajax.php faz?
Ele está localizado na seção administrativa do WordPress. É acessado não autenticado pelos usuários finais? É uma prática insegura disponibilizá-lo para usuários externos?
admin-ajax.php faz parte da API AJAX do WordPress e, sim, trata solicitações de back-end e front. Tente não se preocupar com o fato de estar em wp-admin . Eu acho que é um lugar estranho para isso também, mas não é um problema de segurança em si. Como isso se relaciona com "enumerar os administradores", não sei.
Para usuários não autenticados e não confiáveis, você deve fazer duas exceções específicas para o seu VPN / Firewall / Apache .htaccess, que são:
Estes são dois pontos finais de magia automática usados por muitos pelo WP interno e também por vários plugins.
Veja algumas explicações sobre o que o Admin-post.php faz: - enlace
O Admin-ajax funciona de uma forma muito semelhante e uma explicação útil é aqui .
Minha opinião pessoal é que esta é uma idéia horrível. Cerca de dois meses atrás, nosso diretor de desenvolvimento insistiu em fazer exatamente isso, muito contra o conselho da equipe de Desenvolvimento. É um pesadelo genuíno e uma dor incrível para nós, não só ele mata o ajax, mas apresenta tantos problemas de administração para nós.
Temos 40 funcionários regulares e 4 devs tentando usar o vpn às vezes e ele gagueja, assim como todos os usuários agora precisam de dois conjuntos de senhas, um para wp e outro para vpn, e isso não é apenas uma senha compartilhada, é individual Quer dizer, como você faria uma auditoria de segurança? Já é difícil lembrar uma senha segura, quanto mais duas.
Adicione à questão que muitas pessoas não sabem como usar uma vpn e muitas vezes isso só causa mais problemas.
Em última análise, é uma ideia terrível e muitas vezes é apresentada pela gerência ou superior que não conhece ou entende o WordPress. Eles vêem isso de uma forma terrível, porque é de código aberto e também deve ser um problema de segurança, cheio de exploits facilmente explorados e assim por diante ... está ficando velho.
WordPress é seguro e furar wp-admin por trás de uma vpn não é apenas o medo de espalhar que apresenta um pesadelo para todos os membros da equipe
Por que os tipos de gerenciamento não confiam quando se trata do WordPress, eles parecem esquecer que os principais sites usam o WordPress e não usam vpns, olhe para o mashable, por exemplo.
Então, para recapitular:
O Ajax não funciona atrás de uma vpn.
A VPN é uma ideia terrível por motivos mencionados acima
O WordPress é seguro e permanecerá assim, se você mantê-lo atualizado e os plug-ins atualizados.
Escute seu Dev, você paga por seu conhecimento. Eu posso prometer a você que nada prejudica uma relação de trabalho como não colocar sua confiança em um indivíduo e ter que verificar seu conhecimento.
Se você optar pela vpn, certifique-se de comprar licenças de usuário suficientes.
Se você quiser limitar o acesso ao backend do WP (ex: wp-admin ), use apenas a regra .htaccess no diretório wp-admin .
Confira este artigo para uma visão geral: Senha Proteger um Diretório Usando o .htaccess
Verifique também este tópico para o seu caso específico: Senha protegendo / wp-admin /