Bagaimana cara kerja admin-ajax.php?

14

Kami mengalami beberapa masalah dengan pengembang eksternal.

Kami ingin membatasi akses ke wp-adminsitus hanya untuk akses internal (melalui VPN ). Sederhananya itu tidak akan diserang oleh pengguna eksternal. Kami dapat menghitung admin dari situs dan tidak ingin mereka di-phishing.

Pengembang kami mengatakan kami tidak dapat melakukan itu karena situs perlu memiliki halaman admin yang dapat diakses secara eksternal sehingga halaman tersebut akan berfungsi. khusus admin-ajaxhalaman.

Apa yang dilakukan admin-ajax.phphalaman?

Terletak di bagian admin WordPress. Apakah itu diakses tanpa diautentikasi oleh pengguna akhir? Apakah ini praktik yang tidak aman untuk menyediakan ini untuk pengguna eksternal?

nick
sumber
ajax-admin.phpmenangani .. permintaan ajax. Harap bersihkan judul Anda dan pertanyaan secara umum, wordpress.stackexchange.com/faq
Wyck

Jawaban:

6

admin-ajax.phpadalah bagian dari WordPress AJAX API , dan ya, ia menangani permintaan dari backend dan front. Cobalah untuk tidak khawatir tentang fakta bahwa dalam wp-admin. Saya pikir itu adalah tempat yang aneh juga, tapi itu bukan masalah keamanan itu sendiri. Bagaimana ini berhubungan dengan "menghitung admin", saya tidak tahu.

s_ha_dum
sumber
apakah Anda merekomendasikan untuk memindahkan halaman admin wp dari yang tersedia secara eksternal? dan tahukah Anda jika hal itu akan mengganggu apa pun dengan admin ajax?
nick
Saya tidak 100% yakin apa artinya ini tetapi jika Anda meminta akses ke file-file wp-admintersebut dari IP VPN Anda, maka ya itu akan mengacaukan AJAX. Panggilan AJAX berasal dari browser pengguna sehingga berasal dari IP pengguna.
s_ha_dum
1
Bisakah Anda jelaskan mengapa, secara khusus, ini bukan masalah keamanan bagi kami n00bs? Kalau tidak, jawaban yang layak.
daaxix
3

Untuk pengguna yang tidak diautentikasi dan tidak dipercaya, Anda harus membuat dua pengecualian khusus untuk VPN / Firewall / Apache Anda .htaccess, yaitu:

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

Ini adalah dua titik akhir auto-magic yang digunakan oleh banyak oleh WP internal dan juga berbagai plugin.

Inilah beberapa penjelasan tentang apa yang admin-post.phpdilakukannya:

admin-ajax.phpbekerja dengan cara yang sangat mirip, dan penjelasan yang bermanfaat ada di sini .

haz
sumber
2

Pendapat pribadi saya adalah bahwa ini adalah ide yang mengerikan. Sekitar dua bulan lalu direktur pengembangan kami bersikeras kami melakukan ini, sangat bertentangan dengan saran dari tim Dev. Ini adalah mimpi buruk yang asli dan rasa sakit yang luar biasa bagi kita, tidak hanya membunuh ajax bersama-sama itu menghadirkan begitu banyak masalah administrasi bagi kita.

Kami memiliki 40 staf reguler dan 4 devs yang mencoba menggunakan vpn di waktu dan itu hanya gagap, bersama dengan itu semua pengguna sekarang memerlukan dua set kata sandi satu untuk wp dan satu untuk vpn dan itu bukan hanya kata sandi yang dibagikan itu masing-masing, saya Berarti bagaimana lagi Anda melakukan audit keamanan. Cukup sulit untuk mengingat satu kata sandi aman, apalagi dua.

Tambahkan ke masalah yang banyak orang tidak tahu cara menggunakan vpn dan seringkali hanya menyebabkan lebih banyak masalah.

Pada akhirnya itu adalah ide yang mengerikan dan sering diajukan oleh manajemen atau lebih tinggi yang tidak tahu atau mengerti WordPress. Mereka melihatnya dalam cahaya yang mengerikan, bahwa karena open source itu juga harus menjadi masalah keamanan, diisi dengan eksploitasi yang mudah disadap dan seterusnya .... semakin tua.

WordPress aman dan menempelkan wp-admin di belakang vpn tidak hanya takut mongering itu menghadirkan mimpi buruk bagi setiap anggota tim

Mengapa jenis manajemen tidak percaya ketika datang ke WordPress, mereka tampaknya lupa situs utama menggunakan WordPress dan tidak menggunakan vpns, lihat misalnya mashable.

Jadi untuk rekap:

Ajax tidak akan bekerja di belakang vpn.

Vpn adalah ide yang buruk karena alasan yang disebutkan di atas

WordPress aman dan akan tetap demikian jika Anda tetap dan pluginnya mutakhir.

Dengarkan Dev Anda, Anda membayar mereka untuk keahlian mereka. Saya bisa berjanji kepada Anda, bahwa tidak ada yang merusak hubungan kerja seperti tidak menaruh kepercayaan Anda pada seorang individu dan harus memeriksa pengetahuan mereka.

Jika Anda menggunakan vpn, pastikan untuk membeli lisensi pengguna yang cukup.


sumber
11
Saya tidak memiliki cukup poin untuk menurunkan suara Anda, tetapi saya akan melakukannya jika saya lakukan. Anda terus berseru tentang mempercayai pengembang Anda, tetapi tidak ada tempat yang Anda katakan 1) apa fungsinya, atau 2) mengapa tidak apa-apa di wp-admin. Saya tidak terkesan dengan jawaban ini.
daaxix
Plugin yang rentan dapat dieksploitasi dengan admin-ajax.php tergantung pada bagaimana plugin dikembangkan. Banyak plugin yang tidak menjalani analisis kode statis atau dinamis untuk pengujian kerentanan. Inti WordPress juga terus memperbaiki kerentanan. Jika Anda mengikuti panduan keamanan WordPress, yang meliputi pengerasan seperti membatasi wp-admin, menjaga semuanya tetap terbaru, dan membatasi plugin yang Anda instal, paparan Anda lebih terbatas. Anda tidak, bagaimanapun, 100% aman.
tacotuesday