外部開発者といくつかの問題があります。
wp-adminサイトへのアクセスを内部アクセスのみに制限したい(VPN経由)。単純に、外部ユーザーによる攻撃を受けないようにします。サイトから管理者を列挙することができ、フィッシングを望まない。
開発者は、サイトが管理ページを外部からアクセスできるようにして、ページが機能する必要があるため、それができないと言っています。特にadmin-ajaxページ。
admin-ajax.phpページは何をしますか?
WordPressの管理セクションにあります。エンドユーザーによって認証されずにアクセスされますか?これを外部ユーザーが利用できるようにするのは安全ではありませんか?
回答:
admin-ajax.phpWordPress AJAX APIの一部であり、はい、バックエンドとフロントの両方からのリクエストを処理します。にあるという事実を心配しないようにしてくださいwp-admin。これも奇妙な場所だと思いますが、それ自体はセキュリティの問題ではありません。これが「管理者を列挙する」とどのように関係しているか、私にはわかりません。
wp-adminが、あなたのVPN へのアクセスがあなたのVPNのIPからであることを要求するなら、はいはそれはAJAXを台無しにするはずです。AJAX呼び出しはユーザーのブラウザーから行われるため、ユーザーのIPから行われます。
認証されていない、信頼されていないユーザーの場合、VPN / Firewall / Apacheに対して2つの特定の例外を作成する必要が.htaccessあります。
example.com/wp-admin/admin-post.phpexample.com/wp-admin/admin-ajax.phpこれらは、内部WPとさまざまなプラグインの両方で多く使用される2つの自動マジックエンドポイントです。
これが何をするかの説明ですadmin-post.php:
私個人の意見では、これはひどい考えです。約2か月前、開発部長は開発チームのアドバイスに反して、これをやると主張しました。それは、私たちにとって真の悪夢であり、信じられないほどの痛みです。それは、アジャックスを一斉に殺すだけでなく、非常に多くの管理上の問題を提示します。
私たちには40人の正規スタッフと4人の開発者が時々vpnを使用しようとしていますが、すべてのユーザーがwp用とvpn用の2セットのパスワードを必要とし、それが個々の共有パスワードではありませんセキュリティ監査を他にどのように行いますか。2つは言うまでもなく、1つの安全なパスワードを覚えるのは十分に困難です。
多くの人がvpnの使い方を知らないという問題に加えて、多くの場合、それは単により多くの問題を引き起こします。
最終的にそれはひどいアイデアであり、WordPressを知らない、または理解していない管理者以上によってしばしば提唱されます。彼らはそれをひどく見ています。それはオープンソースであるため、セキュリティの問題であり、簡単に悪用されるエクスプロイトなどで満たされている必要があります。
WordPressは安全であり、wp-adminをvpnの背後に置くことは、それを監視することを恐れるだけでなく、チームのすべてのメンバーにとって悪夢です。
WordPressに関しては、管理タイプが信頼を持たないのはなぜですか。主要なサイトがWordPressを使用し、vpnを使用しないことを忘れているようです。たとえば、マッシュ可能を見てください。
要約すると:
AjaxはVPNの背後では機能しません。
Vpnは、上記の理由からひどいアイデアです
WordPressは安全であり、プラグインとプラグインを最新の状態に保つとそのまま残ります。
開発者の声に耳を傾け、彼らの専門知識の代価を支払います。私はあなたに約束することができます、個人にあなたの信頼を置かないで、彼らの知識を調べなければならないことのような仕事上の関係を損なうものは何もない。
VPNを使用する場合は、必ず十分なユーザーライセンスを購入してください。
WPバックエンドへのアクセスを制限する場合(例:)、ディレクトリでルールをwp-admin使用します。.htaccesswp-admin
一般的な概要については、この記事を参照してください。.htaccessを使用してパスワードでディレクトリを保護する
特定のケースについては、次のトピックも参照してください:パスワード保護/ wp-admin /
ajax-admin.phpハンドル.. ajaxリクエスト。タイトルをクリアし、一般的な質問、wordpress.stackexchange.com