admin-ajax.phpはどのように機能しますか?


14

外部開発者といくつかの問題があります。

wp-adminサイトへのアクセスを内部アクセスのみに制限したい(VPN経由)。単純に、外部ユーザーによる攻撃を受けないようにします。サイトから管理者を列挙することができ、フィッシングを望まない。

開発者は、サイトが管理ページを外部からアクセスできるようにして、ページが機能する必要があるため、それができないと言っています。特にadmin-ajaxページ。

admin-ajax.phpページは何をしますか?

WordPressの管理セクションにあります。エンドユーザーによって認証されずにアクセスされますか?これを外部ユーザーが利用できるようにするのは安全ではありませんか?


ajax-admin.phpハンドル.. ajaxリクエスト。タイトルをクリアし、一般的な質問、wordpress.stackexchange.com
faq

回答:


6

admin-ajax.phpWordPress AJAX APIの一部であり、はい、バックエンドとフロントの両方からのリクエストを処理します。にあるという事実を心配しないようにしてくださいwp-admin。これも奇妙な場所だと思いますが、それ自体はセキュリティの問題ではありません。これが「管理者を列挙する」とどのように関係しているか、私にはわかりません。


wp adminページを外部から利用できないようにすることをお勧めしますか?そして、そうすることでajax管理者に何かを混乱させるかどうか知っていますか?
ニック

私はこれが何を意味するのか100%は確信していませんwp-adminが、あなたのVPN へのアクセスがあなたのVPNのIPからであることを要求するなら、はいはそれはAJAXを台無しにするはずです。AJAX呼び出しはユーザーのブラウザーから行われるため、ユーザーのIPから行われます。
s_ha_dum

1
具体的には、n00bsにとってセキュリティの問題ではない理由を説明できますか?そうでなければ、まともな答え。
-daaxix

3

認証されていない、信頼されていないユーザーの場合、VPN / Firewall / Apacheに対して2つの特定の例外を作成する必要が.htaccessあります。

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

これらは、内部WPとさまざまなプラグインの両方で多く使用される2つの自動マジックエンドポイントです。

これが何をするかの説明ですadmin-post.php

admin-ajax.php非常によく似た方法で動作し、役立つ説明がここにあります


2

私個人の意見では、これはひどい考えです。約2か月前、開発部長は開発チームのアドバイスに反して、これをやると主張しました。それは、私たちにとって真の悪夢であり、信じられないほどの痛みです。それは、アジャックスを一斉に殺すだけでなく、非常に多くの管理上の問題を提示します。

私たちには40人の正規スタッフと4人の開発者が時々vpnを使用しようとしていますが、すべてのユーザーがwp用​​とvpn用の2セットのパスワードを必要とし、それが個々の共有パスワードではありませんセキュリティ監査を他にどのように行いますか。2つは言うまでもなく、1つの安全なパスワードを覚えるのは十分に困難です。

多くの人がvpnの使い方を知らないという問題に加えて、多くの場合、それは単により多くの問題を引き起こします。

最終的にそれはひどいアイデアであり、WordPressを知らない、または理解していない管理者以上によってしばしば提唱されます。彼らはそれをひどく見ています。それはオープンソースであるため、セキュリティの問題であり、簡単に悪用されるエクスプロイトなどで満たされている必要があります。

WordPressは安全であり、wp-adminをvpnの背後に置くことは、それを監視することを恐れるだけでなく、チームのすべてのメンバーにとって悪夢です。

WordPressに関しては、管理タイプが信頼を持たないのはなぜですか。主要なサイトがWordPressを使用し、vpnを使用しないことを忘れているようです。たとえば、マッシュ可能を見てください。

要約すると:

AjaxはVPNの背後では機能しません。

Vpnは、上記の理由からひどいアイデアです

WordPressは安全であり、プラグインとプラグインを最新の状態に保つとそのまま残ります。

開発者の声に耳を傾け、彼らの専門知識の代価を支払います。私はあなたに約束することができます、個人にあなたの信頼を置かないで、彼らの知識を調べなければならないことのような仕事上の関係を損なうものは何もない。

VPNを使用する場合は、必ず十分なユーザーライセンスを購入してください。


11
私はまだあなたに投票するのに十分なポイントを持っていませんが、もし私がしたなら私はそうします。あなたは開発者を信頼することについて暴言を唱えますが、1)それが何をするのか、2)wp-adminでそれが大丈夫な理由はどこにも言いませんこの答えには感心しません。
-daaxix

プラグインの開発方法によっては、admin-ajax.phpで脆弱なプラグインが悪用される可能性があります。多くのプラグインは、脆弱性テストのために静的または動的なコード分析を受けません。WordPressコアも常に脆弱性を修正しています。wp-adminの制限、すべてを最新の状態に保つ、インストールするプラグインの制限などの強化を含むWordPressセキュリティガイドラインに従うと、露出はより制限されます。ただし、100%安全ではありません。
tacotuesday

2

WPバックエンドへのアクセスを制限する場合(例:)、ディレクトリでルールをwp-admin使用します。.htaccesswp-admin

一般的な概要については、この記事を参照してください。.htaccessを使用してパスワードでディレクトリを保護する

特定のケースについては、次のトピックも参照してください:パスワード保護/ wp-admin /


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.