Comment admin-ajax.php fonctionne-t-il?

11

Nous rencontrons des problèmes avec un développeur externe.

Nous souhaitons limiter l'accès au site wp-admin au seul accès interne (via VPN ). Simplement pour ne pas être attaqué par des utilisateurs externes. Nous pouvons énumérer les administrateurs du site et ne pas vouloir qu’ils soient phishing.

Notre développeur dit que nous ne pouvons pas le faire car le site doit avoir la page d'administration accessible de l'extérieur pour que la page puisse fonctionner. en particulier la page admin-ajax .

Que fait la page admin-ajax.php ?

Il se trouve dans la section admin de WordPress. Est-il accessible sans authentification par les utilisateurs finaux? Est-ce une pratique dangereuse de la mettre à la disposition d'utilisateurs externes?

    
posée nick 27.12.2012 - 15:50

4 réponses

4

admin-ajax.php fait partie de la API WordPress AJAX , et oui, elle traite les demandes de back-end et front. Essayez de ne pas vous inquiéter du fait que c'est en wp-admin . Je pense que c'est un endroit étrange pour cela aussi, mais ce n'est pas un problème de sécurité en soi. Comment cela se rapporte à "énumérer les administrateurs", je ne sais pas.

    
réponse donnée s_ha_dum 27.12.2012 - 16:51
3

Mon opinion personnelle est qu’il s’agit d’une idée terrible. Il y a environ deux mois, notre directeur du développement a insisté pour que nous fassions exactement cela, malgré l'avis de l'équipe de développement. C'est un véritable cauchemar et une douleur incroyable pour nous. Non seulement il tue Ajax tous ensemble, mais il pose de nombreux problèmes d'administration.

Nous avons 40 employés réguliers et 4 développeurs qui tentent parfois d’utiliser le vpn. C’est juste un béguin, et tous les utilisateurs ont maintenant besoin de deux jeux de mots de passe, un pour wp et un pour vpn, et ce n’est pas simplement un mot de passe partagé. les autres, je veux dire, sinon, comment feriez-vous un audit de sécurité? Il est déjà assez difficile de retenir un mot de passe sécurisé, et encore moins deux.

Ajoutez à cela que beaucoup de gens ne savent pas utiliser un vpn et que souvent, cela cause plus de problèmes.

En fin de compte, c’est une idée terrible et elle est souvent mise en avant par la direction ou les supérieurs hiérarchiques qui ne connaissent ni ne comprennent WordPress. Ils le voient sous un jour terrible: comme il est open source, il doit également être un problème de sécurité, rempli d'exploits faciles à exploiter, etc. ... ça vieillit.

WordPress est sécurisé et coller wp-admin derrière un vpn, c’est non seulement la peur, mais c’est un cauchemar pour tous les membres de l’équipe

Pourquoi est-ce que les types de gestion n’ont pas confiance en WordPress, ils semblent oublier que les sites majeurs utilisent WordPress et n’utilisent pas de vpns, regardez mashable par exemple.

Donc, pour récapituler:

Ajax ne fonctionnera pas derrière un vpn.

Vpn est une idée terrible pour les raisons mentionnées ci-dessus

WordPress est sécurisé et le restera si vous le gardez et les plugins sont à jour.

Écoutez vos développeurs, vous les payez pour leur expertise. Je peux vous promettre que rien ne sape une relation de travail comme ne pas mettre votre confiance en une personne et avoir à vérifier ses connaissances.

Si vous utilisez un vpn, assurez-vous d'acheter suffisamment de licences utilisateur.

    
réponse donnée MichaelJames 17.01.2014 - 09:11
3

Pour les utilisateurs non authentifiés et non fiables, vous souhaiterez créer deux exceptions spécifiques à votre .htaccess VPN / Firewall / Apache, à savoir:

  • votresite.com/wp-admin/admin-post.php
  • votresite.com/wp-admin/admin-ajax.php

Ce sont deux points de terminaison de magie automatique utilisés par beaucoup par les WP internes et par divers plug-ins.

Voici une explication de ce que fait Admin-post.php:  - enlace

Admin-ajax fonctionne de manière très similaire. ici est une explication utile.

    
réponse donnée haz 15.06.2017 - 07:22
2

Si vous souhaitez limiter l'accès au backend de WP (ex: wp-admin ), utilisez simplement une règle .htaccess sur le répertoire wp-admin .

Consultez cet article pour un aperçu général: mot de passe pour protéger un répertoire à l'aide de .htaccess

Consultez également cette rubrique pour votre cas particulier: Protection du mot de passe / wp-admin /

    
réponse donnée skim- 27.12.2012 - 19:37

Lire d'autres questions sur les étiquettes