Wie funktioniert admin-ajax.php?

14

Wir haben einige Probleme mit einem externen Entwickler.

Wir möchten den Zugriff auf die wp-adminSite auf den internen Zugriff beschränken (über VPN ). Einfach so wird es nicht von externen Usern angegriffen. Wir können die Administratoren auf der Website auflisten und möchten nicht, dass sie gefälscht werden.

Unser Entwickler sagt, dass wir das nicht tun können, da die Seite extern zugänglich sein muss, damit sie funktioniert. speziell die admin-ajaxSeite.

Was macht die admin-ajax.phpSeite?

Es befindet sich im Admin-Bereich von WordPress. Wird der Zugriff von Endbenutzern nicht authentifiziert? Ist es unsicher, dies externen Benutzern zur Verfügung zu stellen?

admin ajax security Nick
quelle
ajax-admin.phpbehandelt .. Ajax-Anfragen. Bitte klären Sie Ihren Titel und die Frage im Allgemeinen, wordpress.stackexchange.com/faq
Wyck

Antworten:

6

admin-ajax.phpist Teil der AJAX-API von WordPress und verarbeitet Anforderungen sowohl vom Backend als auch vom Frontend. Versuchen Sie, sich keine Sorgen darüber zu machen, dass es in ist wp-admin. Ich denke, das ist auch ein seltsamer Ort, aber es ist kein Sicherheitsproblem für sich. Wie das mit "Aufzählen der Admins" zusammenhängt, weiß ich nicht.

s_ha_dum
quelle
Würden Sie empfehlen, die WP-Administrationsseite nicht mehr extern verfügbar zu machen? und wissen Sie, ob dies den Ajax-Administrator stören würde?
Nick
Ich bin nicht zu 100% sicher, was dies bedeutet, aber wenn Sie den Zugriff auf Dateien wp-adminüber die IP Ihres VPNs benötigen , sollte dies AJAX durcheinander bringen. AJAX-Aufrufe erfolgen über den Browser des Benutzers, dh, die IP-Adresse des Benutzers.
s_ha_dum
1
Können Sie erklären, warum dies für uns n00bs kein Sicherheitsproblem ist? Ansonsten anständige Antwort.
Daaxix
3

Für nicht authentifizierte und nicht vertrauenswürdige Benutzer möchten Sie zwei spezifische Ausnahmen für Ihr VPN / Ihre Firewall / Ihren Apache festlegen .htaccess:

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

Dies sind zwei Auto-Magic-Endpunkte, die sowohl von internen WPs als auch von verschiedenen Plugins häufig verwendet werden.

Hier ist eine Erklärung dessen, was admin-post.phppassiert:

admin-ajax.phpfunktioniert auf sehr ähnliche Weise, und eine hilfreiche Erklärung finden Sie hier .

haz
quelle
2

Meine persönliche Meinung ist, dass dies eine schreckliche Idee ist. Vor ungefähr zwei Monaten bestand unser Entwicklungsdirektor darauf, dass wir genau dies tun, sehr gegen den Rat des Entwicklerteams. Es ist ein wahrer Albtraum und ein unglaublicher Schmerz für uns, der nicht nur Ajax tötet, sondern auch so viele Verwaltungsprobleme mit sich bringt.

Wir haben 40 reguläre Mitarbeiter und 4 Entwickler, die versuchen, den VPN zu benutzen, und es ruckelt nur, außerdem benötigen alle Benutzer jetzt zwei Sätze von Passwörtern, einen für WP und einen für VPN, und das ist nicht nur ein gemeinsames Passwort, sondern ein individuelles Ich meine, wie sonst würden Sie eine Sicherheitsüberprüfung durchführen. Es ist schon schwer genug, sich ein sicheres Passwort zu merken, geschweige denn zwei.

Fügen Sie dem Problem hinzu, dass viele Leute nicht wissen, wie man einen VPN benutzt, und dass dies oft nur mehr Probleme verursacht.

Letztendlich ist es eine schreckliche Idee und sie wird oft vom Management oder höheren Stellen vorgebracht, die WordPress nicht kennen oder verstehen. Sie sehen es in einem schrecklichen Licht, dass es, weil es Open Source ist, auch ein Sicherheitsproblem sein muss, angefüllt mit leicht anzuzapfenden Exploits und so weiter ... es wird alt.

WordPress ist sicher und wp-admin hinter einem vpn zu stecken ist nicht nur Angst zu haben, es ist ein Albtraum für jedes Mitglied des Teams

Warum haben Management-Typen kein Vertrauen in WordPress? Sie scheinen zu vergessen, dass große Websites WordPress verwenden und keine VPNs verwenden. Schauen Sie sich zum Beispiel mashable an.

Um es noch einmal zusammenzufassen:

Ajax funktioniert nicht hinter einem VPN.

VPN ist eine schreckliche Idee aus den oben genannten Gründen

WordPress ist sicher und bleibt dies auch, wenn Sie es und die Plugins auf dem neuesten Stand halten.

Hören Sie auf Ihren Entwickler, Sie bezahlen ihn für sein Fachwissen. Ich kann Ihnen versprechen, dass nichts eine Arbeitsbeziehung untergräbt, wenn Sie nicht Ihr Vertrauen in einen Einzelnen setzen und dessen Wissen überprüfen müssen.

Wenn Sie sich für VPN entscheiden, müssen Sie genügend Benutzerlizenzen erwerben.


quelle
11
Ich habe noch nicht genug Punkte, um dich abzustimmen, aber ich würde es tun, wenn ich es tun würde. Sie schimpfen darüber, Ihren Entwicklern zu vertrauen, aber Sie sagen nirgendwo, 1) was es tut oder 2) warum es in wp-admin in Ordnung ist. Diese Antwort beeindruckt mich nicht.
Daaxix
Gefährdete Plugins können mit admin-ajax.php ausgenutzt werden, je nachdem, wie das Plugin entwickelt wurde. Viele Plugins werden für Schwachstellentests keiner statischen oder dynamischen Code-Analyse unterzogen. WordPress Core behebt auch ständig Sicherheitslücken. Wenn Sie die Sicherheitsrichtlinien von WordPress befolgen, wie z. B. das Einschränken von wp-admin, das Aktualisieren und das Einschränken der von Ihnen installierten Plugins, ist Ihre Gefährdung geringer. Sie sind jedoch nicht zu 100% sicher.
Dienstag,
2

Wenn Sie den Zugriff auf das WP-Backend einschränken möchten (Beispiel:) wp-admin, verwenden Sie einfach eine .htaccessRegel für das wp-adminVerzeichnis.

In diesem Artikel finden Sie eine allgemeine Übersicht: Kennwortschutz für ein Verzeichnis mithilfe von .htaccess

Sehen Sie sich auch dieses Thema für Ihren speziellen Fall an: Kennwortschutz / wp-admin /

überfliegen-
quelle
1
Oder wenn Sie es lieber per IP machen möchten
skim-