wordpressプラグインを開発しています。そのプラグインで、ユーザーはいくつかの重要なログインの詳細を入力する必要があります。これは、cron ジョブで使用します。
私はパスワードを暗号化するのが好きで、この便利なものを見つけました: PHPを使用してパスワードを暗号化および復号化する最良の方法?
ただし、キーをどのように保存すればよいですか? ユーザーがプラグインを更新するとすべてのファイルが置き換えられるため、ファイルに保存できません。そして、それをデータベースに保存します。まあ、それはあまりスマートではないと思います。
助言がありますか?
暗号化する場合でも、暗号化キーを同じマシンに保存する必要があります。コードを難読化するだけで、攻撃の速度を落とすことができます。
最良のシナリオでは、データベースのみが脆弱です。その場合、暗号化されたパスワードをデータベースに保存し、キーをファイルシステムに保存することはひどい解決策ではありません。
最悪のシナリオでは、システムが完全に侵害されました。この場合、キーを一目で保存する必要がある場合、暗号化の量を節約することはできません。難読化は問題を複雑にし、所有者にアカウントを保護するのに十分な時間を与える可能性があります。
キーをデータベーステーブルに保存すると、より良いと思います。の部分について、そのsecuring the database and making sure that the data in the table will only be accessible by the authorized personような重要なテーブルにアクセスして読み取る権限を持つ 2 番目のユーザーを作成できます。
したがって、テーブルとその内容にアクセスする権限を持つ別のユーザーを作成します。ここで、暗号化キーやその他の重要な情報にアクセスする必要がある場合は、別のユーザーで Web サイトを使用し、管理データベース ユーザーに切り替えます。