Dove archiviare in modo sicuro chiavi e password API in WordPress?

Sto cercando di utilizzare alcune API e molte sono dotate di chiavi, chiavi segrete e password necessarie per funzionare. Dove in WordPress è possibile archiviare tali informazioni? Supponendo che chiunque possa hackerare il tuo DB, c'è comunque WordPress per rendere il salvataggio di tali informazioni più sicuro? Inoltre, considera la possibilità di cambiare queste chiavi così spesso, quindi dovrei aggiornare le chiavi in ​​una pagina di opzioni.

AGGIORNARE

• Mossack Fonseca Breach - WordPress Revolution Slider Plugin Possibile causa
• Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal

Non esiste un modo assolutamente sicuro per archiviare tali informazioni in modo permanente.
Hai due opzioni per aumentare un po 'la sicurezza:

1. Utilizzare la tabella delle opzioni e crittografare i dati

   Utilizzare un metodo di crittografia avanzato e associarlo a:

   • la password quando si desidera utilizzare la chiamata API solo dopo aver effettuato l'accesso, oppure
   • una chiave segreta memorizzata nel tuo wp-config.php- quindi un utente malintenzionato ha bisogno sia del codice PHP che del database

2. Memorizza le informazioni di accesso al di fuori di WordPress

   Se si utilizza un sistema per la distribuzione automatica, ad esempio basato su Composer e wpstarter , è probabilmente presente un tipo di server di distribuzione come Envoyer che crea un file con importanti variabili di configurazione memorizzato al di fuori della radice del documento del server del sito .
   Quindi è possibile utilizzare il back-end del server di distribuzione anziché il back-end di WordPress per modificare questi dati.

Entrambe le opzioni non sono completamente sicure. È ancora necessario monitorare l'utilizzo effettivo dell'API per rilevare attività indesiderate. Assicurati che ci sia un registro che non può essere compromesso da qualcuno con pieno accesso al tuo sito web.

La risposta è no. Se il tuo DB può essere spiato, probabilmente il tuo codice potrebbe esserlo, quindi anche se cripti i dati può essere decrittografato.

Se hai intenzione di archiviare dati sensibili non ci sono soluzioni di basso livello per aiutarti e devi solo rendere sicura tutta la tua applicazione per rendere irrilevante la questione dell'archiviazione.

In realtà mi sono imbattuto in un requisito per crittografare i dati, quindi se la sicurezza dell'app viene violata e ottieni l'accesso solo al DB non puoi utilizzare quei dati, ma nella vita reale è più probabile che tu sia hackerato a livello di wordpress rispetto al livello di DB .