Chiffrement des publications Wordpress

4

J'ai étudié la possibilité de créer un blog Wordpress totalement privé et j'ai trouvé plusieurs blogs / tutoriels utiles qui ont aidé, tels que Présentation détaillée de David Hewsons .

Je dispose actuellement d'un système (en ligne) agréable et privé, qui requiert des informations de connexion pour accéder au blog. C'est maintenant le problème qui se pose. Je crains que si mon serveur Web est piraté d'une manière ou d'une autre (je ne vais pas ignorer le fait que cela pourrait se produire) et que ma base de données consultée sera accessible à tous mes messages seront visibles - éliminant ainsi tout le front fin du travail de privation.

J'ai cherché des solutions prédéfinies pour chiffrer les publications elles-mêmes, mais rien n'existe encore. Ce dont j'ai besoin, c'est d'un coup de main dans la bonne direction pour écrire un plugin Wordpress, car je ne sais pas par où commencer. pour coder des plugins dans Wordpress, tout lien aide / tutoriel serait apprécié.

J'ai une connaissance assez approfondie de PHP / MySQL, même si je ne suis pas dans le style Wordpress des API, etc.

    
posée Snaver 27.09.2010 - 20:44

5 réponses

3

Autant que je sache, ce que vous demandez n’est pas vraiment possible avec WordPress (ou n’importe quelle application PHP simple). C'est le même dilemme que pour les informations d'identification de base de données dans WP - si FTP est piraté, alors le pirate informatique obtiendra le nom d'utilisateur / mot de passe de la base de données de wp-config.php . Il est impossible de les protéger car WordPress (ou toute autre application PHP) en a vraiment besoin pour accéder à la base de données. Même s'ils sont stockés cryptés à un moment donné, ils devront être décryptés.

Même chose avec les publications - même si stocker des publications cryptées dans la base de données à un moment donné, WordPress devra les déchiffrer. Si WordPress peut les décrypter, il en va de même pour les personnes qui ont piraté le compte.

Vous pouvez probablement séparer les clés de l’installation de WordPress, mais c’est un problème qui ne cesse de se déplacer - il reste maintenant à penser à la protection des clés contre le piratage / la fuite, elles sont juste ailleurs.

    
réponse donnée Rarst 27.09.2010 - 20:56
1

Donc, vous voulez un système qui chiffre le texte avant d'entrer dans la base de données et le déchiffre avant de quitter la base de données. Si vous ne souhaitez pas enregistrer le mot de passe sur le serveur, vous devez trouver un moyen de le fournir via le navigateur à chaque fois que vous faites une demande nécessitant des données cryptées.

Vous pouvez le faire en PHP, mais peut-être aussi en JavaScript. Si nous simplifions la question en n’imposant que le chiffrement du contenu de la publication et non d’autres données (titre, dates, ...), vous pourriez probablement associer votre code à un événement TinyMCE côté administrateur, qui demande votre mot de passe (ou s'en souvient dans Stockage local ou un autre lieu sûr qui ne laisse pas votre ordinateur), déchiffre le texte avant il est affiché dans l'éditeur et le chiffre à nouveau lorsque vous le sauvegardez. De cette façon, tout ce que WordPress voit est du texte crypté. (Vous devrez probablement désactiver toutes sortes de filtres de contenu pour que rien ne soit modifié côté serveur.)

Du côté public de votre blog, vous pouvez faire la même chose: envoyer un bloc de données chiffrées au client et le déchiffrer à l'aide de JavaScript.

Ce schéma est réalisable si vous êtes le seul à lire et à écrire, sinon vous auriez besoin d’un moyen de partager le cryptage, mais laissez tout le monde avoir des mots de passe différents, etc. Mais si vous êtes vraiment dans le scénario mono-utilisateur, êtes-vous certain que WordPress est le meilleur support pour votre travail? Peut-être que Evernote ou une autre solution de prise de notes prenant en charge le cryptage fonctionnerait mieux?

    
réponse donnée Jan Fabry 28.09.2010 - 12:04
1

Puis-je vous suggérer de consulter ce site? Je suis nouveau dans WordPress et je n’ai pas encore créé mon propre blog WordPress. Cependant, tout en cherchant à créer mon propre blog, je souhaitais moi aussi pouvoir chiffrer certaines publications.

Après une recherche dans Google, je suis tombé sur ce site enlace

.

Fondamentalement, les articles de blog sont cryptés en utilisant JavaScript et PHP. Par défaut, les publications sont cryptées dans AES 128 bits, mais en recompilant PHP, vous pouvez ajouter la prise en charge AES 256 bits. Je n'ai pas encore commencé à créer mon propre blog WordPress parce que je veux voir s'il existe un moyen d'intégrer l'idée de Vincent dans WordPress.

En créant un plugin basé sur le travail de Vincent, les messages pourraient être chiffrés dans WordPress sans avoir à visiter son site, chiffrer le message, puis coller le texte / code obtenu dans un message WordPress.

Lorsque les messages sont décryptés, tout se passe côté client. Le mot de passe ou la clé de déchiffrement n'est jamais envoyé au serveur, tout le déchiffrement se produit côté client via JavaScript. Cela signifie que même si un pirate informatique s'empare de votre base de données, il ne pourrait pas lire les messages cryptés, car la clé n'est pas stockée dans la base de données!

Bien que je maîtrise le PHP, je ne sais pas encore comment écrire de bons plugins WordPress pour créer un plugin moi-même, pour le moment ...

    
réponse donnée Casey 26.10.2011 - 17:30
0

Exactement; tout peut être déchiffré par une clé publique de groupe, éventuellement avec plusieurs clés privées conservées côté client.

Le blog étant naturellement privé techniquement, il n’est pas nécessaire de conserver des clés privées sur un serveur central qui ne stocke que des données cryptées.

    
réponse donnée Alex Devon 29.12.2012 - 17:16
0

Pas à 100%, mais cela ajouterait une couche de sécurité: vous pourriez écrire un plugin utilisant base64_encode pour chiffrer des entrées spécifiques, puis ajouter au codage du sel créé à partir d'un hachage md5 du nom d'utilisateur t être changé), ou quelque chose de similaire. base64_decode fonctionne très rapidement et l'utilisateur ne remarquera probablement aucun retard.

    
réponse donnée Anachronous 17.06.2013 - 16:06

Lire d'autres questions sur les étiquettes