home iconホーム / wordpress / admin-ajax.phpはどのように機能しますか?

admin-ajax.phpはどのように機能しますか?

    • vote up icon 15 vote down icon
    • translation icon
    • view icon73056 calendar icon2012-12-27

    外部の開発者に問題があります.

    wp-adminサイトへのアクセスを内部アクセスのみに制限したい( VPN ).単に、外部ユーザーによる攻撃を受けないようにするためです.サイトから管理者を列挙することができ、フィッシングされたくない場合があります.

    私たちの開発者は、ページが機能するようにサイトが管理ページに外部からアクセスできるようにする必要があるため、それはできないと言っています.具体的には、admin-ajaxページです.

    admin-ajax.phpページは何をしますか?

    WordPressの管理セクションにあります.エンドユーザーが認証せずにアクセスしていませんか?これを外部ユーザーが利用できるようにすることは安全ではありませんか?

    admin ajax security
    • `ajax-admin.php`は..ajaxリクエストを処理します.タイトルと一般的な質問をクリアしてください、http://wordpress.stackexchange.com/faq

4  回答

  • 投票
    • translation icon
    • calendar icon 2012-12-27

    admin-ajax.php WordPress AJAX API の一部です.はい、バックエンドとフロントの両方からのリクエストを処理します.wp-adminにあるという事実を心配しないでください.それも不思議なところだと思いますが、それ自体はセキュリティ上の問題ではありません.これが「管理者を列挙する」とどのように関連しているかはわかりません.

    • wp管理ページを外部から利用できないように移動することをお勧めしますか?そして、そうすることでajax管理者の何かが混乱するかどうか知っていますか?
    • これが何を意味するのか100%はわかりませんが、 `wp-admin`内のファイルへのアクセスをVPNのIPから行う必要がある場合は、AJAXを台無しにする必要があります.AJAX呼び出しはユーザーのブラウザーから行われるため、ユーザーのIPから行われます.
    • 具体的には、n00bsのセキュリティ上の問題ではない理由を説明できますか?そうでなければ、まともな答え.
    • translation icon
    • calendar icon 2017-06-15

    認証されていないユーザーと信頼されていないユーザーの場合、VPN/ファイアウォール/Apache .htaccessに対して次の2つの特定の例外を作成する必要があります.

    • example.com/wp-admin/admin-post.php
    • example.com/wp-admin/admin-ajax.php

    これらは、内部WPとさまざまなプラグインの両方で多く使用されている2つの自動マジックエンドポイントです.

    admin-post.phpの機能について説明します.

    admin-ajax.phpは非常によく似た方法で機能し、役立つ説明はこちらです..

    • translation icon
    • calendar icon 2012-12-27

    WPバックエンドへのアクセスを制限する場合(例: wp-admin )、 wp-admin <で .htaccess ルールを使用するだけです./code>ディレクトリ.

    一般的な概要については、次の記事を確認してください:パスワード.htaccessを使用してディレクトリを保護する

    特定のケースについては、次のトピックも確認してください:パスワード保護/wp-admin/

    • または、IPで実行したい場合:http://betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder/
    • translation icon
    • calendar icon 2014-01-17

    私の個人的な意見は、これは神のひどい考えだということです.約2か月前、開発ディレクターは、開発チームのアドバイスに反して、これを行うように主張しました.それは本物の悪夢であり、私たちにとって信じられないほどの苦痛です.それはajaxを一斉に殺すだけでなく、私たちにとって非常に多くの管理上の問題を提示します.

    40人の正規スタッフと4人の開発者が時々vpnを使おうとしていますが、それは途方に暮れます.それに加えて、すべてのユーザーがwp用​​とvpn用の2セットのパスワードを必要とします. 1つは、他にどのようにセキュリティ監査を行うかということです. 2つは言うまでもなく、1つの安全なパスワードを覚えるのは十分に困難です.

    多くの人がVPNの使用方法を知らないという問題に加えて、多くの場合、それはより多くの問題を引き起こすだけです.

    結局のところ、それはひどい考えであり、WordPressを知らないか理解していない経営陣以上によって提案されることがよくあります.彼らはそれをひどい見方で見ています.それはオープンソースであるため、セキュリティの問題でもあり、簡単に利用できるエクスプロイトなどでいっぱいになっているはずです.

    WordPressは安全であり、VPNの背後にwp-adminを貼り付けることは、チームのすべてのメンバーに悪夢をもたらすことを恐れるだけではありません.

    管理タイプがWordPressに関して信頼できないのはなぜですか.主要なサイトがWordPressを使用し、VPNを使用していないことを忘れているようです.たとえば、mashableを見てください.

    要約すると:

    AjaxはVPNの背後では機能しません.

    VPNは、上記の理由からひどい考えです

    WordPressは安全であり、WordPressとプラグインを最新の状態に保つと、安全に保たれます.

    あなたの開発者に耳を傾け、あなたは彼らの専門知識に対して彼らに支払います.私はあなたに約束することができます、個人にあなたの信頼を置かないことと彼らの知識をチェックしなければならないことのような仕事上の関係を損なうものは何もありません.

    VPNを使用する場合は、必ず十分なユーザーライセンスを購入してください.

    • 私はまだあなたに反対票を投じるのに十分なポイントを持っていませんが、私がそうしたらそうします.あなたは開発者を信頼することについて怒鳴りますが、1)*それが何をするのか*または2)*なぜwp-adminで大丈夫なのか*どこにも言いません.*私はこの答えに感心していません.
    • 脆弱なプラグインは、プラグインの開発方法に応じて、admin-ajax.phpで悪用される可能性があります.多くのプラグインは、脆弱性テストのために静的または動的なコード分析を受けません.WordPressコアも常に脆弱性を修正しています.wp-adminの制限、すべてを最新の状態に保つ、インストールするプラグインの制限などの強化を含むWordPressのセキュリティガイドラインに従うと、公開がさらに制限されます.ただし、100%安全というわけではありません.
    • さて、WPにはセキュリティに関して恐ろしい道があります.主に悪いプラグインが原因ですが、コアにもあります.また、その人気により、WWWをスキャンして、できるだけ多くのwpサイトをハッキングするボットがたくさんあります.セキュリティでより良い仕事をする他のオープンソースプロジェクトがあります.私はワードプレスが好きで、セットアップが簡単で、ブログや小さなサイトにはまったく問題ないと思います.しかし、クレジットカードのような賢明なデータを保存するオンラインショップのようなものにそれを使用することは本当に悪い考えです./wp-adminへのアクセスを単にブロックすることは良い考えではないかもしれませんが、セキュリティについては間違いなく心配する必要があります.