Comment fonctionne admin-ajax.php?

Question

Comment fonctionne admin-ajax.php?

- 15
- 73056 2012-12-27
Nous rencontrons desproblèmes avec un développeurexterne.

Nous voulons limiter l'accès au site wp-admin à un accèsinterne uniquement (via VPN ).Simplementpour qu'ilne soitpas attaquépar des utilisateursexternes.Nouspouvons énumérer les administrateurs du siteet ne voulonspas qu'ils soient hameçonnés.

Notre développeur dit quenousne pouvonspasfaire cela car le site doit avoir lapage d'administration accessible de l'extérieurpour que lapagefonctionne.spécifiquement lapage admin-ajax.

Quefait lapage admin-ajax.php?

Il setrouve dans la section d'administration de WordPress.Les utilisateursfinaux y accèdent-ils sans authentification?Est-ce unepratique dangereuse de lesmettre à disposition des utilisateursexternes?

We are having some issues with an external developer.

We want to limit access to the wp-admin site to internal access only (via VPN). Simply so it will not be attacked by external users. We can enumerate the admins from the site and do not want them to be phished.

Our developer is saying we can't do that because the site needs to have the admin page accessible externally so the page will function. specifically the admin-ajax page.

What does the admin-ajax.php page do?

It is located in the admin section of WordPress. Is it accessed unauthenticated by end users? Is it an unsafe practice to have this available to external users?

admin ajax security

- `ajax-admin.php`gère .. les requêtes ajax.Veuillezeffacer votretitreet la questionen général,http://wordpress.stackexchange.com/faq
  
  `ajax-admin.php` handles.. ajax requests. Please clear your title up and the question in general, http://wordpress.stackexchange.com/faq
  - 0
  - 2012-12-27
  - Wyck

4 réponses

votes

s_ha_dum · Answer 1 · 2012-12-27

8

2012-12-27

admin-ajax.phpfaitpartie de l ' API AJAX WordPress ,et oui,ilgère les demandes dubackendet dufront.Essayez dene pas vousinquiéter dufait qu'il setrouve dans wp-admin.Jepense que c'est unendroit étrangepour cela aussi,mais cen'estpas unproblème de sécuritéen soi.Comment cela se rapporte à "énumérer les administrateurs",je ne saispas.

recommanderiez-vous de déplacer lapage d'administration de wp d'être disponibleen externe?et savez-vous si celaperturberait quoi que ce soit avec l'administrateur ajax?

would you recommend moving the wp admin page from being externally available? and do you know if doing so would disrupt anything with the ajax admin?
- 0
- 2012-12-27
- nick
Jene suispas sûr à 100% de ce que cela signifie,mais si vous avezbesoin que l'accès auxfichiers dans `wp-admin`provienne de l'adresse IP de votre VPN,alors oui,cela devraitgâcher AJAX.Les appels AJAXproviennent dunavigateur de l'utilisateuret proviennent donc de l'adresse IP de l'utilisateur.

I am not 100% sure what this means but if you require that access to files in `wp-admin` be from your VPN's IP, then yes that should mess up AJAX. AJAX calls are from the user's browser so come from the user's IP.
- 0
- 2012-12-27
- s_ha_dum
Pouvez-vousexpliquerpourquoi,précisément,cen'estpas unproblème de sécuritépournousn00bs?Sinon,réponse décente.

Can you explain why, specifically, it is not a security problem for us n00bs? Otherwise, decent answer.
- 1
- 2015-04-28
- daaxix

haz · Answer 2 · 2017-06-15

4

2017-06-15

Pour les utilisateursnon authentifiéset non approuvés,vous voudrezfaire deuxexceptions spécifiques à votre VPN/Firewall/Apache .htaccess,qui sont:

example.com/wp-admin/admin-post.php
example.com/wp-admin/admin-ajax.php

Ce sont deuxpoints determinaison auto-magiques utilisésparbeaucoup à lafoispar WPinterneet par diversplugins.

Voici quelquesexplications sur ce quefait admin-post.php:

https://www.sitepoint.com/handling-post-demandes-the-wordpress-way/

admin-ajax.phpfonctionne d'unemanièretrès similaire,et uneexplication utileest ici.

skim- · Answer 3 · 2012-12-27

2

2012-12-27

Si vous souhaitez limiter l'accès aubackend WP (ex: wp-admin),utilisez simplement une règle .htaccess sur le wp-admin répertoire.

Consultez cet articlepour uneprésentationgénérale: Protégerparmot depasse un répertoire à l'aide de .htaccess

Consultez également cette rubriquepour votre cas spécifique: Protectionparmot depasse/wp-admin/

Ou si vouspréférez lefairepar IP: http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/

Or if you'd rather do it by IP : http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/
- 1
- 2012-12-27
- skim-

score 1 · Answer 4 · 2014-01-17

1

2014-01-17

Mon opinionpersonnelleest que c'est uneidéeterrible de Dieu. Il y aenviron deuxmois,notre directeur du développement ainsistépour quenousfassionsexactement cela,bien contre l'avis de l'équipe de développement. C'est un véritable cauchemaret une douleurincroyablepournous,non seulement celatue ajaxtousensemble,mais celaposetant deproblèmes d'administrationpournous.

Nous avons 40employés régulierset 4 développeurs quiessaientparfois d'utiliser le vpnet celabégaie,et tous les utilisateurs ontmaintenantbesoin de deuxensembles demots depasse,unpour wpet unpour vpnet cen'estpas seulement unmot depassepartagé,c'estindividuel les uns,je veux dire commentferiez-vous autrement un audit de sécurité. Ilest déjà assez difficile de se souvenir d'unmot depasse sécurisé,et encoremoins de deux.

Ajoutez auproblème quebeaucoup degensne saventpas comment utiliser un VPNet souvent cela cause simplementplus deproblèmes.

Enfin de compte,c'est uneidéeterribleet elleest souventmiseen avantpar la direction ouplus quine connaîtpas oune comprendpas WordPress. Ils le voient sous unjourterrible,queparce qu'ilest open source,il doit aussi être unproblème de sécurité,rempli d'exploitsfaciles àexploiteret ainsi de suite ... ça vieillit.

WordPressest sécuriséet coller wp-admin derrière un VPNn'estpas seulement une source depeur,ilprésente un cauchemarpour chaquemembre de l'équipe

Pourquoi lestypes degestionn'ont-ils aucune confianceen ce qui concerne WordPress,ils semblent oublier que lesprincipaux sites utilisent WordPresset n'utilisentpas de VPN,regardezmashableparexemple.

Pour récapituler:

Ajaxne fonctionnerapas derrière un VPN.

VPNest uneidéeterriblepour les raisonsmentionnées ci-dessus

WordPressest sécuriséet le restera si vous legardezet lesplugins àjour.

Écoutez votre développeur,vous lepayezpour sonexpertise. Jepeux vouspromettre que rienne porte atteinte à une relation detravail commene pasfaire confiance à unindividuet devoir vérifier ses connaissances.

Si vous optezpour vpn,assurez-vous d'acheter suffisamment de licences utilisateur.

la source

Jen'aipasencore assez depointspour vous contrevoter,maisje leferais sije lefaisais.Vous vous disputezpourfaire confiance à vos développeurs,mais vousne ditesnullepart 1) * ce que celafait,* ou 2) *pourquoi c'est ok dans wp-admin. * Jene suispasimpressionnépar cette réponse.

I don't have enough points to downvote you yet, but I would if I did. You go on a rant about trusting your developers, but nowhere do you say 1) *what it does,* or 2) *why it is ok in wp-admin.* I'm not impressed with this answer.
- 12
- 2015-04-28
- daaxix
Lesplugins vulnérablespeuvent êtreexploités avec admin-ajax.php selon lafaçon dont lepluginest développé.Denombreuxpluginsne subissentpas d'analyse de code statique ou dynamiquepour lestests de vulnérabilité.Le cœur de WordPress corrige également constamment les vulnérabilités.Si vous suivez les directives de sécurité de WordPress,quiincluent le renforcement comme la restriction de wp-admin,lemaintien detout àjouret la limitation desplugins que vousinstallez,votreexpositionestplus limitée.Cependant,vousn'êtespas sécurisé à 100%.

Vulnerable plugins can be exploited with admin-ajax.php depending on how the plugin is developed. Many plugins do not undergo static or dynamic code analysis for vulnerability testing. WordPress core is also constantly fixing vulnerabilities. If you follow WordPress security guidelines, which include hardening like restricting wp-admin, keeping everything up-to-date, and limiting the plugins you install, your exposure is more limited. You are not, however, 100% secure.
- 1
- 2019-08-26
- tacotuesday
Ehbien WP a unepiste horrible concernant la sécurité.Principalement à cause demauvaisplugins,mais aussi dans lenoyau.Eten raison de sapopularité,ilexiste denombreuxbots qui analysent simplement le WWWet piratent autant de sites wp quepossible.Ilexiste d'autresprojets open source quifont unbien meilleurtravailen matière de sécurité.J'aime wordpress,ilestfacile à configureret jepense que c'estparfaitementbien pour lesblogset lespetits sites.Mais l'utiliserpour des choses comme lesboutiquesen ligne qui stockent des données sensibles comme les cartes de créditest vraiment unemauvaiseidée.Le simplefait debloquer l'accès à/wp-adminn'estpeut-êtrepas unebonneidée,mais vous devez absolument vous soucier de la sécurité.

Well WP has a horrible track concerning security. Mostly due to bad plugins, but also in the core. And due to its popularity, there are lots of bots that just scan the WWW and hack as many wp sites as they can. There are other open source projects that do a way better job at security. I like wordpress, it's easy to setup and I think its perfectly fine for blogs and small sites. But using it for stuff like online shops that store sensible data like credit cards is really a bad idea. Simply blocking access to /wp-admin might not be a good idea, but you should definitely worry about security.
- 0
- 2020-03-26
- Gellweiler