¿Cómo funciona admin-ajax.php?

Question

¿Cómo funciona admin-ajax.php?

- 15
- 73056 2012-12-27
Tenemos algunosproblemas con un desarrolladorexterno.

Queremos limitarel acceso al sitio wp-admin solo al accesointerno (através de VPN ).Simplementepara queno sea atacadopor usuariosexternos.Podemosenumerar a los administradores del sitio yno queremos que seanphishing.

Nuestro desarrollador dice quenopodemos haceresoporqueel sitio debetener lapágina de administración accesibleexternamentepara que lapáginafuncione.específicamente lapágina admin-ajax.

¿Qué hace lapágina admin-ajax.php?

Seencuentraen la sección de administración de WordPress.¿Los usuariosfinales acceden sin autenticar?¿Es unaprácticainsegurateneresto disponiblepara usuariosexternos?

We are having some issues with an external developer.

We want to limit access to the wp-admin site to internal access only (via VPN). Simply so it will not be attacked by external users. We can enumerate the admins from the site and do not want them to be phished.

Our developer is saying we can't do that because the site needs to have the admin page accessible externally so the page will function. specifically the admin-ajax page.

What does the admin-ajax.php page do?

It is located in the admin section of WordPress. Is it accessed unauthenticated by end users? Is it an unsafe practice to have this available to external users?

admin ajax security
- fuente
- nick

- `ajax-admin.php`maneja .. solicitudes ajax.Limpie sutítulo y lapreguntaen general,http://wordpress.stackexchange.com/faq
  
  `ajax-admin.php` handles.. ajax requests. Please clear your title up and the question in general, http://wordpress.stackexchange.com/faq
  - 0
  - 2012-12-27
  - Wyck

4 respuestas

votos

s_ha_dum · Answer 1 · 2012-12-27

8

2012-12-27

admin-ajax.phpformaparte de la API de WordPress AJAX ,y sí,maneja solicitudestanto delbackend como delfront.Trate denopreocuparseporel hecho de queestáen wp-admin.Creo quetambiénes un lugarextrañopara él,peronoes unproblema de seguridaden símismo.Cómo se relacionaesto con "enumerar los administradores",no lo sé.

¿Recomendaríamover lapágina de administración de wppara quenoesté disponibleexternamente?y ¿sabe si hacerlointerrumpiría algo conel administrador de ajax?

would you recommend moving the wp admin page from being externally available? and do you know if doing so would disrupt anything with the ajax admin?
- 0
- 2012-12-27
- nick
Noestoy 100% seguro de lo queesto significa,pero sinecesita queel acceso a los archivosen `wp-admin` sea desde la IP de su VPN,entonces sí,eso deberíaestropear AJAX.Las llamadas AJAXprovienen delnavegador del usuario,por lo queprovienen de la IP del usuario.

I am not 100% sure what this means but if you require that access to files in `wp-admin` be from your VPN's IP, then yes that should mess up AJAX. AJAX calls are from the user's browser so come from the user's IP.
- 0
- 2012-12-27
- s_ha_dum
¿Puedeexplicarnospor qué,específicamente,noes unproblema de seguridadparanosotrosn00bs?De lo contrario,respuesta decente.

Can you explain why, specifically, it is not a security problem for us n00bs? Otherwise, decent answer.
- 1
- 2015-04-28
- daaxix

haz · Answer 2 · 2017-06-15

4

2017-06-15

Para los usuariosno autenticados y queno son de confianza,querrá hacer dosexcepcionesespecíficas a su VPN/Firewall/Apache .htaccess,que son:

example.com/wp-admin/admin-post.php
example.com/wp-admin/admin-ajax.php

Estos son dospuntosfinales demagia automática quemuchos utilizantanto WPinterno como varios complementos.

Aquí hay unaexplicación de lo que hace admin-post.php:

https://www.sitepoint.com/handling-post-request-the-wordpress-way/

admin-ajax.phpfunciona de unamaneramuy similar,y unaexplicación útiles aquí.

fuente
haz

skim- · Answer 3 · 2012-12-27

2

2012-12-27

Si desea limitarel acceso albackend de WP (porejemplo: wp-admin),simplemente use una regla .htaccessen wp-admin directorio.

Consulteeste artículopara obtener una descripcióngeneral: Proteger con contraseña un directorio usando .htaccess

Consultetambiénestetemapara su casoespecífico: Protección con contraseña/wp-admin/

fuente
skim-

O siprefiere hacerlopor IP: http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/

Or if you'd rather do it by IP : http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/
- 1
- 2012-12-27
- skim-

score 1 · Answer 4 · 2014-01-17

1

2014-01-17

Mi opiniónpersonales queestaes unaideaterrible. Hace aproximadamente dosmeses,nuestro director de desarrolloinsistióen que hiciéramosprecisamenteesto,en contra de los consejos delequipo de desarrollo. Es una verdaderapesadilla y un dolorincreíbleparanosotros,no solomata a ajaxen su conjunto,sino quetambiénnospresentamuchosproblemas de administración.

Tenemos 40empleados regulares y 4 desarrolladores queintentan usar la VPN a veces y simplementetartamudea,además de quetodos los usuarios ahora requieren dos conjuntos de contraseñas,unapara wp y otrapara vpn,yesanoes solo una contraseña compartida,esindividual unos,me refiero a de qué otramanera haría una auditoría de seguridad. Yaesbastante difícil recordar una contraseña segura,ymuchomenos dos.

Agregue alproblema quemuchagente no sabe cómo usar una VPN y,amenudo,eso solo causamásproblemas.

En últimainstancia,es unaideaterrible y,amenudo,espresentadapor lagerencia o superior queno conoceni entiende WordPress. Lo venbajo una luzterrible,que debido a quees de código abiertotambién debe ser unproblema de seguridad,lleno deexploitsfáciles de aprovechar,etc.,seestá volviendo viejo.

WordPresses seguro ymantener a wp-admin detrás de una VPNno soloes un alarmismo sino quepresenta unapesadillaparatodos losmiembros delequipo

¿Por qué lostipos de administraciónno confíanen WordPress? Parece que se olvidan de los sitiosprincipales que usan WordPress yno usan VPN,miremashable,porejemplo.

Para recapitular:

Ajaxnofuncionará detrás de una VPN.

Vpnes unaideaterriblepor las razonesmencionadas anteriormente

WordPresses seguro y lo seguirá siendo si lomantiene y los complementos actualizados.

Escuche a su desarrollador,lepagapor suexperiencia. Puedoprometerle quenada socava una relación detrabajo comono depositar su confianzaen unindividuo ytener que verificar sus conocimientos.

Si optapor vpn,asegúrese de comprar suficientes licencias de usuario.

fuente

Notengo suficientespuntospara decirtetodavía,pero lostendría si lostuviera.Usted se queja de confiaren sus desarrolladores,peroen ningunaparte dice 1) * qué hace,* o 2) *por quéestábien en wp-admin. * Noestoyimpresionado conesta respuesta.

I don't have enough points to downvote you yet, but I would if I did. You go on a rant about trusting your developers, but nowhere do you say 1) *what it does,* or 2) *why it is ok in wp-admin.* I'm not impressed with this answer.
- 12
- 2015-04-28
- daaxix
Los complementos vulnerablespuedenexplotarse con admin-ajax.php dependiendo de cómo se desarrolleel complemento.Muchos complementosno se someten a análisis de códigoestático o dinámicoparapruebas de vulnerabilidad.Elnúcleo de WordPresstambién corrige vulnerabilidades constantemente.Si sigue laspautas de seguridad de WordPress,queincluyenendurecimiento,como restringir wp-admin,mantenertodo actualizado y limitar los complementos queinstala,suexposiciónesmás limitada.Sinembargo,noestá 100% seguro.

Vulnerable plugins can be exploited with admin-ajax.php depending on how the plugin is developed. Many plugins do not undergo static or dynamic code analysis for vulnerability testing. WordPress core is also constantly fixing vulnerabilities. If you follow WordPress security guidelines, which include hardening like restricting wp-admin, keeping everything up-to-date, and limiting the plugins you install, your exposure is more limited. You are not, however, 100% secure.
- 1
- 2019-08-26
- tacotuesday
Bueno,WPtiene unapista horribleen cuanto a seguridad.Principalmente debido a complementosincorrectos,perotambiénen elnúcleo.Y debido a supopularidad,haymuchosbots que simplementeescanean la WWW ypirateantantos sitios de wp comopueden.Hay otrosproyectos de código abierto que hacen unmejortrabajoen seguridad.Megusta Wordpress,esfácil de configurar y creo queestáperfectamentebien parablogs y sitiospequeños.Pero usarlopara cosas comotiendasen línea que almacenan datos sensibles comotarjetas de créditoes realmente unamalaidea.Puede que simplementebloquearel acceso a/wp-adminno sea unabuenaidea,pero definitivamente debespreocupartepor la seguridad.

Well WP has a horrible track concerning security. Mostly due to bad plugins, but also in the core. And due to its popularity, there are lots of bots that just scan the WWW and hack as many wp sites as they can. There are other open source projects that do a way better job at security. I like wordpress, it's easy to setup and I think its perfectly fine for blogs and small sites. But using it for stuff like online shops that store sensible data like credit cards is really a bad idea. Simply blocking access to /wp-admin might not be a good idea, but you should definitely worry about security.
- 0
- 2020-03-26
- Gellweiler