web-dev-qa-db-ja.com

APIキーとパスワードを安全にWordPressに保存する場所

私はいくつかのAPIを使用したいと思っていますし、その多くは動作するのに必要な鍵、秘密鍵、パスワードが付属しています。 WordPressのどこにその情報を保存できますか?誰かがあなたのDBをハッキングすることができると仮定すれば、WordPressがその情報をより安全に保存するためにとにかくありますか?また、私はオプションページでキーを更新する必要があるので、これらのキーを頻繁に変更する機能を検討してください。

更新

8
jgraup

そのような情報を永久に保存するための絶対に安全な方法はありません。
セキュリティを少し高めるために2つの選択肢があります。

  1. オプションテーブルを使ってデータを暗号化する

    強力な暗号化方法 を使用し、それを次のいずれかにバインドします。

    • ログインしているときにのみAPI呼び出しを使用したい場合のパスワード
    • あなたのwp-config.phpに保存されている秘密鍵 - そして攻撃者はその両方が必要です、PHP code andデータベース
  2. WordPressの外部にアクセス情報を保存します

    Composerwpstarter などに基づいて自動デプロイ用のシステムを使用している場合は、おそらく Envoyer のようなある種のデプロイメントサーバーがあります。 stored サイトサーバーのドキュメントルートの外側.
    その後、これらのデータを変更するために、WordPressバックエンドの代わりにデプロイメントサーバーのバックエンドを使用できます。

両方の選択肢が完全に安全というわけではありません。意図しないアクティビティを検出するには、実際のAPI使用状況を監視する必要があります。あなたのウェブサイトへのフルアクセスを持つ誰かから危険にさらされることができないログがあることを確認してください。

8
fuxia

答えはノーだ。あなたのDBが狙われているのであれば、あなたが暗号化していても暗号化されている可能性があります。

機密データを保管しようとしているのであれば、それを手助けするための低レベルの解決策はありません。ストレージの問題を無関係にするには、アプリケーション全体を安全にする必要があります。

私は実際にデータを暗号化する必要があるため、アプリのセキュリティが侵害されてDBにしかアクセスできない場合はそのデータを使用できませんが、実際にはDBレベルよりワードプレスレベルでハッキングされる可能性があります。 。

3
Mark Kaplun