Admin-ajax.php nasıl çalışır?


14

Harici bir geliştiriciyle ilgili bazı sorunlar yaşıyoruz.

wp-adminSiteye erişimi yalnızca dahili erişimle ( VPN üzerinden ) sınırlamak istiyoruz . Basitçe, dış kullanıcılar tarafından saldırıya uğramayacak. Yöneticileri siteden numaralandırabilir ve kimlik avı yapılmasını istemeyiz.

Geliştiricimiz bunu yapamayacağımızı söylüyor çünkü sitenin harici olarak erişilebilir olması için sayfanın çalışması gerekir. özellikle admin-ajaxsayfa.

Sayfa ne yapar admin-ajax.php?

WordPress'in yönetici bölümünde bulunur. Son kullanıcılar tarafından erişilemez mi? Bunu harici kullanıcılar için güvenli hale getirmek güvenli olmayan bir uygulama mı?


ajax-admin.phpkolları .. ajax istekleri. Lütfen başlığınızı ve genel olarak soruyu temizleyin, wordpress.stackexchange.com/faq
Wyck

Yanıtlar:


7

admin-ajax.phpWordPress AJAX API'sinin bir parçasıdır ve evet, hem arka uçtan hem de önden gelen istekleri işler. İçinde olduğu gerçeği hakkında endişelenmemeye çalışın wp-admin. Bence burası da garip bir yer ama kendi başına bir güvenlik sorunu değil. Bunun "yöneticileri numaralandırma" ile nasıl ilişkili olduğunu bilmiyorum.


wp yönetici sayfasının harici olarak kullanılabilir olmasını engeller misiniz? ve böyle yapmak ajax admin ile herhangi bir şey bozmak olmadığını biliyor musunuz?
nick

Bunun ne anlama geldiğinden% 100 emin değilim, ancak dosyalarınıza erişiminizin wp-adminVPN'nizin IP'sinden olmasını istiyorsanız, evet, AJAX'ı bozmalı. AJAX aramaları kullanıcının tarayıcısından yapılır, bu nedenle kullanıcının IP'sinden gelir.
s_ha_dum

1
Özellikle bizim için neden bir güvenlik sorunu olmadığını açıklayabilir misiniz? Aksi takdirde, iyi bir cevap.
daaxix

3

Doğrulanmamış ve güvenilmeyen kullanıcılar için, VPN'nize / Firewall / Apache için iki spesifik istisnalar olmak istersiniz .htaccessvardır:

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

Bunlar, hem dahili WP hem de çeşitli eklentiler tarafından çokça kullanılan iki otomatik büyü uç noktasıdır.

İşte ne yaptığına dair bazı açıklamalar admin-post.php:

admin-ajax.phpçok benzer bir şekilde çalışır ve yararlı bir açıklama burada .


2

Benim kişisel görüşüm bunun tanrının korkunç bir fikri olduğudur. Yaklaşık iki ay önce kalkınma direktörümüz, Dev ekibinin tavsiyesine rağmen bunun tam olarak yapılmasında ısrar etti. Bu bizim için gerçek bir kabus ve inanılmaz bir acı, sadece ajax'ı birlikte öldürmekle kalmıyor, bizim için çok fazla yönetim sorunu sunuyor.

Zaman zaman vpn kullanmaya çalışan 40 düzenli personelimiz ve 4 geliştiricimiz var ve sadece kekikler, tüm kullanıcıların artık wp için bir ve vpn için bir tane iki parola seti gerektirdiği ve bu sadece bireysel paylaşılan bir şifre değil, ben güvenlik denetimini başka nasıl yaparsınız anlamına gelir. İki tane olmak üzere, güvenli bir şifreyi hatırlamak yeterince zor.

Birçok insanın bir VPN nasıl kullanılacağını bilmediği ve genellikle daha fazla soruna neden olan soruna ekleyin.

Sonuçta bu korkunç bir fikirdir ve genellikle WordPress'i bilmeyen veya anlamayan yönetim veya üstü tarafından ileri sürülür. Bunu korkunç bir ışık altında görüyorlar, çünkü açık kaynak olduğu için, kolayca tıklanan istismarlarla dolu bir güvenlik sorunu olmalı ... vb.

WordPress güvenlidir ve wp-admin'i bir vpn'nin arkasına yapıştırmak, sadece takastan korkmak değildir, takımın her üyesi için bir kabus sunar.

Neden WordPress söz konusu olduğunda yönetim türlerine güvenmiyorlar, büyük sitelerin WordPress kullandığını ve vpns kullanmadıklarını unutuyorlar, örneğin mashable'a bakın.

Özetlemek gerekirse:

Ajax bir VPN'in arkasında çalışmaz.

Vpn yukarıda belirtilen nedenlerden dolayı korkunç bir fikir

WordPress güvenlidir ve güncel tutarsanız ve eklentilerinizde kalır.

Dev'inizi dinleyin, uzmanlıkları için onlara ödeme yapın. Size söz verebilirim ki, hiçbir şey bir kişiye güvenmemek ve onların bilgilerini kontrol etmek zorunda kalmak gibi bir çalışma ilişkisini zedeleyemez.

VPN ile gidiyorsanız, yeterli kullanıcı lisansı satın aldığınızdan emin olun.


11
Henüz seni küçümsemek için yeterli puanım yok ama yapsaydım yapardım. Geliştiricilerine güvenme konusunda bir rant yapıyorsun, ama hiçbir yerde 1) ne yaptığını ya da 2) wp-admin'de neden iyi olduğunu söylemiyorsun . Bu cevaptan etkilenmedim.
daaxix

Eklentinin nasıl geliştirildiğine bağlı olarak, güvenlik açığı eklentilerden admin-ajax.php kullanılabilir. Birçok eklenti, güvenlik açığı testi için statik veya dinamik kod analizinden geçmez. WordPress çekirdeği ayrıca güvenlik açıklarını sürekli olarak düzeltiyor. Wp-admin'i kısıtlama, her şeyi güncel tutma ve yüklediğiniz eklentileri sınırlama gibi sertleştirme gibi WordPress güvenlik yönergelerini uygularsanız, maruz kalma durumunuz daha sınırlıdır. Ancak% 100 güvenli değilsiniz.
tacotuesday

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.