我正在尝试使用Wordpress中的Defuse加密库:https://github.com/defuse/php-encryption
我将此指南用作如何实施它的资源:https://torquemag.io/2016/10/storing-encrypted-data-wordpress-database/
我的问题是,如果我的wp config文件需要访问库,我应该将库放在哪里并需要该文件?
问题的详细描述:
在本教程中,它说生成并存储一个加密密钥,然后将其放入wp config中的常量中。php。为了做到这一点,我需要从wp config访问库。我原本计划将库放在插件中并从插件中获取它,但我猜测如果这样做,我将无法从wp配置访问它。
所以我的问题是,我应该把库放在哪里,如果我需要从wp config访问它,我应该在哪里需要它?
首先,密钥应该生成一次,而不是每个请求。本教程建议您通过库(可能通过cli或在浏览器中运行的一次性脚本)生成,然后简单添加:
define(\'JOSH_ENCRYPT_KEY\', \'the-random-key-you-generated-gets-copy-pasted-in-here-manually\');
wp-config.php 文件,因此此时不需要lib在作用域中。如果在插件中执行此操作,则可以在插件中定义常量,而不是在wp-config.php 如果愿意,请存档。
然而,我认为本教程有一个主要缺陷,即wordpress options api处理非字符串值(对象、数组等),而提供的包装器则没有
我正在努力保护我的wordpress博客。我在网上看到一些帖子,我应该改变我的table_prefix 隐藏我的wp-config.php. 但是,我不明白吗?攻击者可以对我的wp-config.php? 我的意思是有我的db配置,但攻击者需要我的DB_HOST 例如,要连接到我的db,哪一个不是那么容易获得?(我的情况是:define(\'DB_HOST\', \'localhost\');, 攻击者无法使用它连接到我的数据库)还是我错过了什么?非常感谢您的回复!