Как работает admin-ajax.php?

admin-ajax.php является частью WordPress AJAX API ,и да,он обрабатывает запросы как от бэкэнда,так и от фронта.Старайтесь не беспокоиться о том,что он находится в wp-admin.Я думаю,что это тоже странное место,но само по себе это не проблема безопасности.Как это связано с «перечислением админов»,я не знаю.

admin-ajax.php is part of the WordPress AJAX API, and yes, it does handle requests from both backend and front. Try not to worry about the fact that it is in wp-admin. I think that is a strange place for it too, but it is not a security problem in itself. How this relates to "enumerate the admins", I don't know.

Для неаутентифицированных и ненадежных пользователей вам нужно сделать два особых исключения для вашего VPN/Firewall/Apache .htaccess,а именно:

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

Это две автоматические магические конечные точки,которые часто используются как внутренними WP,так и различными плагинами.

Вот некоторые объяснения того,что делает admin-post.php:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.php работает очень похожим образом,и полезное объяснение можно найти здесь.

For unauthenticated and untrusted users, you'll want to make two specific exceptions to your VPN / Firewall / Apache .htaccess, which are:

• example.com/wp-admin/admin-post.php
• example.com/wp-admin/admin-ajax.php

These are two auto-magic endpoints used by a lot by both internal WP and also various plugins.

Here's some explanation of what admin-post.php does:

• https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.php works in a very similar way, and a helpful explanation is here.

Если вы хотите ограничить доступ к бэкэнду WP (например,wp-admin),просто используйте правило .htaccess в wp-admin каталог.

Ознакомьтесь с этой статьей,чтобы получить общий обзор: Пароль для защиты каталога с помощью .htaccess

Также ознакомьтесь с этой темой для своего конкретного случая: Защита паролем/wp-admin/

If you want to limit access to the WP backend (ex: wp-admin), just use a .htaccess rule on the wp-admin directory.

Check out this article for a general overview: Password Protect a Directory Using .htaccess

Also check out this topic for your specific case: Password protecting /wp-admin/

Лично я считаю,что это ужасная идея. Около двух месяцев назад наш директор по развитию настоял на том,чтобы мы сделали именно это,вопреки советам команды разработчиков. Это настоящий кошмар и невероятная боль для нас,он не только убивает все вместе ajax,но и создает для нас множество проблем с администрированием.

У нас есть 40 штатных сотрудников и 4 разработчика,которые время от времени пытаются использовать vpn,и он просто заикается,при этом всем пользователям теперь требуется два набора паролей: один для wp и один для vpn,и это не просто общий пароль,это индивидуальный те,я имею в виду,как еще вы бы провели аудит безопасности. Достаточно сложно запомнить один надежный пароль,не говоря уже о двух.

Добавьте к этому то,что многие люди не знают,как использовать VPN,и часто это вызывает больше проблем.

В конце концов,это ужасная идея,и ее часто выдвигает руководство или высшие должностные лица,которые не знают и не понимают WordPress. Они видят это в ужасном свете: поскольку это открытый исходный код,он также должен представлять собой проблему безопасности,наполненную легко обнаруживаемыми эксплойтами и т. Д.… Он стареет.

WordPress безопасен,и установка wp-admin за vpn - это не только разжигание страха,это кошмар для каждого члена команды

Почему у управленцев нет доверия,когда дело доходит до WordPress,они,кажется,забывают,что основные сайты используют WordPress и не используют VPN,например,посмотрите наmashable.

Итак,резюмируем:

Ajax не работает через VPN.

Vpn - ужасная идея по причинам,указанным выше

WordPress безопасен и останется таковым,если вы будете обновлять его и плагины.

Слушайте своих разработчиков,вы платите им за их опыт. Я могу пообещать вам,что ничто не подрывает рабочие отношения,как недоверие к человеку и необходимость проверить его знания.

Если вы все-таки пользуетесь VPN,обязательно купите достаточное количество пользовательских лицензий.

My personal opinion is that this is a god awful idea. About two months ago our director of development insisted we do just this, much against the advice of the Dev team. It's a genuine nightmare and an incredible pain for us, not only does it kill ajax all together it presents so many administration issues for us.

We have 40 regular staff and 4 devs trying to use the vpn at times and it just stutters, along with that all users now require two sets of passwords one for wp and one for vpn and that's not just a shared password it's individual ones, I mean how else would you do a security audit. It's hard enough to remember one secure password, let alone two.

Add to the issue that a lot of people do not know how to use a vpn and often that just causes more issues.

Ultimately it's a terrible idea and it's often put forward by management or higher who do not know or understand WordPress. They see it in a terrible light, that because it's open source it must also be a security issue, filled with easily tapped exploits and so on.... its getting old.

WordPress is secure and sticking wp-admin behind a vpn is not only fear mongering it presents a nightmare for every member of the team

Why is it that management types have no trust when it comes to WordPress, they seem to forget major sites use WordPress and don't use vpns, look at mashable for example.

So to recap:

Ajax won't work behind a vpn.

Vpn is a terrible idea for reasons mentioned above

WordPress is secure and will remain so if you keep it and plugins up to date.

Listen to your Dev, you pay them for their expertise. I can promise you, that nothing undermines a working relationship like not putting your trust into an individual and having to check up on their knowledge.

If you do go with vpn, be sure to buy enough user licenses.