在 WordPress 中，哪裏安全地存儲 API 密鑰和密碼？

問題描述

我正在尋找使用幾個 API，許多都帶有需要工作的密鑰，密鑰和密碼。在 WordPress 哪裏可以存儲這些信息？假設任何人都可以劫持你的數據庫，那麼 WordPress 有沒有可以保存這些信息更安全？另外，考慮到經常更改這些鍵的能力，所以我需要更新選項頁上的鍵。

UPDATE

• Mossack Fonseca Breach – WordPress Revolution Slider Plugin Possible Cause

• Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal

最佳解決方案

沒有絕對安全的方式永久保存這些信息。你有兩個選擇來增加安全性：

1. 使用選項表並加密數據使用 strong encryption method，並將其綁定到：

   • 當您僅在登錄時使用 API​​調用時，您的密碼，或

   • 一個秘密密鑰存儲在您的 wp-config.phpâÂÂ「然後一個攻擊者需要兩個，PHP 代碼和數據庫

2. 將訪問信息存儲在 WordPress 之外如果您正在使用系統進行自動部署，例如基於 Composer 和 wpstarter，您可能已經有一些類似 Envoyer 的部署服務器，它創建一個存儲在站點外部的重要配置變量的文件服務器的文檔根。然後，您可以使用部署服務器的後端而不是 WordPress 後端來更改這些數據。

這兩個選項都不完全安全。您仍然需要監視實際的 API 使用情況來檢測意外的活動。確保有一個日誌不能被從具有訪問您的網站的人員入侵。

參考文獻

• Where to securely store API keys and passwords in WordPress?

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。