Come funziona admin-ajax.php?

14

Stiamo riscontrando alcuni problemi con uno sviluppatore esterno.

Vogliamo limitare l'accesso al wp-adminsito solo all'accesso interno (tramite VPN ). Semplicemente, non verrà attaccato da utenti esterni. Possiamo enumerare gli amministratori dal sito e non vogliamo che vengano phishing.

Il nostro sviluppatore sta dicendo che non possiamo farlo perché il sito deve avere la pagina di amministrazione accessibile esternamente, quindi la pagina funzionerà. in particolare la admin-ajaxpagina.

Cosa fa la admin-ajax.phppagina?

Si trova nella sezione admin di WordPress. L'accesso è non autenticato dagli utenti finali? È una pratica non sicura avere questo disponibile per gli utenti esterni?

admin  ajax  security 
tacca
fonte
ajax-admin.phpgestisce .. richieste Ajax. Si prega di chiarire il titolo e la domanda in generale, wordpress.stackexchange.com/faq
Wyck,

Risposte:

6

admin-ajax.phpfa parte dell'API AJAX di WordPress e, sì, gestisce le richieste sia dal backend che dal fronte. Cerca di non preoccuparti del fatto che sia dentro wp-admin. Penso che sia un posto strano anche per questo, ma non è un problema di sicurezza in sé. Non so come si riferisca a "enumerare gli amministratori".

s_ha_dum
fonte
consiglieresti di spostare la pagina di amministrazione di wp dalla disponibilità esterna? e sai se farlo interromperebbe qualcosa con l'amministratore Ajax?
nick
Non sono sicuro al 100% di cosa significhi, ma se hai bisogno che l'accesso ai file wp-adminprovenga dall'IP della tua VPN, allora sì, questo dovrebbe rovinare AJAX. Le chiamate AJAX provengono dal browser dell'utente, quindi provengono dall'IP dell'utente.
s_ha_dum,
1
Puoi spiegarci perché, nello specifico, non è un problema di sicurezza per noi n00bs? Altrimenti, risposta decente.
daaxix,
3

Per utenti non autenticati e non attendibili, ti consigliamo di fare due eccezioni specifiche alla tua VPN / Firewall / Apache .htaccess, che sono:

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

Questi sono due endpoint auto-magici utilizzati da molti sia dal WP interno che da vari plugin.

Ecco alcune spiegazioni su cosa admin-post.phpfa:

admin-ajax.phpfunziona in modo molto simile e una utile spiegazione è qui .

haz
fonte
2

La mia opinione personale è che questa è un'idea terribile di Dio. Circa due mesi fa il nostro direttore dello sviluppo ha insistito sul fatto che lo facessimo, molto contro il parere del team Dev. È un vero incubo e un dolore incredibile per noi, non solo uccide ajax tutti insieme ci presenta così tanti problemi di amministrazione per noi.

Abbiamo 40 dipendenti regolari e 4 sviluppatori che provano a usare la VPN a volte e balbetta, insieme a che tutti gli utenti ora richiedono due set di password uno per wp e uno per vpn e che non è solo una password condivisa, è individuale, io indica in quale altro modo faresti un audit di sicurezza. È abbastanza difficile ricordare una password sicura, figuriamoci due.

Aggiungete al problema che molte persone non sanno come usare un VPN e spesso ciò causa solo più problemi.

Alla fine è un'idea terribile ed è spesso proposta da dirigenti o superiori che non conoscono o capiscono WordPress. Lo vedono in una luce terribile, perché poiché è open source deve anche essere un problema di sicurezza, pieno di exploit facilmente intercettabili e così via ... sta invecchiando.

WordPress è sicuro e attenersi a wp-admin dietro a una VPN non è solo la paura di essere un mongolfiera, ma rappresenta un incubo per ogni membro del team

Perché i tipi di gestione non hanno fiducia quando si tratta di WordPress, sembrano dimenticare i principali siti che usano WordPress e non usano i vpns, ad esempio come mascherabili.

Quindi, per ricapitolare:

Ajax non funzionerà dietro un VPN.

Vpn è un'idea terribile per i motivi sopra menzionati

WordPress è sicuro e rimarrà tale se lo mantieni e plug-in aggiornati.

Ascolta il tuo Dev, li paghi per la loro esperienza. Posso prometterti che nulla indebolisce una relazione di lavoro come non confidare in un individuo e doverne verificare le conoscenze.

Se vai con vpn, assicurati di acquistare abbastanza licenze utente.

11
Non ho ancora abbastanza punti per sottovalutarti, ma lo farei se lo facessi. Ti diverti a fidarti dei tuoi sviluppatori, ma da nessuna parte dici 1) cosa fa, o 2) perché è ok in wp-admin. Non sono impressionato da questa risposta.
daaxix,
I plugin vulnerabili possono essere sfruttati con admin-ajax.php a seconda di come viene sviluppato il plugin. Molti plug-in non sono sottoposti ad analisi di codice statico o dinamico per i test di vulnerabilità. Il core di WordPress corregge costantemente anche le vulnerabilità. Se segui le linee guida di sicurezza di WordPress, che includono la protezione come la limitazione di wp-admin, l'aggiornamento di tutti i dati e la limitazione dei plug-in installati, l'esposizione è più limitata. Tuttavia, non sei sicuro al 100%.
tacotuesday,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.