Come funziona admin-ajax.php?

Question

Come funziona admin-ajax.php?

- 15
- 73056 2012-12-27
Stiamo riscontrando alcuniproblemi con uno sviluppatoreesterno.

Vogliamo limitare l'accesso al sito wp-admin solo all'accessointerno (tramite VPN ).Semplicemente cosìnon sarà attaccato da utentiesterni.Possiamoenumeraregli amministratori del sitoe non vogliamo che venganophishing.

Ilnostro sviluppatore sta dicendo chenonpossiamofarloperchéil sito deve avere lapagina di amministrazione accessibileesternamentein modo che lapaginafunzioni.inparticolare lapagina admin-ajax.

Cosafa lapagina admin-ajax.php?

Sitrovanella sezione di amministrazione di WordPress.Vi si accedenon autenticato dagli utentifinali?È unapraticapericolosa averlo a disposizione di utentiesterni?

We are having some issues with an external developer.

We want to limit access to the wp-admin site to internal access only (via VPN). Simply so it will not be attacked by external users. We can enumerate the admins from the site and do not want them to be phished.

Our developer is saying we can't do that because the site needs to have the admin page accessible externally so the page will function. specifically the admin-ajax page.

What does the admin-ajax.php page do?

It is located in the admin section of WordPress. Is it accessed unauthenticated by end users? Is it an unsafe practice to have this available to external users?

admin ajax security
- fonte
- nick

- `ajax-admin.php`gestisce .. le richieste ajax.Cancellailtitoloe la domandain generale,http://wordpress.stackexchange.com/faq
  
  `ajax-admin.php` handles.. ajax requests. Please clear your title up and the question in general, http://wordpress.stackexchange.com/faq
  - 0
  - 2012-12-27
  - Wyck

4 risposta

voti

s_ha_dum · Answer 1 · 2012-12-27

8

2012-12-27

admin-ajax.phpfaparte dell ' API AJAX di WordPress ,e sì,gestisce le richieste sia dalbackend che dalfront.Cerca dinonpreoccuparti delfatto che siain wp-admin.Penso che sia unposto strano ancheper questo,manon è unproblema di sicurezzain sé.Non lo so come questo si riferisca a "enumeratethe admins".

consiglieresti di spostare lapagina di amministrazione di wp dall'essere disponibileesternamente?e sai se cosìfacendo siinterromperebbe qualcosa con l'amministratore ajax?

would you recommend moving the wp admin page from being externally available? and do you know if doing so would disrupt anything with the ajax admin?
- 0
- 2012-12-27
- nick
Non sono sicuro al 100% di cosa significhi,ma se richiedi che l'accesso aifilein `wp-admin`provenga dall'IP dellatua VPN,allora sì che dovrebbe rovinare AJAX.Le chiamate AJAXprovengono dalbrowser dell'utente,quindiprovengono dall'IP dell'utente.

I am not 100% sure what this means but if you require that access to files in `wp-admin` be from your VPN's IP, then yes that should mess up AJAX. AJAX calls are from the user's browser so come from the user's IP.
- 0
- 2012-12-27
- s_ha_dum
Puoi spiegareperché,in particolare,non è unproblema di sicurezzapernoin00bs?Altrimenti,risposta decente.

Can you explain why, specifically, it is not a security problem for us n00bs? Otherwise, decent answer.
- 1
- 2015-04-28
- daaxix

haz · Answer 2 · 2017-06-15

4

2017-06-15

Pergli utentinon autenticatie non attendibili,ti consigliamo difare dueeccezioni specifiche a VPN/Firewall/Apache .htaccess,che sono:

example.com/wp-admin/admin-post.php
example.com/wp-admin/admin-ajax.php

Questi sono dueendpoint automaticimagici utilizzati damolti sia dal WPinterno che da variplugin.

Ecco alcune spiegazioni di cosafa admin-post.php:

https://www.sitepoint.com/handling-post-richieste-nel-modo-wordpress/

admin-ajax.phpfunzionain modomolto similee una spiegazione utile è qui.

fonte
haz

skim- · Answer 3 · 2012-12-27

2

2012-12-27

Se desideri limitare l'accesso albackend WP (es: wp-admin),utilizza semplicemente una regola .htaccess su wp-admin directory.

Dai un'occhiata a questo articoloper unapanoramicagenerale: Proteggi conpassword una directory utilizzando .htaccess

Controlla anche questo argomentoperiltuo caso specifico: Protezione conpassword/wp-admin/

fonte
skim-

O sepreferiscifarlotramite IP: http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/

Or if you'd rather do it by IP : http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/
- 1
- 2012-12-27
- skim-

score 1 · Answer 4 · 2014-01-17

1

2014-01-17

Lamia opinionepersonale è che questa sia un'ideaterribile. Circa duemesifailnostro direttore dello sviluppo hainsistito sulfatto che lofacessimo,molto controil consiglio delteam di sviluppo. È un veroincuboe un doloreincredibilepernoi,non solo uccide ajaxtuttiinsieme,mapresenta cosìtantiproblemi amministrativipernoi.

Abbiamo 40 dipendenti regolarie 4 sviluppatori che cercano di utilizzare la VPN a voltee balbetta,e tuttigli utenti ora richiedono due set dipassword unoper wpe unoper VPNe non è solo unapassword condivisa,èindividuale quelli,voglio direin quale altromodofaresti un controllo di sicurezza. Ègià abbastanza difficile ricordare unapassword sicura,figuriamoci due.

Aggiungi alproblema chemoltepersonenon sanno come usare una VPNe spesso questo causa solopiùproblemi.

In definitiva è un'ideaterribileed è spessoproposta dalla direzione o da un livello superiore chenon conosce o capisce WordPress. Lo vedono sotto una luceterribile,chepoiché è open source deve ancheessere unproblema di sicurezza,pieno diexploitfacilmenteintercettabilie così via ... stainvecchiando.

WordPress è sicuroe mantenere wp-admin dietro una vpnnon è solopaura,ma rappresenta unincuboper ognimembro delteam

Perchéi gestorinon hannofiducia quando sitratta di WordPress,sembrano dimenticare chei principali siti usano WordPresse non usano VPN,guarda adesempio Mashable.

Quindi,per ricapitolare:

Ajaxnonfunzionerà dietro una VPN.

Vpn è un'ideaterribileperi motivi sopramenzionati

WordPress è sicuroe lo rimarrà se lomanterraie iplugin aggiornati.

Ascoltai tuoi sviluppatori,lipaghiper la loroesperienza. Tipossopromettere chenullamina un rapporto di lavoro comenon riporre latuafiduciain unindividuoe dover controllare le sue conoscenze.

Se utilizzi VPN,assicurati di acquistare unnumero sufficiente di licenze utente.

fonte

Non ho ancora abbastanzapuntiper sottovalutarti,ma lofarei se lofacessi.Fai una sfuriata sullafiducia deituoi sviluppatori,ma danessunaparte dici 1) * cosafa,* o 2) *perché è okin wp-admin. * Non sonoimpressionato da questa risposta.

I don't have enough points to downvote you yet, but I would if I did. You go on a rant about trusting your developers, but nowhere do you say 1) *what it does,* or 2) *why it is ok in wp-admin.* I'm not impressed with this answer.
- 12
- 2015-04-28
- daaxix
Iplugin vulnerabilipossonoessere sfruttati con admin-ajax.php a seconda di comeilplugin è sviluppato.Moltipluginnon vengono sottoposti ad analisi del codice statico o dinamicoperi test di vulnerabilità.Ancheil core di WordPress risolve costantemente le vulnerabilità.Se segui le lineeguida sulla sicurezza di WordPress,cheincludono l'hardening come limitare wp-admin,manteneretutto aggiornatoe limitarei plugin cheinstalli,latuaesposizione èpiù limitata.Tuttavia,non sei sicuro al 100%.

Vulnerable plugins can be exploited with admin-ajax.php depending on how the plugin is developed. Many plugins do not undergo static or dynamic code analysis for vulnerability testing. WordPress core is also constantly fixing vulnerabilities. If you follow WordPress security guidelines, which include hardening like restricting wp-admin, keeping everything up-to-date, and limiting the plugins you install, your exposure is more limited. You are not, however, 100% secure.
- 1
- 2019-08-26
- tacotuesday
Bene,WP ha unatraccia orribile riguardo alla sicurezza.Principalmente a causa diplugin difettosi,ma anchenel core.E a causa della suapopolarità,ci sonomoltibot che scansionanoil WWWe hackeranoilmaggiornumeropossibile di siti wp.Ci sono altriprogetti open source chefanno un lavoro decisamentemigliorein termini di sicurezza.Mipiace wordpress,èfacile da configuraree penso che vadabenissimoperbloge piccoli siti.Ma usarloper cose comenegozi online che archiviano dati sensibili come le carte di credito è davvero una cattivaidea.Bloccare semplicemente l'accesso a/wp-adminpotrebbenonessere unabuonaidea,ma dovresti assolutamentepreoccuparti della sicurezza.

Well WP has a horrible track concerning security. Mostly due to bad plugins, but also in the core. And due to its popularity, there are lots of bots that just scan the WWW and hack as many wp sites as they can. There are other open source projects that do a way better job at security. I like wordpress, it's easy to setup and I think its perfectly fine for blogs and small sites. But using it for stuff like online shops that store sensible data like credit cards is really a bad idea. Simply blocking access to /wp-admin might not be a good idea, but you should definitely worry about security.
- 0
- 2020-03-26
- Gellweiler