WordPress'te API anahtarlarını ve şifrelerini güvenli bir şekilde nerede saklayabilirim?


11

Birkaç API kullanmak için arıyorum ve birçok anahtarları, gizli anahtarları ve çalışmak için gerekli şifreler ile geliyor. Bu bilgileri WordPress'te nerede saklayabilirsiniz? Herhangi birinin DB'nizi hackleyebileceğini varsaymak, WordPress'in bu bilgileri daha güvenli hale getirmesi için zaten var mı? Ayrıca, bir seçenekleri sayfasındaki tuşları güncellemem gerekecek şekilde bu tuşları sık sık değiştirme yeteneğini düşünün.

GÜNCELLEME

Yanıtlar:


9

Bu tür bilgileri kalıcı olarak saklamanın kesinlikle güvenli bir yolu yoktur.
Güvenliği biraz artırmak için iki seçeneğiniz vardır:

  1. Seçenekler tablosunu kullanın ve verileri şifreleyin

    Güçlü bir şifreleme yöntemi kullanın ve aşağıdakilerden birine bağlayın:

    • API çağrısını yalnızca oturum açtığınızda kullanmak istediğinizde şifrenizi veya
    • saklı bir gizli anahtar wp-config.php- daha sonra bir saldırganın PHP koduna ve veritabanına ihtiyacı vardır
  2. Erişim bilgilerini WordPress dışında saklama

    Otomatik dağıtım için, örneğin Composer ve wpstarter'a dayalı bir sistem kullanıyorsanız , muhtemelen Envoyer gibi site sunucusunun belge kökünün dışında depolanan önemli yapılandırma değişkenlerine sahip bir dosya oluşturan bir tür dağıtım sunucunuz vardır .
    Daha sonra bu verileri değiştirmek için WordPress arka ucu yerine dağıtım sunucusunun arka ucunu kullanabilirsiniz.

Her iki seçenek de tamamen güvenli değildir. İstenmeyen etkinlikleri tespit etmek için gerçek API kullanımını izlemeniz gerekir. Web sitenize tam erişimi olan birinden ödün verilemeyecek bir günlük bulunduğundan emin olun.


Azure Anahtar Kasası gibi bir şeyi WP'ye entegre etmenin bir yolu var mı?
PoorInRichfield

4

Cevap hayır. DB'nize casusluk uygulanabiliyorsa, büyük olasılıkla verileriniz şifrelense bile şifresi çözülebilir.

Hassas verileri saklayacaksanız, size yardımcı olacak düşük düzeyde bir çözüm yoktur ve sadece depolama sorununu ilgisiz hale getirmek için tüm uygulamanızı güvenli hale getirmeniz gerekir.

Aslında veri şifrelemek için bir gereklilik koştu böylece uygulama güvenliği ihlal ve sadece DB erişim elde ederseniz bu verileri kullanamazsınız, ama gerçek hayatta DB seviyesinden daha wordpress düzeyinde saldırıya daha muhtemel .

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.