Opiniões de especialistas necessários: como (em) é seguro esta abordagem?

Meu servidor tem ambos, wordpress e um cliente de webmail instalado.

  • WordPress é acessível através de: _http: //a-totally-awesome-domain.com/
  • Webmail é acessível através de: _http: //a-totally-awesome-domain.com/webmail/

Agora, o cliente de webmail não pode ser acessado de fora do administrador do wordpress. Por isso adicionei o seguinte a .htaccess:

RewriteEngine On # if the request's referer isn't from a php page on your site RewriteCond %{HTTP_REFERER} !^http?://a-totally-awesome-domain.com # deny access to the list of php files RewriteRule ^(webmail/*)$ - [L,F] 

Isso parece funcionar bem: 403 é retornado se uma tentativa de acessar _http: //a-totally-awesome-domain.com/webmail/ é feita. Agora, para a parte de integração de admin wordpress, criei o seguinte plug-in, para exibir o cliente de webmail dentro do administrador de wordpress:

 <?php /* Plugin Name: Webmail integration plugin Description: hm... Author: what? Version: 0.1 */ add_action('admin_menu', 'webmail_plugin_setup'); function webmail_plugin_setup() { add_menu_page( 'Webmail', 'Webmail', 'manage_options', 'webmail-plugin', 'webmail_plugin_init', 'dashicons-email-alt'); } function webmail_plugin_init() { echo ''; } ?> 

Isso torna o cliente de webmail bem disponível dentro do administrador de wordpress.

A questão é, isso é suficientemente seguro? Eu li que os iframes são considerados riscos de segurança. Existe alguma coisa que eu deva me preocupar com essa abordagem? Considerando que sou o único usuário no site e que o cliente de webmail está escondido atrás do administrador de wordpress, existe alguma ameaça à segurança possível? Em caso afirmativo, como poderia ser evitado?

Editar: mais alguns esclarecimentos:

Embora o cliente de webmail suporte autenticação, prefiro não ter sua página de login acessível ao público. Principalmente porque o cliente de webmail só suporta login de nome de usuário / senha, enquanto o wordpress é protegido por autenticação de dois fatores, detecção de força bruta e alguns outros resources de proteção de segurança. Então, parece ser uma boa idéia ocultar o cliente de webmail por trás da instalação do wordpress.

Por favor, tenha em mente que eu sou um novato com wordpress e toda essa web, e seu conselho é muito apreciado, Obrigado!

Solutions Collecting From Web of "Opiniões de especialistas necessários: como (em) é seguro esta abordagem?"

não. não é seguro. porque uma solicitação HTTP curl pode falsificar qualquer parâmetro nos headers das solicitações. O que você deveria fazer? A menor coisa que você pode fazer é criar um arquivo htpassword no diretório do cliente de email que coloca um pedido de nome de usuário e senha antes de enviar o conteúdo ao usuário. google sobre como criar um arquivo .htpassword.