在 WordPress 中，哪裡安全地儲存 API 金鑰和密碼？

問題描述

我正在尋找使用幾個 API，許多都帶有需要工作的金鑰，金鑰和密碼。在 WordPress 哪裡可以儲存這些資訊？假設任何人都可以劫持你的資料庫，那麼 WordPress 有沒有可以儲存這些資訊更安全？另外，考慮到經常更改這些鍵的能力，所以我需要更新選項頁上的鍵。

UPDATE

• Mossack Fonseca Breach – WordPress Revolution Slider Plugin Possible Cause

• Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal

最佳解決方案

沒有絕對安全的方式永久儲存這些資訊。你有兩個選擇來增加安全性：

1. 使用選項表並加密資料使用 strong encryption method，並將其繫結到：

   • 當您僅在登入時使用 API​​呼叫時，您的密碼，或

   • 一個秘密金鑰儲存在您的 wp-config.phpâÂÂ「然後一個攻擊者需要兩個，PHP 程式碼和資料庫

2. 將訪問資訊儲存在 WordPress 之外如果您正在使用系統進行自動部署，例如基於 Composer 和 wpstarter，您可能已經有一些類似 Envoyer 的部署伺服器，它建立一個儲存在站點外部的重要配置變數的檔案伺服器的檔案根。然後，您可以使用部署伺服器的後端而不是 WordPress 後端來更改這些資料。

這兩個選項都不完全安全。您仍然需要監視實際的 API 使用情況來檢測意外的活動。確保有一個日誌不能被從具有訪問您的網站的人員入侵。

參考文獻

• Where to securely store API keys and passwords in WordPress?

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。