Onde armazenar com segurança chaves de API e senhas no WordPress?

9

Eu estou olhando para usar algumas APIs e muitos vêm com chaves, chaves secretas e senhas necessárias para o trabalho. Onde no WordPress você pode armazenar essas informações? Assumindo que alguém pode hackear seu banco de dados está lá de qualquer maneira para o WordPress fazer com que salvar essas informações seja mais seguro? Além disso, considere a possibilidade de alterar essas chaves com tanta frequência, para que eu precise atualizar as chaves em uma página de opções.

UPDATE

por jgraup 19.12.2015 / 02:21

2 respostas

8

Não há maneira absolutamente segura de armazenar essas informações permanentemente.
Você tem duas opções para aumentar um pouco a segurança:

  1. Use a tabela de opções e criptografe os dados

    Use um método de criptografia strong e vincule-o a:

    • sua senha quando você quiser usar a chamada da API somente quando estiver conectado ou
    • uma chave secreta armazenada em seu wp-config.php - então um invasor precisa de ambos, o código PHP e o banco de dados
  2. Armazene as informações de acesso fora do WordPress

    Se você estiver usando um sistema para implantação automática, por exemplo, com base no Compositor e wpstarter , você provavelmente tem algum tipo de servidor de implementação como Envoyer que cria um arquivo com variáveis de configuração importantes que é armazenado fora da raiz do documento do servidor do site .
    Em seguida, você pode usar o back-end do servidor de implantação em vez do back-end do WordPress para alterar esses dados.

Ambas as opções não são completamente seguras. Você ainda precisa monitorar o uso real da API para detectar atividades não intencionais. Certifique-se de que há um registro que não pode ser comprometido por alguém com acesso total ao seu site.

    
por fuxia 19.12.2015 / 07:40
3

A resposta é NÃO. Se o seu banco de dados pode ser espiado, seu código provavelmente pode ser tão bom, mesmo se você criptografar dados, ele pode ser descriptografado.

Se você for armazenar dados confidenciais, não haverá uma solução de baixo nível para ajudá-lo e você só precisará tornar toda a sua aplicação segura para tornar a questão do armazenamento irrelevante.

Na verdade, encontrei um requisito para criptografar dados, portanto, se a segurança do aplicativo for violada e você tiver acesso somente ao banco de dados, não será possível usar esses dados, mas na vida real é mais provável que você seja hackeado no nível wordpress o nível do banco de dados.

    
por Mark Kaplun 19.12.2015 / 08:26