it-swarm.com.de

Wo kann ich API-Schlüssel und Passwörter in WordPress sicher speichern?

Ich möchte ein paar APIs verwenden und viele kommen mit Schlüsseln, geheimen Schlüsseln und Passwörtern, die für die Arbeit erforderlich sind. Wo in WordPress können Sie diese Informationen speichern? Angenommen, jemand kann Ihre Datenbank hacken, ist WordPress trotzdem in der Lage, das Speichern dieser Informationen sicherer zu machen? Berücksichtigen Sie auch die Möglichkeit, diese Schlüssel immer wieder zu ändern, damit ich die Schlüssel auf einer Optionsseite aktualisieren muss.

AKTUALISIEREN

8
jgraup

Es gibt keine absolut sichere Möglichkeit, solche Informationen dauerhaft zu speichern.
Sie haben zwei Möglichkeiten, um die Sicherheit ein wenig zu erhöhen:

  1. Verwenden Sie die Optionstabelle und verschlüsseln Sie die Daten

    Verwenden Sie eine starke Verschlüsselungsmethode und binden Sie sie an Folgendes:

    • ihr Kennwort, wenn Sie den API-Aufruf nur verwenden möchten, wenn Sie angemeldet sind, oder
    • ein geheimer Schlüssel, der in Ihrem wp-config.php gespeichert ist - dann benötigt ein Angreifer beides, den PHP Code und der Datenbank
  2. Speichern Sie die Zugangsdaten außerhalb von WordPress

    Wenn Sie ein System für die automatische Bereitstellung verwenden, das beispielsweise auf Composer und wpstarter basiert, haben Sie wahrscheinlich eine Art Bereitstellungsserver wie Envoyer , der eine Datei mit wichtigen Konfigurationsvariablen erstellt gespeichert außerhalb des Dokumentenstamms des Standortservers.
    Dann können Sie das Backend des Bereitstellungsservers anstelle des WordPress-Backends verwenden, um diese Daten zu ändern.

Beide Optionen sind nicht völlig sicher. Sie müssen weiterhin die tatsächliche API-Nutzung überwachen, um unbeabsichtigte Aktivitäten zu erkennen. Vergewissern Sie sich, dass ein Protokoll vorhanden ist, das von niemandem mit uneingeschränktem Zugriff auf Ihre Website manipuliert werden kann.

8
fuxia

Die Antwort ist nein. Wenn Ihre Datenbank ausspioniert werden kann, kann dies wahrscheinlich auch Ihr Code sein, und selbst wenn Sie Daten verschlüsseln, kann er entschlüsselt werden.

Wenn Sie vertrauliche Daten speichern möchten, gibt es keine einfache Lösung, die Ihnen dabei hilft. Sie müssen lediglich Ihre gesamte Anwendung sichern, um die Frage der Speicherung irrelevant zu machen.

Eigentlich musste ich Daten verschlüsseln. Wenn also die App-Sicherheit verletzt ist und Sie nur Zugriff auf die Datenbank erhalten, können Sie diese Daten nicht verwenden. In der Realität ist es jedoch wahrscheinlicher, dass Sie auf WordPress-Ebene gehackt werden als auf DB-Ebene .

3
Mark Kaplun