gli url che richiami con ajax devono essere protetti a prescindere dal fatto che li richiami con ajax. La gestione del cookie di autenticazione è una cosa che gestisce il browser: se la pagina è accessibile solo agli utenti loggati lo sarà anche se la chiami via ajax. Il tuo sembra essere un problema di autorizzazione a monte.

Per lo stesso motivo il fatto che una funzione sia "visibile" in internet non vuol dire che debba essere accessibile. Oltre all'autenticazione devi sempre controllare lato server che l'utente sia autorizzato a compiere una determinata azione. Questo generalmente lo si fa con la gestione dei ruoli e degli utenti ma anche con controlli piu restrittivi (es. se l'utente X non è un moderatore, il commento che l'utente X sta eliminando appartiene all'utente X?)

Ad essere precisi, in ambito sicurezza devi RITENERE visibili e alla "luce del sole" tutti i metodi richiamabili da web perche di fatto questa è la loro natura.

A questo punto si puo parlare di argomenti piu "avanzati" ma assolutamente non trascurabili ed in tema con la domanda che hai posto. Devi proteggerti da un tipo di attacco difficile da effettuare ma molto pericoloso: il cross site request forgery (CSRF). L'attacco consiste nel rubare con un link fake ad una pagina contraffatta il cookie di autenticazione di un utente autorizzato ma poco accorto. A questo punto dalla pagina stessa uno script sarebbe in grado di fare quello che tu temi possa avvenire in questo post: un altro fa cose che non è autorizzato a fare.
La difesa è semplice: lato server devi controllare che i dati inviati via POST arrivino effettivamente da chi ha inviato la richiesta. Questo lo si puo ottenere in due fasi.
- inviando la pagina con il form invii anche in un campo nascosto, un guid generato e conservato in una variabile di sessione.
- alla ricezione dei dati post controlli che ti arrivi anche il guid e soprattutto che coincida con quello generato precedentemente lato server (ricordati di cancellare la variabile di sessione subito dopo).
Se il confronto va a buon fine procedi altrimenti rispondi picche al client.