WordPressのAPIキーとパスワードを安全に保存する場所はどこですか？

いくつかのAPIを使用したいと考えています。多くのAPIには、機能するために必要な鍵、秘密鍵、およびパスワードが付属しています。WordPressのどこにその情報を保存できますか？誰かがあなたのDBをハッキングできると仮定して、とにかくWordPressがその情報をより安全に保存できるようにしていますか？また、オプションページでキーを更新する必要があるため、これらのキーを頻繁に変更する機能を検討してください。

更新

• モサックフォンセカ違反– WordPress革命スライダープラグイン考えられる原因
• パナマペーパー：WordPressを介してハッキング可能なメール、Drupalを介してハック可能なドキュメント

そのような情報を永続的に保存する絶対に安全な方法はありません。
セキュリティを少し向上させるには、2つのオプションがあります。

1. オプションテーブルを使用してデータを暗号化する

   強力な暗号化方法を使用し、次のいずれかにバインドします。

   • ログイン時にのみAPI呼び出しを使用する場合のパスワード、または
   • に保存されている秘密鍵wp-config.php–次に、攻撃者はPHPコードとデータベースの両方を必要とします

2. アクセス情報をWordPressの外部に保存する

   たとえばComposerやwpstarterに基づく自動展開用のシステムを使用している場合は、サイトサーバーのドキュメントルートの外部に保存されている重要な構成変数を含むファイルを作成するEnvoyerなどの展開サーバーがあると考えられます。 次に、WordPressバックエンドの代わりにデプロイメントサーバーのバックエンドを使用して、これらのデータを変更できます。
   

どちらのオプションも完全に安全ではありません。意図しないアクティビティを検出するには、実際のAPIの使用状況を監視する必要があります。Webサイトへの完全なアクセス権を持つユーザーから侵害されないログがあることを確認してください。

答えはノーだ。DBをスパイできる場合、コードはおそらく暗号化できるので、データを暗号化したとしても復号化できます。

機密データを保存する場合、それを支援する低レベルのソリューションはなく、アプリケーション全体を安全にして、ストレージの問題を無関係にする必要があります。

私は実際にデータを暗号化する要件に遭遇したため、アプリのセキュリティが侵害され、DBにしかアクセスできない場合、そのデータは使用できませんが、実際には、DBレベルよりもワードプレスレベルでハッキングされる可能性が高くなります。