Q&A
###前提・実現したいこと
・S3のバケットに保存されているファイルのアドレスを
できるだけ安全に保存したい。
・データ(ここではアドレス)の更新はサイト管理者が数年に1度変更があるかどうか
という更新頻度の低いものという前提です。
・wordpressを使用していてテーマやプラグイン内からアドレスを呼び出したい。
###自分なりに調べてみての理解
wordpressのテーマ、プラグインから呼び出せるものとして
グローバル変数、定数、データベースに保存などの選択肢があるのかなと
思い調査してみたところ、機密情報は基本的にデータベースに保存し呼び出すという情報に当たりました。
###質問
上記のような状況で自分なりにぼんやりと以下のような形で実現可能なのかと思っていますが
より良いベストプラクティスのようなものがあれば知りたく質問させていただいています。
保存先:データベースwp_optionsテーブル
呼び出し方:dbDelta関数
・値保存の安全性としてはグローバル変数<定数<データベースのような形で
右に行くほど安全性が高まるという認識ですが前提に書いた更新頻度のようなデータの場合
データベースに保存するという判断で大丈夫でしょうか。
他におすすめの方法などご教授いただけましたら幸いです。
・呼び出し方はdbDelta関数を使うのがいいと判断していますが
他に良い方法がありましたらメリットなども含め知りたいです。
・保存するテーブルは既存のwp_optionsに追加しようとしていますが
カスタムテーブルを作成したほうが秘匿性、安全性は高められるのでしょうか。
回答1件
0
ベストアンサー
そもそもの話として何から隠したいんですか?
不正にログインされてファイルを見られると困る→ログインされてる時点でおかしい。
そんな攻撃してくる相手はそのファイルには全く興味ない。
安全性としてはどれでも同じようなものですよ。
と思ったけどテーマやプラグイン内に書くのは若干危険。WPに管理者としてログインされただけでテーマ編集画面から見える。
・定数
wp-config.phpに
define('S3_URL', '');
不正にログインされない前提ならブラウザからは絶対に見えない所に書いておけば安全性は十分。
・options
update_option() / get_option()
SQLを直接使うのは最終手段。
DBのほうがすぐには見えないとはいえwp-config.phpが見られてるならパスワードも分かるので時間の問題。get_option()ならDBを見る必要もないのでやっぱりどれもあまり変わらない。
対策としてはまずログインされないようにする。
万が一ログインされても編集されないように
編集機能を無効化
WPの被害は大体簡単なパスワード使ってたせいで不正ログイン→編集機能で改ざん。
テーマを書き換えられるだけではなくPHPが使える以上wp-config.phpを読んだり新しいファイルを作ったりなんでもやられる。
WP本体やプラグインが原因なことは自動更新していれば少ない。
投稿2017/12/28 05:11
総合スコア10377
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/12/28 13:12