How does admin-ajax.php work? 时间:2012-12-27 作者:nick 我们与外部开发人员有一些问题。我们想限制访问wp-admin 仅限现场内部访问(通过VPN). 这样就不会受到外部用户的攻击。我们可以从站点中枚举管理员,不希望他们被钓鱼。我们的开发人员说我们不能这样做,因为网站需要有外部访问的管理页面,这样页面才能正常工作。特别是admin-ajax 页什么是admin-ajax.php 页码do?它位于WordPress的管理部分。最终用户是否未经身份验证就访问?让外部用户使用此功能是否不安全? 3 个回复 SO网友:s_ha_dum admin-ajax.php 是WordPress AJAX API, 是的,它确实处理来自后端和前端的请求。尽量不要担心wp-admin. 我认为这对它来说也是一个奇怪的地方,但它本身并不是一个安全问题。我不知道这与“枚举管理员”有什么关系。 SO网友:haz 对于未经身份验证和不受信任的用户,您需要对VPN/防火墙/Apache进行两个特定的例外.htaccess, 它们是:example.com/wp-admin/admin-post.phpexample.com/wp-admin/admin-ajax.php这是内部WP和各种插件使用的两个自动魔术端点。这里有一些解释admin-post.php 是否:https://www.sitepoint.com/handling-post-requests-the-wordpress-way/admin-ajax.php 工作原理非常相似,一个有用的解释是here. SO网友:skim- 如果要限制对WP后端的访问(例如:wp-admin), 只需使用.htaccess 关于的规则wp-admin 目录查看本文了解一般概述:Password Protect a Directory Using .htaccess请针对您的具体案例查看此主题:Password protecting /wp-admin/ 结束 文章导航
