Wo können API-Schlüssel und -Kennwörter in WordPress sicher gespeichert werden?

Ich möchte einige APIs verwenden und viele werden mit Schlüsseln, geheimen Schlüsseln und Passwörtern geliefert, die für die Arbeit erforderlich sind. Wo in WordPress können Sie diese Informationen speichern? Angenommen, jemand kann Ihre Datenbank hacken. Gibt es für WordPress überhaupt eine Möglichkeit, das Speichern dieser Informationen sicherer zu machen? Berücksichtigen Sie auch die Möglichkeit, diese Schlüssel so oft zu ändern, dass ich die Schlüssel auf einer Optionsseite aktualisieren müsste.

AKTUALISIEREN

• Mossack Fonseca Breach - WordPress Revolution Slider Plugin Mögliche Ursache
• Panama Papers: E-Mail über WordPress hackbar, Docs über Drupal hackbar

Es gibt keine absolut sichere Möglichkeit, solche Informationen dauerhaft zu speichern.
Sie haben zwei Möglichkeiten, um die Sicherheit ein wenig zu erhöhen:

1. Verwenden Sie die Optionstabelle und verschlüsseln Sie die Daten

   Verwenden Sie eine starke Verschlüsselungsmethode und binden Sie sie an Folgendes:

   • Ihr Kennwort, wenn Sie den API-Aufruf nur verwenden möchten, wenn Sie angemeldet sind, oder
   • Ein geheimer Schlüssel, der in Ihrem gespeichert ist wp-config.php- dann benötigt ein Angreifer sowohl den PHP-Code als auch die Datenbank

2. Speichern Sie die Zugriffsinformationen außerhalb von WordPress

   Wenn Sie ein System für die automatische Bereitstellung verwenden, das beispielsweise auf Composer und wpstarter basiert , verfügen Sie wahrscheinlich über einen Bereitstellungsserver wie Envoyer , der eine Datei mit wichtigen Konfigurationsvariablen erstellt, die außerhalb des Dokumentstamms des Standortservers gespeichert ist .
   Anschließend können Sie das Backend des Bereitstellungsservers anstelle des WordPress-Backends verwenden, um diese Daten zu ändern.

Beide Optionen sind nicht vollständig sicher. Sie müssen weiterhin die tatsächliche API-Nutzung überwachen, um unbeabsichtigte Aktivitäten zu erkennen. Stellen Sie sicher, dass es ein Protokoll gibt, das nicht von jemandem mit vollem Zugriff auf Ihre Website kompromittiert werden kann.

Die Antwort ist nein. Wenn Ihre Datenbank ausspioniert werden kann, kann dies wahrscheinlich auch Ihr Code sein. Selbst wenn Sie Daten verschlüsseln, kann er entschlüsselt werden.

Wenn Sie vertrauliche Daten speichern möchten, gibt es keine einfache Lösung, die Ihnen dabei hilft, und Sie müssen lediglich Ihre gesamte Anwendung sicher machen, damit die Frage der Speicherung irrelevant wird.

Ich bin tatsächlich auf die Anforderung gestoßen, Daten zu verschlüsseln. Wenn also die App-Sicherheit verletzt wird und Sie nur Zugriff auf die Datenbank erhalten, können Sie diese Daten nicht verwenden, aber im wirklichen Leben werden Sie eher auf WordPress-Ebene als auf DB-Ebene gehackt .