¿Dónde almacenar de forma segura las claves y contraseñas API en WordPress?

Estoy buscando usar algunas API y muchas vienen con claves, claves secretas y contraseñas necesarias para trabajar. ¿Dónde en WordPress puedes almacenar esa información? Suponiendo que alguien pueda hackear su base de datos, ¿existe WordPress para que guardar esa información sea más seguro? Además, considere la posibilidad de cambiar estas claves con mucha frecuencia, por lo que necesitaría actualizar las claves en una página de opciones.

ACTUALIZAR

• Mossack Fonseca Breach - WordPress Revolution Slider Plugin Causa posible
• Documentos de Panamá: correo electrónico pirateable a través de WordPress, documentos pirateables a través de Drupal

No hay una forma absolutamente segura de almacenar dicha información de forma permanente.
Tiene dos opciones para aumentar un poco la seguridad:

1. Usa la tabla de opciones y encripta los datos

   Use un método de cifrado seguro y enlácelo a:

   • su contraseña cuando quiera usar la llamada API solo cuando haya iniciado sesión, o
   • una clave secreta almacenada en su wp-config.php- entonces un atacante necesita ambos, el código PHP y la base de datos

2. Almacene la información de acceso fuera de WordPress

   Si está utilizando un sistema para la implementación automática, por ejemplo, basado en Composer y wpstarter , probablemente tenga algún tipo de servidor de implementación como Envoyer que cree un archivo con variables de configuración importantes que se almacena fuera de la raíz de documentos del servidor del sitio .
   Luego, puede usar el backend del servidor de implementación en lugar del backend de WordPress para cambiar estos datos.

Ambas opciones no son completamente seguras. Aún debe supervisar el uso real de la API para detectar actividades no deseadas. Asegúrese de que haya un registro que no pueda verse comprometido por alguien con acceso completo a su sitio web.

La respuesta es no. Si su base de datos puede ser espiada, su código probablemente también lo sea, por lo que incluso si cifra datos, puede descifrarlos.

Si va a almacenar datos confidenciales, no hay una solución de bajo nivel que lo ayude con ellos y solo necesita hacer que toda su aplicación sea segura para que la cuestión del almacenamiento sea irrelevante.

De hecho, me encontré con el requisito de cifrar datos, por lo que si se infringe la seguridad de la aplicación y obtiene acceso solo a la base de datos, no puede usar esos datos, pero en la vida real es más probable que sea pirateado en el nivel de WordPress que en el nivel de base de datos .