Como o admin-ajax.php funciona?

Question

Como o admin-ajax.php funciona?

- 15
- 73056 2012-12-27
Estamostendo algunsproblemas com um desenvolvedorexterno.

Queremos limitar o acesso ao site wp-admin apenaspara acessointerno (via VPN ).Simplesmente,entãonão será atacadopor usuáriosexternos.Podemosenumerar os administradores do sitee não queremos queeles sejamphescidos.

Nosso desenvolvedorestá dizendo quenãopodemosfazerissoporque o siteprecisater apágina do administrador acessívelexternamentepara que apáginafuncione.Especificamente o Admin-Ajax Page.

O que o admin-ajax.php páginafaz?

Está localizadona seção de administração do WordPress.É acessadonão autenticadopor usuáriosfinais?É umapráticainseguraterisso disponívelpara usuáriosexternos?

We are having some issues with an external developer.

We want to limit access to the wp-admin site to internal access only (via VPN). Simply so it will not be attacked by external users. We can enumerate the admins from the site and do not want them to be phished.

Our developer is saying we can't do that because the site needs to have the admin page accessible externally so the page will function. specifically the admin-ajax page.

What does the admin-ajax.php page do?

It is located in the admin section of WordPress. Is it accessed unauthenticated by end users? Is it an unsafe practice to have this available to external users?

admin ajax security
- fonte
- nick

- "Ajax-admin.php" alças .. Ajax solicitações.Porfavor,limpe seutítuloe aperguntaem geral,http://wordpress.stackexchange.com/faq
  
  `ajax-admin.php` handles.. ajax requests. Please clear your title up and the question in general, http://wordpress.stackexchange.com/faq
  - 0
  - 2012-12-27
  - Wyck

4 respostas

votos

s_ha_dum · Answer 1 · 2012-12-27

8

2012-12-27

admin-ajax.phpfazparte do wordpress Ajax API ,E sim,ele lida com solicitações debackende dafrente.Tentenão sepreocupar com ofato de queestáem wp-admin.Eu acho que é um lugarestranhoparaissotambém,masnão é umproblema de segurançaem si.Comoisso se relaciona com "enumerar os administradores",eunão sei.

Você recomendariamover apágina de administrador WP deestarexternamente disponível?E você sabe seissoiriainterromper alguma coisa com o administrador Ajax?

would you recommend moving the wp admin page from being externally available? and do you know if doing so would disrupt anything with the ajax admin?
- 0
- 2012-12-27
- nick
Eunãotenho 100% de certeza do queisso significa,mas se vocêprecisar de que o acesso aos arquivosno `wp-admin 'seja do IP do seu VPN,então sim que deve atrapalhar o AJAX.As chamadas AJAX são donavegador do usuário,então vêm do IP do usuário.

I am not 100% sure what this means but if you require that access to files in `wp-admin` be from your VPN's IP, then yes that should mess up AJAX. AJAX calls are from the user's browser so come from the user's IP.
- 0
- 2012-12-27
- s_ha_dum
Vocêpodeexplicarpor que,especificamente,não é umproblema de segurançaparanósn00bs?Caso contrário,resposta decente.

Can you explain why, specifically, it is not a security problem for us n00bs? Otherwise, decent answer.
- 1
- 2015-04-28
- daaxix

haz · Answer 2 · 2017-06-15

4

2017-06-15

Para usuáriosnão autenticadose não confiáveis,você desejaráfazer duasexceçõesespecíficaspara o seu VPN/Firewall/Apache .htaccess,que são:

example.com/wp-admin/admin-post.php
example.com/wp-admin/admin-ajax.php

Estes são doisendpoints automáticos usadospormuitopelo WPinternoe também váriosplugins.

Aquiestá algumaexplicação sobre o que admin-post.phpfaz:

https://www.sitepoint.com/handling-pós-solicitações-the-wordpress-way/

admin-ajax.phpfunciona de umaformamuitoparecer,e umaexplicação útil é Aqui.

fonte
haz

skim- · Answer 3 · 2012-12-27

2

2012-12-27

Se você quiser limitar o acesso aobackend wp (ex: wp-admin),basta usar um .htaccess regra sobre o wp-admin diretório.

Confiraeste artigopara uma visãogeralgeral: Rel="nofollow"> Senha Proteger um diretório usando .htaccess

Confiraestetópicopara o seu casoespecífico: Protecção de senha/WP-admin/

fonte
skim-

Ou se vocêpreferirfazerissopor IP: http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/

Or if you'd rather do it by IP : http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/
- 1
- 2012-12-27
- skim-

score 1 · Answer 4 · 2014-01-17

1

2014-01-17

Minha opiniãopessoal é queesta é umaideia horrível de Deus. Cerca de doismeses atrás,nosso diretor de desenvolvimentoinsistiu quefazemos apenasisso,muito contra o conselho daequipe Dev. É umpesadelogenuínoe uma dorincrívelparanós,não sómata Ajaxtodosjuntos apresentatantosproblemas de administraçãoparanós.

Temos 40funcionários regularese 4 devstentando usar a VPN às vezese apenasfigurando,junto com quetodos os usuários agoraexigem dois conjuntos de senhas umpara WPe umpara VPNe issonão é apenas uma senha compartilhada Eu quero dizer quemais vocêfaria uma auditoria de segurança. É difícil lembrar uma senha segura,menos dois.

Adicione aoproblema quemuitaspessoasnão sabem como usar uma VPNe,muitas vezes,isso só causamaisproblemas.

Em última análise,é umaideiaterrívele muitas vezes é apresentadapela administração ou superior a quemnão conhece ouentende o WordPress. Eles a vêem de uma luzterrível,queporque éfonte aberta,eletambém deve ser uma questão de segurança,preenchida comexploraçõesfacilmentebateue assimpor diante .... é velho.

WordPress é seguroe aderindo o WP-admin atrás de uma VPNnão é apenasmedo Mongering apresenta umpesadeloparatodos osmembros daequipe

Por queessestipos degerenciamentonãotêm confiança quando setrata de WordPress,elesparecemesquecer os sitesprincipais usam o WordPresse não use VPNs,olheparamashable,porexemplo.

para recapitular:

Ajaxnãofunciona atrás de uma VPN.

VPN é umaideiaterrívelpor razõesmencionadas acima

WordPress é seguroe permaneceráporisso,se vocêmantivere plugins atualizados.

Ouça o seu dev,vocêpagapor suaexperiência. Eupossoprometer a você,quenadaprejudica uma relação detrabalho comonão colocar sua confiançaem umindivíduoe ter que verificar seu conhecimento.

Se vocêfor com VPN,certifique-se de comprar licenças de usuário suficientes.

fonte

Eunãotenhopontos suficientespara downVote você ainda,maseufaria se ofizesse.Você vaiem um discurso sobre confiarem seus desenvolvedores,masem nenhum lugar você diz 1) * O queelefaz,* ou 2) * Por que é okno wp-admin. * Eunãoestouimpressionado comesta resposta.

I don't have enough points to downvote you yet, but I would if I did. You go on a rant about trusting your developers, but nowhere do you say 1) *what it does,* or 2) *why it is ok in wp-admin.* I'm not impressed with this answer.
- 12
- 2015-04-28
- daaxix
Plugins vulneráveispodem serexplorados com Admin-Ajax.php,dependendo de como oplugin é desenvolvido.Muitospluginsnão sofrem análise de códigoestático ou dinâmicoparatestes de vulnerabilidade.O Núcleo do WordPresstambémestá constantemente corrigindo vulnerabilidades.Se você seguir as diretrizes de segurança do WordPress,queincluem oendurecimento como restringir o WP-admin,mantendotudo atualizadoe limitando osplugins que vocêinstala,suaexposição émais limitada.Vocênão é,noentanto,100% seguro.

Vulnerable plugins can be exploited with admin-ajax.php depending on how the plugin is developed. Many plugins do not undergo static or dynamic code analysis for vulnerability testing. WordPress core is also constantly fixing vulnerabilities. If you follow WordPress security guidelines, which include hardening like restricting wp-admin, keeping everything up-to-date, and limiting the plugins you install, your exposure is more limited. You are not, however, 100% secure.
- 1
- 2019-08-26
- tacotuesday
Bem WPtem umafaixa horrível sobre segurança.Principalmente devido aplugins ruins,mastambémnonúcleo.E devido à suapopularidade,hámuitosbots que apenas digitalizam o wwwe hackear os sites WP quepodem.Existem outrosprojetos de código aberto quefazem umtrabalhomelhorem segurança.Eugosto de WordPress,éfácil de configurare acho que éperfeitamentebem parablogse pequenos sites.Mas usando-opara coisas como lojas on-line que armazenam dados sensíveis,como cartões de crédito,é realmente umamáideia.Bastabloquear o acesso a/wp-adminpodenão ser umaboaideia,mas você deve sepreocupar com segurança.

Well WP has a horrible track concerning security. Mostly due to bad plugins, but also in the core. And due to its popularity, there are lots of bots that just scan the WWW and hack as many wp sites as they can. There are other open source projects that do a way better job at security. I like wordpress, it's easy to setup and I think its perfectly fine for blogs and small sites. But using it for stuff like online shops that store sensible data like credit cards is really a bad idea. Simply blocking access to /wp-admin might not be a good idea, but you should definitely worry about security.
- 0
- 2020-03-26
- Gellweiler