¿Dónde almacenar de forma segura las claves y contraseñas de la API en WordPress?

9

Estoy buscando usar algunas API y muchas vienen con claves, claves secretas y contraseñas necesarias para funcionar. ¿Dónde en WordPress puedes almacenar esa información? Suponiendo que alguien pueda hackear su base de datos, ¿hay alguna manera de que WordPress haga que guardar esa información sea más seguro? Además, considere la posibilidad de cambiar estas claves muy a menudo, por lo que necesitaría actualizarlas en una página de opciones.

ACTUALIZACIÓN

pregunta jgraup 19.12.2015 - 02:21

2 respuestas

8

No existe una forma absolutamente segura de almacenar dicha información de forma permanente.
Tienes dos opciones para aumentar un poco la seguridad:

  1. Utilice la tabla de opciones y cifre los datos

    Utilice un método de cifrado seguro , y conéctelo a:

    • su contraseña cuando desee usar la llamada a la API solo cuando haya iniciado sesión, o
    • una clave secreta almacenada en su wp-config.php - entonces un atacante necesita ambos, el código PHP y la base de datos
  2. Almacene la información de acceso fuera de WordPress

    Si está utilizando un sistema para la implementación automática, por ejemplo, basado en Compositor y wpstarter , probablemente tenga algún tipo de servidor de implementación como Envoyer que crea un archivo con importantes variables de configuración que se almacena fuera de la raíz del documento del servidor del sitio .
    Luego puede usar el backend del servidor de implementación en lugar del backend de WordPress para cambiar estos datos.

Ambas opciones no son completamente seguras. Aún debe monitorear el uso real de la API para detectar actividades no deseadas. Asegúrese de que haya un registro que no pueda ser comprometido por alguien con acceso completo a su sitio web.

    
respondido por el fuxia 19.12.2015 - 07:40
3

La respuesta es NO. Si se puede espiar su base de datos, es probable que su código también lo sea, por lo que incluso si encripta los datos, se pueden descifrar.

Si va a almacenar datos confidenciales, no hay una solución de bajo nivel que lo ayude con eso y solo necesita hacer que toda su aplicación sea segura para que la cuestión del almacenamiento sea irrelevante.

En realidad me topé con un requisito para cifrar los datos, por lo que si se viola la seguridad de la aplicación y usted obtiene acceso solo a la base de datos, no puede usar esa información, pero en la vida real es más probable que sea hackeado a nivel de wordpress que el nivel de base de datos.

    
respondido por el Mark Kaplun 19.12.2015 - 08:26

Lea otras preguntas en las etiquetas