admin-ajax.php는 어떻게 작동합니까?

14

외부 개발자에게 문제가 있습니다.

VPN 액세스를 통해 wp-admin사이트 액세스를 내부 액세스로만 제한하려고합니다 . 단순히 외부 사용자의 공격을받지 않습니다. 우리는 사이트에서 관리자를 열거하고 피싱하기를 원하지 않을 수 있습니다.

Google 개발자는 사이트에서 관리자 페이지를 외부에서 액세스 할 수 있어야 페이지가 작동하기 때문에 그렇게 할 수 없다고 말합니다. 특히 admin-ajax페이지.

뭐라고합니까 admin-ajax.php페이지는 무엇입니까?

WordPress의 관리 섹션에 있습니다. 최종 사용자가 인증되지 않은 상태로 액세스합니까? 이것을 외부 사용자가 사용할 수있게하는 것이 안전하지 않습니까?

admin  ajax  security 
새긴 ​​금
소스
ajax-admin.php핸들 .. 아약스 요청. 제목과 일반적인 질문을 지우십시오. wordpress.stackexchange.com/faq
Wyck

답변:

6

admin-ajax.phpWordPress AJAX API의 일부 이며 예, 백엔드와 프론트의 요청을 처리합니다. 그것이 사실에 대해 걱정하지 마십시오 wp-admin. 나는 그것이 그것의 이상한 장소라고 생각하지만, 그 자체로는 보안 문제가 아닙니다. 이것이 "관리자 열거"와 어떤 관련이 있는지 모르겠습니다.

s_ha_dum
소스
wp 관리 페이지를 외부에서 사용할 수 없도록 이동 하시겠습니까? 그렇게하면 ajax 관리자와 관련이 있는지 알고 있습니까?
nick
이것이 의미하는 바는 확실하지 않지만 wp-adminVPN의 IP에서 파일에 액세스 해야하는 경우 AJAX를 망쳐 놓아야합니다. AJAX 호출은 사용자 브라우저에서 오기 때문에 사용자의 IP에서옵니다.
s_ha_dum
1
왜 우리에게 n00bs의 보안 문제가 아닌지 설명 할 수 있습니까? 그렇지 않으면 괜찮은 대답입니다.
daaxix
3

인증되지 않은 사용자와 신뢰할 수없는 사용자의 경우 VPN / 방화벽 / Apache .htaccess에 대해 다음과 같은 두 가지 특정 예외를 설정하려고합니다 .

  • example.com/wp-admin/admin-post.php
  • example.com/wp-admin/admin-ajax.php

이들은 내부 WP와 다양한 플러그인에서 많이 사용하는 두 개의 자동 매직 엔드 포인트입니다.

다음은 기능에 대한 설명입니다 admin-post.php.

admin-ajax.php매우 유사한 방식으로 작동하며 유용한 설명이 여기 있습니다 .

haz
소스
2

내 개인적인 의견은 이것이 신이 끔찍한 생각이라는 것입니다. 약 2 개월 전에 개발 책임자는 개발 팀의 조언에 반하는 것이 아니라고 주장했습니다. 그것은 우리에게 진정한 악몽과 엄청난 고통입니다. 그것은 아약스를 모두 죽일뿐만 아니라 우리에게 많은 행정 문제를 야기합니다.

우리는 40 명의 정규 직원과 4 명의 개발자가 때때로 VPN을 사용하려고 시도하고 있으며, 모든 사용자는 이제 wp와 VPN에 대한 두 개의 암호 세트가 필요하며 개별 암호 인 공유 암호가 아닙니다. 보안 감사의 다른 방법을 의미합니다. 하나의 보안 암호를 기억하기는 어렵지만 두 개는 아닙니다.

많은 사람들이 VPN을 사용하는 방법을 모르고 종종 더 많은 문제를 일으키는 문제에 추가하십시오.

궁극적으로 그것은 끔찍한 아이디어이며 WordPress를 모르거나 이해하지 못하는 경영진이나 상급자가 종종 제시합니다. 그들은 오픈 소스이기 때문에 쉽게 도청되는 익스플로잇 등으로 채워진 보안 문제 여야한다는 점을 끔찍한 시각으로 봅니다.

WordPress는 안전하고 VPN을 관리하는 wp-admin을 고수하는 것은 팀을 꾸리는 모든 사람들에게 악몽을 불러 일으키는 것을 두려워 할뿐만 아니라

관리 유형이 WordPress와 관련하여 신뢰할 수없는 이유는 무엇입니까? 주요 사이트는 WordPress를 사용하지 않고 VPN을 사용하지 않는 것으로 보입니다. 예를 들어 매시 블을보십시오.

요약하면 다음과 같습니다.

Ajax는 VPN 뒤에서 작동하지 않습니다.

VPN은 위에서 언급 한 이유로 끔찍한 아이디어입니다.

WordPress는 안전하며 최신 상태로 유지하고 플러그인을 유지하면 그대로 유지됩니다.

당신의 개발자의 말을 듣고, 당신은 그들의 전문 지식에 대해 지불합니다. 나는 당신에게 개인을 신뢰하지 않고 그들의 지식을 점검하는 것과 같은 일하는 관계를 훼손하는 것이 아무것도 없다고 약속 할 수 있습니다.

vpn을 사용하는 경우 충분한 사용자 라이센스를 구입하십시오.

11
아직 당신을 공감할만한 충분한 포인트가 없지만, 제가한다면 개발자를 신뢰하는 것에 대한 열의가 있지만 1) 그것이하는 일 또는 2) wp-admin에서 괜찮은 이유 어디에도 없습니다 . 나는이 대답에 감명받지 않았다.
daaxix
플러그인 개발 방법에 따라 admin-ajax.php를 사용하여 취약한 플러그인을 악용 할 수 있습니다. 많은 플러그인은 취약성 테스트를 위해 정적 또는 동적 코드 분석을 거치지 않습니다. 워드 프레스 코어는 또한 취약점을 지속적으로 수정하고 있습니다. wp-admin 제한, 모든 것을 최신 상태로 유지 및 설치 한 플러그인 제한과 같은 강화와 같은 WordPress 보안 지침을 따르면 노출이 더 제한됩니다. 그러나 100 % 안전하지는 않습니다.
tacotuesday
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.