在 WordPress 中，哪里安全地存储 API 密钥和密码？

问题描述

我正在寻找使用几个 API，许多都带有需要工作的密钥，密钥和密码。在 WordPress 哪里可以存储这些信息？假设任何人都可以劫持你的数据库，那么 WordPress 有没有可以保存这些信息更安全？另外，考虑到经常更改这些键的能力，所以我需要更新选项页上的键。

UPDATE

• Mossack Fonseca Breach – WordPress Revolution Slider Plugin Possible Cause

• Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal

最佳解决方案

没有绝对安全的方式永久保存这些信息。你有两个选择来增加安全性：

1. 使用选项表并加密数据使用 strong encryption method，并将其绑定到：

   • 当您仅在登录时使用 API​​调用时，您的密码，或

   • 一个秘密密钥存储在您的 wp-config.phpâÂÂ「然后一个攻击者需要两个，PHP 代码和数据库

2. 将访问信息存储在 WordPress 之外如果您正在使用系统进行自动部署，例如基于 Composer 和 wpstarter，您可能已经有一些类似 Envoyer 的部署服务器，它创建一个存储在站点外部的重要配置变量的文件服务器的文档根。然后，您可以使用部署服务器的后端而不是 WordPress 后端来更改这些数据。

这两个选项都不完全安全。您仍然需要监视实际的 API 使用情况来检测意外的活动。确保有一个日志不能被从具有访问您的网站的人员入侵。

参考文献

• Where to securely store API keys and passwords in WordPress?

注：本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意，可以加入我们改善翻译效果：薇晓朵技术论坛。