¿Cómo funciona admin-ajax.php?

14

Tenemos algunos problemas con un desarrollador externo.

Queremos limitar el acceso al wp-adminsitio solo al acceso interno (a través de VPN ). Simplemente para que no sea atacado por usuarios externos. Podemos enumerar los administradores del sitio y no queremos que sean phishing.

Nuestro desarrollador dice que no podemos hacer eso porque el sitio necesita tener la página de administrador accesible externamente para que la página funcione. específicamente la admin-ajaxpágina.

¿Qué hace la admin-ajax.phppágina?

Se encuentra en la sección de administración de WordPress. ¿Se accede sin autenticar por los usuarios finales? ¿Es una práctica insegura tener esto disponible para usuarios externos?

admin ajax security mella
fuente
ajax-admin.phpmaneja .. solicitudes ajax. Limpie su título y la pregunta en general, wordpress.stackexchange.com/faq
Wyck

Respuestas:

6

admin-ajax.phpes parte de la API AJAX de WordPress , y sí, maneja solicitudes tanto de backend como de front. Intenta no preocuparte por el hecho de que está dentro wp-admin. Creo que también es un lugar extraño para él, pero no es un problema de seguridad en sí mismo. Cómo se relaciona esto con "enumerar los administradores", no lo sé.

s_ha_dum
fuente
¿recomendaría mover la página de administración de wp para que no esté disponible externamente? ¿y sabes si hacerlo interrumpiría algo con el administrador de ajax?
nick
No estoy 100% seguro de lo que esto significa, pero si requiere que el acceso a los archivos wp-adminsea ​​desde la IP de su VPN, entonces sí, eso debería estropear AJAX. Las llamadas AJAX provienen del navegador del usuario, por lo que provienen de la IP del usuario.
s_ha_dum
1
¿Puede explicar por qué, específicamente, no es un problema de seguridad para nosotros n00bs? De lo contrario, una respuesta decente.
daaxix
3

Para usuarios no autenticados y no confiables, querrá hacer dos excepciones específicas a su VPN / Firewall / Apache .htaccess, que son:

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

Estos son dos puntos finales automáticos mágicos utilizados por muchos por WP interno y también por varios complementos.

Aquí hay una explicación de lo que admin-post.phphace:

admin-ajax.phpfunciona de manera muy similar, y una explicación útil está aquí .

haz
fuente
2

Mi opinión personal es que esta es una idea horrible. Hace aproximadamente dos meses, nuestro director de desarrollo insistió en que hiciéramos esto, en contra de los consejos del equipo de desarrollo. Es una pesadilla genuina y un dolor increíble para nosotros, no solo mata al ajax en conjunto, sino que presenta muchos problemas de administración para nosotros.

Tenemos 40 empleados regulares y 4 desarrolladores que intentan usar el vpn a veces y simplemente tartamudea, además de que todos los usuarios ahora requieren dos conjuntos de contraseñas, una para wp y otra para vpn, y esa no es solo una contraseña compartida, son las individuales. es decir, ¿de qué otra forma haría una auditoría de seguridad? Ya es bastante difícil recordar una contraseña segura, y mucho menos dos.

Agregue al problema que muchas personas no saben cómo usar un VPN y, a menudo, eso solo causa más problemas.

En última instancia, es una idea terrible y, a menudo, es presentada por la administración o por personas que no conocen o entienden WordPress. Lo ven bajo una luz terrible, que debido a que es de código abierto, también debe ser un problema de seguridad, lleno de exploits fácilmente explotables y así sucesivamente ... se está volviendo viejo.

WordPress es seguro y mantener a wp-admin detrás de un vpn no solo es un miedo, sino que presenta una pesadilla para cada miembro del equipo

¿Por qué los tipos de administración no tienen confianza cuando se trata de WordPress? Parecen olvidar que los sitios principales usan WordPress y no usan vpns, mira mashable por ejemplo.

Entonces para recapitular:

Ajax no funcionará detrás de un vpn.

Vpn es una idea terrible por las razones mencionadas anteriormente

WordPress es seguro y lo seguirá siendo si lo mantiene actualizado y los complementos.

Escucha a tu desarrollador, les pagas por su experiencia. Puedo prometerle que nada socava una relación laboral como no depositar su confianza en un individuo y tener que verificar sus conocimientos.

Si opta por vpn, asegúrese de comprar suficientes licencias de usuario.


fuente
11
Todavía no tengo suficientes puntos para descalificarte, pero lo haría si lo tuviera. Usted se queja de confiar en sus desarrolladores, pero en ningún lugar dice 1) lo que hace, o 2) por qué está bien en wp-admin. No estoy impresionado con esta respuesta.
daaxix
Los complementos vulnerables se pueden explotar con admin-ajax.php dependiendo de cómo se desarrolle el complemento. Muchos complementos no se someten a análisis de código estático o dinámico para pruebas de vulnerabilidad. El núcleo de WordPress también corrige constantemente las vulnerabilidades. Si sigue las pautas de seguridad de WordPress, que incluyen endurecimiento como restringir wp-admin, mantener todo actualizado y limitar los complementos que instala, su exposición es más limitada. Sin embargo, no eres 100% seguro.
tacotuesday