Cum funcționează admin-ajax.php?

Question

Cum funcționează admin-ajax.php?

27 dec. 2012, 16:50:21

Vizualizări: 137K

Voturi: 23

Avem câteva probleme cu un dezvoltator extern.

Dorim să limităm accesul la site-ul wp-admin doar pentru acces intern (prin VPN). Pur și simplu pentru a nu fi atacat de utilizatori externi. Putem enumera administratorii din site și nu dorim ca aceștia să fie ținta unor atacuri de phishing.

Dezvoltatorul nostru spune că nu putem face asta deoarece site-ul trebuie să aibă pagina de administrare accesibilă extern pentru ca pagina să funcționeze. În mod specific pagina admin-ajax.

Ce face pagina admin-ajax.php?

Este localizată în secțiunea de administrare a WordPress. Este accesată neautentificat de către utilizatorii finali? Este o practică nesigură să o avem disponibilă pentru utilizatorii externi?

nick

231

administrare ajax securitate

Comentarii

ajax-admin.php gestionează cererile ajax. Te rog să clarifici titlul și întrebarea în general, http://wordpress.stackexchange.com/faq

Wyck

27 dec. 2012 17:49:18

Toate răspunsurile la întrebare

Comentarii

ai recomanda mutarea paginii wp admin astfel încât să nu fie accesibilă extern? și știi dacă acest lucru ar perturba ceva în legătură cu ajax admin?

nick

27 dec. 2012 18:38:10

Nu sunt 100% sigur ce înseamnă asta, dar dacă ceri ca accesul la fișierele din wp-admin să se facă doar de la IP-ul VPN-ului tău, atunci da, asta ar trebui să afecteze AJAX. Apelurile AJAX vin din browserul utilizatorului, deci de la IP-ul utilizatorului.

s_ha_dum

27 dec. 2012 18:52:22

Poți explica de ce, mai exact, nu este o problemă de securitate pentru noi începătorii? În rest, răspuns decent.

daaxix

28 apr. 2015 21:53:36

Comentarii

Sau dacă preferați să o faceți după IP: http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/

skim-

27 dec. 2012 20:39:39

s_ha_dum 65.5K · Answer 1 · 2012-12-27T17:51:11Z

admin-ajax.php face parte din API-ul AJAX WordPress, și da, procesează cereri atât din backend cât și din frontend. Nu vă faceți griji că se află în directorul wp-admin. Consider și eu că este un loc ciudat pentru acest fișier, dar nu reprezintă o problemă de securitate în sine. Nu știu cum se leagă acest lucru de "enumerarea administratorilor".

s_ha_dum

65.5K

27 dec. 2012 17:51:11

haz 651 · Answer 2 · 2017-06-15T08:22:15Z

Pentru utilizatorii neautentificați și nesiguri, veți dori să faceți două excepții specifice în VPN / Firewall / Apache .htaccess, și anume:

example.com/wp-admin/admin-post.php
example.com/wp-admin/admin-ajax.php

Acestea sunt două puncte de acces automate folosite intens atât de WordPress intern, cât și de diverse plugin-uri.

Iată o explicație despre ce face admin-post.php:

https://www.sitepoint.com/handling-post-requests-the-wordpress-way/

admin-ajax.php funcționează într-un mod foarte asemănător, iar o explicație utilă poate fi găsită aici.

haz

651

15 iun. 2017 08:22:15

skim- 638 · Answer 3 · 2012-12-27T20:37:35Z

Dacă doriți să restricționați accesul la panoul de administrare WordPress (ex: wp-admin), puteți folosi o regulă .htaccess în directorul wp-admin.

Consultați acest articol pentru o prezentare generală: Protejarea cu parolă a unui director folosind .htaccess

De asemenea, consultați acest subiect pentru cazul dumneavoastră specific: Protejarea cu parolă a /wp-admin/

skim-

638

27 dec. 2012 20:37:35