व्यवस्थापक-ajax.php कैसे काम करता है?

14

हम बाहरी डेवलपर के साथ कुछ समस्याएँ हैं।

हम wp-adminसाइट तक पहुंच को केवल आंतरिक पहुंच ( वीपीएन के माध्यम से ) तक सीमित करना चाहते हैं । बस इसलिए यह बाहरी उपयोगकर्ताओं द्वारा हमला नहीं किया जाएगा। हम साइट से प्रवेशकों की गणना कर सकते हैं और उन्हें फिश नहीं करना चाहते हैं।

हमारे डेवलपर कह रहे हैं कि हम ऐसा नहीं कर सकते क्योंकि साइट के लिए एडमिन पेज को बाहरी रूप से एक्सेस करने की जरूरत है इसलिए पेज काम करेगा। विशेष रूप से admin-ajaxपृष्ठ।

admin-ajax.phpपेज क्या करता है?

यह वर्डप्रेस के एडमिन सेक्शन में स्थित है। क्या इसे अंतिम उपयोगकर्ताओं द्वारा अनधिकृत रूप से एक्सेस किया जाता है? क्या बाहरी उपयोगकर्ताओं के लिए यह उपलब्ध होना एक असुरक्षित अभ्यास है?

admin  ajax  security 
छेद
स्रोत
ajax-admin.phpसंभालता है .. अजाक्स अनुरोध। कृपया अपना शीर्षक और सामान्य रूप से प्रश्न को साफ करें। wordpress.stackexchange.com/faq
Wyck

जवाबों:

7

admin-ajax.phpवर्डप्रेस AJAX एपीआई का हिस्सा है , और हाँ, यह बैकएंड और फ्रंट दोनों से अनुरोधों को संभालता है। इस तथ्य के बारे में चिंता न करने की कोशिश करें कि यह अंदर है wp-admin। मुझे लगता है कि इसके लिए भी एक अजीब जगह है, लेकिन यह अपने आप में एक सुरक्षा समस्या नहीं है। यह "प्रवेश को आगे बढ़ाने" से कैसे संबंधित है, मुझे नहीं पता।

s_ha_dum
स्रोत
क्या आप बाह्य रूप से उपलब्ध होने से wp व्यवस्थापक पृष्ठ को स्थानांतरित करने की अनुशंसा करेंगे? और क्या आप जानते हैं कि ऐसा करने से अजाक्स व्यवस्थापक के साथ कुछ भी बाधित होगा?
निक
मुझे 100% यकीन नहीं है कि इसका क्या मतलब है लेकिन अगर आपको wp-adminअपने वीपीएन के आईपी से होने वाली फाइलों तक पहुंच की आवश्यकता है , तो हाँ जो AJAX को गड़बड़ कर सकता है। AJAX कॉल उपयोगकर्ता के ब्राउज़र से होती हैं इसलिए उपयोगकर्ता के IP से आती हैं।
s_ha_dum
1
क्या आप बता सकते हैं कि, विशेष रूप से, यह हमारे लिए n00bs की सुरक्षा समस्या क्यों नहीं है? अन्यथा, सभ्य जवाब।
डेक्सिक्स
3

अनधिकृत और अविश्वसनीय उपयोगकर्ताओं के लिए, आप अपने वीपीएन / फ़ायरवॉल / अपाचे के लिए दो विशिष्ट अपवाद बनाना चाहेंगे .htaccess, जो हैं:

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

ये दो ऑटो-मैजिक एंडपॉइंट हैं जिनका उपयोग आंतरिक WP और विभिन्न प्लगइन्स दोनों द्वारा किया जाता है।

यहाँ कुछ स्पष्टीकरण है कि क्या admin-post.phpकरता है:

admin-ajax.phpबहुत ही समान तरीके से काम करता है, और एक उपयोगी व्याख्या यहाँ है

Haz
स्रोत
2

मेरी निजी राय है कि यह एक ईश्वर के बारे में भयानक विचार है। लगभग दो महीने पहले हमारे विकास के निदेशक ने जोर देकर कहा था कि हम सिर्फ देव टीम की सलाह के खिलाफ हैं। यह हमारे लिए एक वास्तविक दुःस्वप्न और एक अविश्वसनीय दर्द है, इतना ही नहीं यह अजाक्स को एक साथ नहीं मारता है, यह हमारे लिए कई प्रशासन मुद्दों को प्रस्तुत करता है।

हमारे पास 40 नियमित कर्मचारी हैं और 4 devs समय पर वीपीएन का उपयोग करने की कोशिश कर रहे हैं और यह सिर्फ स्टूटर्स के साथ है, इसके साथ ही सभी उपयोगकर्ताओं को अब wpn के लिए एक के लिए एक और पासवर्ड के दो सेट की आवश्यकता होती है और यह केवल एक साझा पासवर्ड नहीं है जो कि यह कभी भी हो, मतलब आप और कैसे ऑडिट करेंगे। एक सुरक्षित पासवर्ड को याद रखना काफी कठिन है, दो को अकेले करें।

इस मुद्दे को जोड़ें कि बहुत से लोग नहीं जानते कि वीपीएन का उपयोग कैसे किया जाता है और अक्सर जो अधिक मुद्दों का कारण बनता है।

अंतत: यह एक भयानक विचार है और यह अक्सर प्रबंधन या उच्चतर द्वारा आगे रखा जाता है जो वर्डप्रेस को नहीं जानते या समझते हैं। वे इसे एक भयानक रोशनी में देखते हैं, क्योंकि यह खुला स्रोत है, यह एक सुरक्षा मुद्दा भी होना चाहिए, आसानी से टैप किए गए कारनामों से भरा हुआ और इसी तरह .... इसकी पुरानी हो रही है।

वर्डप्रेस सुरक्षित है और एक वीपीएन के पीछे डब्ल्यूपी-एडमिन चिपके हुए है न केवल डर है कि यह टीम के हर सदस्य के लिए एक बुरा सपना प्रस्तुत करता है।

ऐसा क्यों है कि प्रबंधन प्रकारों पर कोई भरोसा नहीं है जब यह वर्डप्रेस की बात आती है, तो वे भूल जाते हैं कि प्रमुख साइटें वर्डप्रेस का उपयोग करती हैं और vpns का उपयोग नहीं करती हैं, उदाहरण के लिए मैशबल देखें।

इसलिए पुनरावृत्ति करने के लिए:

Ajax एक वीपीएन के पीछे काम नहीं करेगा।

Vpn ऊपर वर्णित कारणों के लिए एक भयानक विचार है

वर्डप्रेस सुरक्षित है और यदि आप इसे रखेंगे और आज तक प्लग इन करेंगे।

अपने देव की सुनो, तुम उन्हें उनकी विशेषज्ञता के लिए भुगतान करते हो। मैं आपसे वादा कर सकता हूं कि कुछ भी काम करने के रिश्ते को कम नहीं करता है, जैसे कि एक व्यक्ति पर अपना भरोसा न रखना और उनके ज्ञान की जांच करना।

यदि आप वीपीएन के साथ जाते हैं, तो पर्याप्त उपयोगकर्ता लाइसेंस खरीदना सुनिश्चित करें।

11
मेरे पास आपके लिए अभी तक पर्याप्त अंक नहीं हैं, लेकिन अगर मैं ऐसा करता। आप अपने डेवलपर्स पर भरोसा करने के बारे में शेख़ी पर जाते हैं, लेकिन कहीं भी आप यह नहीं कहते हैं कि 1) यह क्या करता है, या 2) क्यों यह wp-admin में ठीक है। मैं इस जवाब से प्रभावित नहीं हूं।
डेक्सिक्स
कमजोर प्लगइन्स का उपयोग व्यवस्थापक-ajax.php के साथ किया जा सकता है जो इस बात पर निर्भर करता है कि प्लगइन कैसे विकसित किया गया है। कई प्लगइन्स भेद्यता परीक्षण के लिए स्थैतिक या गतिशील कोड विश्लेषण से नहीं गुजरते हैं। वर्डप्रेस कोर भी लगातार कमजोरियों को ठीक कर रहा है। यदि आप वर्डप्रेस सुरक्षा दिशा-निर्देशों का पालन करते हैं, जिसमें wp-admin को प्रतिबंधित करना, अप-टू-डेट सब कुछ रखना और आपके द्वारा इंस्टॉल किए गए प्लगइन्स को सीमित करने जैसे सख्त शामिल हैं, तो आपका एक्सपोजर अधिक सीमित है। हालाँकि, आप 100% सुरक्षित नहीं हैं।
tacotuesday
2

यदि आप WP बैकेंड (पूर्व:) तक पहुंच को सीमित करना चाहते हैं wp-admin, तो बस निर्देशिका .htaccessपर एक नियम का उपयोग करें wp-admin

सामान्य अवलोकन के लिए इस लेख को देखें: कूटशब्द एक निर्देशिका का उपयोग कर

अपने विशिष्ट मामले के लिए इस विषय को भी देखें: पासवर्ड प्रोटेक्टिंग / wp-admin /

skim-
स्रोत
1
या यदि आप इसे IP द्वारा करते हैं: betterwp.net/wordpress-tips/protect-wordpress-wp-admin-folder
skim-
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.