Я хочу використати декілька API, і багато з них мають ключі, секретні ключі та паролі, необхідні для роботи. Де в WordPress ви можете зберігати цю інформацію? Якщо припустити, що хтось може зламати вашу БД чи існує WordPress, щоб зробити збереження цієї інформації більш безпечним? Крім того, враховуйте можливість змінювати ці клавіші так часто, тому мені потрібно буде оновити ключі на сторінці параметрів.
Відповіді:
Не існує абсолютно безпечного способу постійного зберігання такої інформації.
У вас є два варіанти, щоб трохи підвищити безпеку:
Використовуйте таблицю параметрів і зашифруйте дані
Скористайтеся сильним методом шифрування і зв’яжіть його з будь-яким:
wp-config.php- тоді зловмиснику потрібні і код PHP, і база данихЗберігайте інформацію про доступ поза WordPress
Якщо ви використовуєте систему для автоматичного розгортання, наприклад , на основі Composer і wpstarter , ви, ймовірно , яке - то сервер розгортання як Envoyer , який створює файл з важливими змінними конфігураціями , які зберігаються за межами кореня документа сервера сайту .
Тоді ви можете використовувати сервер розгортання замість сервера розгортання для зміни цих даних.
Обидва варіанти не є абсолютно безпечними. Ви все ще повинні стежити за фактичним використанням API для виявлення ненавмисних дій. Переконайтеся, що є журнал, який не може бути порушений особою, що має повний доступ до вашого веб-сайту.
Відповідь - НІ. Якщо ваш БД можна шпигувати, ваш код, ймовірно, може бути таким же, навіть якщо ви шифруєте дані, він може бути розшифрований.
Якщо ви збираєтеся зберігати конфіденційні дані, не існує рішення низького рівня, яке допоможе вам у цьому, і вам просто потрібно зробити всю вашу програму захищеною, щоб зробити питання зберігання невідповідним.
Я фактично зіткнувся з вимогою шифрувати дані, тому, якщо захищеність програми порушена, і ви отримуєте доступ лише до БД, ви не можете використовувати ці дані, але в реальному житті ви, швидше за все, зламаєтесь на рівні wordpress, ніж на рівні DB. .