¿Cómo funciona admin-ajax.php?

11

Tenemos algunos problemas con un desarrollador externo.

Queremos limitar el acceso al sitio wp-admin solo al acceso interno (a través de VPN ). Simplemente así no será atacado por usuarios externos. Podemos enumerar a los administradores del sitio y no queremos que se falsifiquen.

Nuestro desarrollador está diciendo que no podemos hacerlo porque el sitio necesita tener la página de administración accesible externamente para que la página funcione. específicamente la página admin-ajax .

¿Qué hace la página admin-ajax.php ?

Se encuentra en la sección de administración de WordPress. ¿Se accede no autenticado por los usuarios finales? ¿Es una práctica insegura tener esto disponible para usuarios externos?

    
pregunta nick 27.12.2012 - 15:50

4 respuestas

4

admin-ajax.php es parte de la API AJAX de WordPress , y sí, maneja las solicitudes tanto de backend como de front. Trate de no preocuparse por el hecho de que está en wp-admin . Creo que también es un lugar extraño para él, pero no es un problema de seguridad en sí mismo. Cómo se relaciona esto con "enumerar los administradores", no lo sé.

    
respondido por el s_ha_dum 27.12.2012 - 16:51
3

Mi opinión personal es que esta es una idea espantosa. Hace aproximadamente dos meses, nuestro director de desarrollo insistió en que hiciéramos esto, muy en contra del consejo del equipo de desarrollo. Es una auténtica pesadilla y un dolor increíble para nosotros, no solo mata a ajax todos juntos, sino que presenta tantos problemas de administración para nosotros.

Tenemos 40 empleados regulares y 4 desarrolladores que intentan usar el vpn a veces y simplemente tartamudea, además de que todos los usuarios ahora requieren dos conjuntos de contraseñas, uno para wp y otro para vpn, y eso no es solo una contraseña compartida, es individual Quiero decir, ¿de qué otra manera harías una auditoría de seguridad? Ya es bastante difícil recordar una contraseña segura, y mucho menos dos.

Agregue al problema que muchas personas no saben cómo usar un vpn y, a menudo, eso causa más problemas.

En última instancia, es una idea terrible y, a menudo, es presentada por la gerencia o superior que no conoce o no entiende WordPress. Lo ven con una luz terrible, porque debido a que es de código abierto, también debe ser un problema de seguridad, lleno de ataques fácilmente explotados, etc., se está haciendo viejo.

WordPress es seguro y pegar a wp-admin detrás de un vpn no solo es una cuestión de miedo, sino que también es una pesadilla para todos los miembros del equipo

¿Por qué los tipos de administración no tienen confianza cuando se trata de WordPress? Parece que olvidan los sitios principales que usan WordPress y no usan vpns, por ejemplo, mashable.

Para recapitular:

Ajax no funcionará detrás de una vpn.

Vpn es una idea terrible por las razones mencionadas anteriormente

WordPress es seguro y lo seguirá siendo si lo mantienes y los complementos actualizados.

Escucha a tu Dev, les pagas por su experiencia. Puedo prometerle que nada socava una relación de trabajo como no depositar su confianza en una persona y tener que verificar su conocimiento.

Si va con vpn, asegúrese de comprar suficientes licencias de usuario.

    
respondido por el MichaelJames 17.01.2014 - 09:11
3

Para usuarios no autenticados y no confiables, querrá hacer dos excepciones específicas a su VPN / Firewall / Apache .htaccess, que son:

  • yoursite.com/wp-admin/admin-post.php
  • yoursite.com/wp-admin/admin-ajax.php

Estos son dos puntos finales auto-mágicos utilizados por un lote tanto de WP interno como de varios complementos.

Aquí hay una explicación de lo que hace Admin-post.php:  - enlace

Admin-ajax funciona de una manera muy similar, y una explicación útil es aquí .

    
respondido por el haz 15.06.2017 - 07:22
2

Si desea limitar el acceso al backend WP (por ejemplo: wp-admin ), simplemente use una regla .htaccess en el directorio wp-admin .

Consulte este artículo para obtener una descripción general: Proteja un directorio mediante .htaccess

También consulte este tema para su caso específico: Protección de contraseña / wp-admin /

    
respondido por el skim- 27.12.2012 - 19:37

Lea otras preguntas en las etiquetas