Wie funktioniert admin-ajax.php?

Question

Wie funktioniert admin-ajax.php?

- 15
- 73056 2012-12-27
Wir habeneinige Problememit einemexternen Entwickler.

Wirmöchten den Zugriff auf die Website wp-adminnur auf deninternen Zugriffbeschränken (über VPN ).Einfach so,dassesnicht vonexternen Benutzern angegriffen wird.Wir können die Administratoren auf der Website aufzählen undmöchtennicht,dass siegefälscht werden.

Unser Entwickler sagt,dass wir dasnichttun können,da auf der Site die Administrationsseiteextern zugänglich seinmuss,damit die Seitefunktioniert.speziell die Seite admin-ajax.

Wasmacht die Seite admin-ajax.php?

Esbefindet sichim Admin-Bereich von WordPress.Wird der Zugriff von Endbenutzernnicht authentifiziert?Isteseine unsichere Praxis,diesexternen Benutzern zur Verfügung zu stellen?

We are having some issues with an external developer.

We want to limit access to the wp-admin site to internal access only (via VPN). Simply so it will not be attacked by external users. We can enumerate the admins from the site and do not want them to be phished.

Our developer is saying we can't do that because the site needs to have the admin page accessible externally so the page will function. specifically the admin-ajax page.

What does the admin-ajax.php page do?

It is located in the admin section of WordPress. Is it accessed unauthenticated by end users? Is it an unsafe practice to have this available to external users?

admin ajax security
- Quelle
- nick

- `ajax-admin.php` verarbeitet .. Ajax-Anfragen.Bitte klären Sie Ihren Titel und die Frageim Allgemeinen unter http://wordpress.stackexchange.com/faq
  
  `ajax-admin.php` handles.. ajax requests. Please clear your title up and the question in general, http://wordpress.stackexchange.com/faq
  - 0
  - 2012-12-27
  - Wyck

4 Antworten

Stimmen

s_ha_dum · Answer 1 · 2012-12-27

8

2012-12-27

admin-ajax.phpist Teil der WordPress AJAX API ,undja,es verarbeitet Anfragen sowohl vom Backend als auch von vorne.Machen Sie sich keine Sorgen darüber,dasses sich um wp-admin handelt.Ich denke,dasist auchein seltsamer Ort,aberesist kein Sicherheitsproblem an sich.Wie diesmit "Aufzählung der Admins" zusammenhängt,weißichnicht.

Würden Sieempfehlen,die wp-Administrationsseitenichtmehrextern verfügbar zumachen?und wissen Sie,ob dies den Ajax-Administrator stören würde?

would you recommend moving the wp admin page from being externally available? and do you know if doing so would disrupt anything with the ajax admin?
- 0
- 2012-12-27
- nick
Ichbin nicht 100% sicher,was diesbedeutet,aber wenn Siebenötigen,dass der Zugriff auf Dateienin `wp-admin` von der IP Ihres VPN auserfolgt,sollte dies AJAX durcheinanderbringen.AJAX-Anrufe kommen vom Browser des Benutzers,kommen also von der IP des Benutzers.

I am not 100% sure what this means but if you require that access to files in `wp-admin` be from your VPN's IP, then yes that should mess up AJAX. AJAX calls are from the user's browser so come from the user's IP.
- 0
- 2012-12-27
- s_ha_dum
Können Sieerklären,warumesfür unsn00bs kein Sicherheitsproblemist?Ansonsten anständige Antwort.

Can you explain why, specifically, it is not a security problem for us n00bs? Otherwise, decent answer.
- 1
- 2015-04-28
- daaxix

haz · Answer 2 · 2017-06-15

4

2017-06-15

Fürnicht authentifizierte undnicht vertrauenswürdige Benutzer sollten Sie zwei spezifische Ausnahmenfür Ihr VPN/Ihre Firewall/Ihren Apache .htaccessfestlegen:

example.com/wp-admin/admin-post.php
example.com/wp-admin/admin-ajax.php

Dies sind zwei Auto-Magic-Endpunkte,die sowohl voninternen WP als auch von verschiedenen Plugins häufig verwendet werden.

Hieristeine Erklärung,was admin-post.phpmacht:

https://www.sitepoint.com/handling-Post-Requests-the-WordPress-Way/

admin-ajax.phpfunktioniert auf sehr ähnliche Weise. Eine hilfreiche Erklärungfinden Sie hier .

Quelle
haz

skim- · Answer 3 · 2012-12-27

2

2012-12-27

Wenn Sie den Zugriff auf das WP-Backendeinschränkenmöchten (z. B. wp-admin),verwenden Sieeinfacheine .htaccess -Regelfür den wp-admin Verzeichnis.

In diesem Artikelfinden Sieeine allgemeine Übersicht: Kennwortschutzeines Verzeichnissesmit .htaccess

Lesen Sie auch dieses Themafür Ihren speziellen Fall: Passwortschutz/wp-admin/

Quelle
skim-

Oder wenn Siees lieberper IPtunmöchten: http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/

Or if you'd rather do it by IP : http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/
- 1
- 2012-12-27
- skim-

score 1 · Answer 4 · 2014-01-17

1

2014-01-17

Meinepersönliche Meinungist,dass dieseine gottesfürchtige Ideeist. Vor ungefähr zwei Monatenbestand unser Entwicklungsdirektor darauf,dass wirgenau diestun,sehrgegen den Rat des Entwicklerteams. Esistein echter Albtraum undein unglaublicher Schmerzfür uns. Estötetnichtnur Ajaxinsgesamt,sondern wirft auch so viele Verwaltungsproblemefür uns auf.

Wir haben 40 reguläre Mitarbeiter und 4 Entwickler,diemanchmal versuchen,den VPN zu verwenden,under ruckeltnur. Außerdembenötigen alle Benutzerjetzt zwei Sätze von Passwörtern,einen für wp undeinen für vpn,und dasistnichtnurein gemeinsames Passwort,sondernein individuelles Ichmeine,wie würden Sie sonstein Sicherheitsaudit durchführen? Esist schwergenug,sichein sicheres Passwort zumerken,geschweige denn zwei.

Fügen Sie dem Problem hinzu,dass viele Leutenicht wissen,wiemaneinen VPN verwendet,und dass dies häufignur zu weiteren Problemenführt.

Letztendlichisteseine schreckliche Idee und wird oft vom Management oder höher vorgebracht,die WordPressnicht kennen oder verstehen. Sie sehenesin einem schrecklichen Licht,dasses,weiles Open Sourceist,auchein Sicherheitsproblem seinmuss,gefülltmit leicht abrufbaren Exploits und so weiter ...es wird alt.

WordPressist sicher und das Festhalten von wp-admin hintereinem VPNistnichtnureine Angst vor Täuschung,sondernein Albtraumfürjedes Mitglied des Teams.

Warum haben Managementtypen kein Vertrauenin WordPress,sie scheinen zu vergessen,dassgroße Websites WordPress verwenden und keine VPNs verwenden. Schauen Sie sich zum Beispielmashable an.

Umesnocheinmal zusammenzufassen:

Ajaxfunktioniertnicht hintereinem VPN.

VPNist aus den obengenannten Gründeneine schreckliche Idee

WordPressist sicher undbleibtes auch,wenn Siees und die Plugins auf demneuesten Stand halten.

Hören Sie Ihrem Entwickler zu,Siebezahlenihnfür sein Fachwissen. Ich kann Ihnen versprechen,dassnichtseine Arbeitsbeziehung untergräbt,als Ihr Vertrauennichtin eine Person zu setzen und deren Wissen überprüfen zumüssen.

Wenn Sie sichfür VPNentscheiden,müssen Siegenügend Benutzerlizenzen kaufen.

Quelle

Ich habenochnichtgenug Punkte,um dich abzustimmen,aberich würdeestun,wennichestun würde.Sie schimpfen über das Vertrauen Ihrer Entwickler,abernirgends sagen Sie 1) * wasestut,* oder 2) * warumesin wp-adminin Ordnungist. * Ichbin von dieser Antwortnichtbeeindruckt.

I don't have enough points to downvote you yet, but I would if I did. You go on a rant about trusting your developers, but nowhere do you say 1) *what it does,* or 2) *why it is ok in wp-admin.* I'm not impressed with this answer.
- 12
- 2015-04-28
- daaxix
Anfällige Plugins könnenmit admin-ajax.php ausgenutzt werden,je nachdem,wie das Pluginentwickelt wurde.Viele Plugins werdenfür Schwachstellentests keiner statischen oder dynamischen Code-Analyse unterzogen.WordPress Corebehebt auch ständig Schwachstellen.Wenn Sie die Sicherheitsrichtlinien von WordPressbefolgen,zu denen das Härten wie das Einschränken von wp-admin,das Aktualisieren aller Elemente und das Einschränken der von Ihneninstallierten Pluginsgehören,ist Ihre Gefährdunggeringer.Sie sindjedochnicht 100% sicher.

Vulnerable plugins can be exploited with admin-ajax.php depending on how the plugin is developed. Many plugins do not undergo static or dynamic code analysis for vulnerability testing. WordPress core is also constantly fixing vulnerabilities. If you follow WordPress security guidelines, which include hardening like restricting wp-admin, keeping everything up-to-date, and limiting the plugins you install, your exposure is more limited. You are not, however, 100% secure.
- 1
- 2019-08-26
- tacotuesday
Nun,WP hateine schreckliche Spurin Bezug auf Sicherheit.Hauptsächlich wegen schlechter Plugins,aber auchim Kern.Und aufgrund seiner Beliebtheitgibt es viele Bots,dieeinfach das WWW scannen und so viele wp-Sites wiemöglich hacken.Esgibt andere Open-Source-Projekte,die die Sicherheiterheblich verbessern.Ichmag WordPress,esisteinfacheinzurichten undich denke,esistperfektfür Blogs und kleine Websites.Aberesfür Dinge wie Online-Shops zu verwenden,in denen vernünftige Daten wie Kreditkartengespeichert werden,ist wirklicheine schlechte Idee.Daseinfache Blockieren des Zugriffs auf/wp-administmöglicherweise keinegute Idee,aber Sie sollten sich aufjeden Fall um die Sicherheit sorgen.

Well WP has a horrible track concerning security. Mostly due to bad plugins, but also in the core. And due to its popularity, there are lots of bots that just scan the WWW and hack as many wp sites as they can. There are other open source projects that do a way better job at security. I like wordpress, it's easy to setup and I think its perfectly fine for blogs and small sites. But using it for stuff like online shops that store sensible data like credit cards is really a bad idea. Simply blocking access to /wp-admin might not be a good idea, but you should definitely worry about security.
- 0
- 2020-03-26
- Gellweiler