如何防止插件嗅探/窃取其他插件的选项?
如何防止插件嗅探/窃取其他插件的选项?
提问于 2012-01-11 20:33:50
许多插件需要配置敏感数据,如API密钥、密码等。在实现这些插件时,使用update_option()和get_option()等函数存储这些敏感数据。
编写一个提供有用函数但也对已知敏感选项执行各种get_option()调用的特洛伊插件非常简单。即使这是不可能的,手动SQL查询也会显示这些敏感数据。
有什么方法可以避免这种固有的不安全模型吗?
回答 2
WordPress Development用户
回答已采纳
发布于 2012-01-11 21:07:38
实际上,你能做的不多。
如果入侵者可以直接访问您的站点--他们可以在那里运行get_option()或执行直接的SQL查询--那么您已经遇到了问题。在这里最安全的选择是在安装新插件时运用你最好的判断。
换言之,最好的行动计划是预防。不要安装你不认识的插件,或者你不信任的开发人员编写的插件。
虽然您可以使用加密来保护数据,但请记住,WordPress本身仍然需要访问。因此,如果WP可以读取数据,那么任何能够运行get_option()的人也可以读取数据。
WordPress Development用户
发布于 2012-01-11 20:44:33
是的,不要安装恶意插件,也不要使用加密(有关如何做到这一点,请参见:http://php.net/manual/en/book.mcrypt.php )。
页面原文内容由WordPress Development提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://wordpress.stackexchange.com/questions/38623
复制相关文章
相似问题
腾讯云开发者
