Español
es

¿Cómo funciona admin-ajax.php?

27 dic 2012, 16:50:21
Vistas: 137K
Votos: 23

Estamos teniendo algunos problemas con un desarrollador externo.

Queremos limitar el acceso al sitio wp-admin solo para acceso interno (a través de VPN). Simplemente para que no sea atacado por usuarios externos. Podemos enumerar los administradores desde el sitio y no queremos que sean víctimas de phishing.

Nuestro desarrollador dice que no podemos hacer eso porque el sitio necesita tener la página de administración accesible externamente para que funcione, específicamente la página admin-ajax.

¿Qué hace la página admin-ajax.php?

Está ubicada en la sección de administración de WordPress. ¿Los usuarios finales acceden a ella sin autenticación? ¿Es una práctica insegura tener esto disponible para usuarios externos?

admin ajax seguridad
1
Comentarios

ajax-admin.php maneja solicitudes AJAX. Por favor, aclara tu título y la pregunta en general, http://wordpress.stackexchange.com/faq

Wyck Wyck
27 dic 2012 17:49:18
Todas las respuestas a la pregunta 3
3
15

admin-ajax.php es parte de la API AJAX de WordPress, y sí, maneja solicitudes tanto del backend como del frontend. No te preocupes por el hecho de que esté en wp-admin. Yo también creo que es un lugar extraño para ello, pero no es un problema de seguridad en sí mismo. No sé cómo esto se relaciona con "enumerar los administradores".

27 dic 2012 17:51:11
Comentarios

¿recomendarías mover la página de administración de WordPress para que no esté disponible externamente? y ¿sabes si hacerlo podría interrumpir algo con el ajax del administrador?

nick nick
27 dic 2012 18:38:10

No estoy 100% seguro de lo que esto significa, pero si requieres que el acceso a los archivos en wp-admin sea desde la IP de tu VPN, entonces sí, eso podría causar problemas con AJAX. Las llamadas AJAX provienen del navegador del usuario, por lo que vienen desde la IP del usuario.

s_ha_dum s_ha_dum
27 dic 2012 18:52:22

¿Puedes explicar por qué, específicamente, no es un problema de seguridad para nosotros los novatos? Por lo demás, buena respuesta.

daaxix daaxix
28 abr 2015 21:53:36
0
8

Para usuarios no autenticados y no confiables, querrás hacer dos excepciones específicas en tu VPN / Firewall / Apache .htaccess, que son:

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

Estos son dos endpoints "mágicos" utilizados frecuentemente tanto por el núcleo de WordPress como por varios plugins.

Aquí hay una explicación de lo que hace admin-post.php:

admin-ajax.php funciona de manera muy similar, y una explicación útil está aquí.

15 jun 2017 08:22:15
1
4

Si deseas limitar el acceso al backend de WP (ej: wp-admin), simplemente usa una regla en .htaccess en el directorio wp-admin.

Consulta este artículo para una visión general: Proteger con contraseña un directorio usando .htaccess

También revisa este tema para tu caso específico: Protegiendo con contraseña /wp-admin/

27 dic 2012 20:37:35
Comentarios

O si prefieres hacerlo por IP: http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/

skim- skim-
27 dic 2012 20:39:39
Preguntas relacionadas
Listar todas las entradas en un tipo de entrada personalizada por taxonomía
5
respuestas
Redirección al dominio antiguo después de la migración
6
respuestas
¿Cómo arreglar la paginación para bucles personalizados?
5
respuestas
¿Cómo obtener la categoría a partir del ID de un producto?
5
respuestas
Permitir HTML en el extracto
3
respuestas
¿Cómo puedo limitar la longitud de caracteres en el extracto?
2
respuestas