Podawanie danych dostępowych do innych usług w WordPressie – jak to robić?

Wiele wtyczek prosi nas o podanie danych dostępowych lub tokenów do innych usług. Trzeba sobie zdawać sprawę z tego, że jeżeli nasza strona nie jest dostatecznie zabezpieczona, wraz z włamaniem do naszego WordPressa może nastąpić przejęcie danych z innych kont (lub nawet tych kont).

Dwa dosyć często spotykane rodzaje takich wtyczek to:

  • Wtyczki do konfiguracji SMTP – jedną z najprostszych metod ich konfiguracji jest podanie danych dostępowych do konta e-mail, które będzie używane do wysyłania maili przez WordPressa. Takie wtyczki są stosowane najczęściej tam gdzie hosting nie pozwala na korzystanie z funkcji mail() w PHP. Innym powodem ich użycia jest chęć zmniejszenia ryzyka, że mail wysyłany przez WordPressa trafi do spamu.
  • Wtyczki do tworzenia kopii zapasowych. Trzymanie kopii zapasowych na tym samym serwerze to zdecydowanie zły pomysł. Dlatego wtyczki takie najczęściej proszą nas o dane dostępowe lub tokeny autoryzacyjne dla usług zewnętrznych np. Google Drive, Dropbox, FTP itd.

Najprostsze rozwiązanie problemu?

Moim zdaniem najprościej jest utworzyć osobne konta dla konkretnych potrzeb:

  • W wypadku potrzeby konfiguracji SMTP – stworzyć dedykowane temu konto e-mail. Wtedy utrata takiego konta nie będzie zbyt dotkliwa.
  • Dla kopii zapasowych najlepiej stworzyć osobne konto w jednej z usług świadczących przechowywanie danych w chmurze. Przy czym w tym wypadku warto też zadbać o odpowiednio silne hasło oraz o zastosowanie dodatkowego poziomu autoryzacji (o ile usługodawca taki oferuje).

Inne rozwiązanie to zadbanie o odpowiednie zabezpieczenie samego WordPressa – dodatkowe etapy autoryzacji, regularne aktualizacje itd. Przy czym należy pamiętać, że nieznana (nieujawniona) luka bezpieczeństwa i tak może doprowadzić do włamania na naszą stronę – właśnie dlatego posiadanie kopii zapasowych jest tak kluczowe.

Warte zapamiętania

Proponuję stosować następującą zasadę:

Wszystkie dane dostępowe podane i zapisane w opcjach konfiguracyjnych wtyczek dla  WordPressa należy traktować jako dane narażone na ujawnienie w wyniku ataku na naszą stronę.