在Wordpress中将单个Cloudflare帐户与带有可见API密钥的WP Super缓存一起使用

Question

我们开始在几个Wordpress客户帐户上使用Cloudflare，并在CDN设置中注意到我的电子邮件地址和API密钥对客户可见。

这是潜在的安全问题，其他人可以看到我的Cloudlflare电子邮件地址和API密钥吗？每个客户帐户应该使用1个Cloudflare帐户吗？

这是一个屏幕截图（我已经模糊了API密钥并删除了控制台中的电子邮件输入框），但是客户都可以看到这两个值。

他们可以用这两个数据做什么最坏的事情？

Answer 1

您必须使用令牌而不是全局 api 密钥。您仅将令牌严格限制在某些区域

这只不能解决问题，您必须手动修改 wp Fastest 缓存插件来修改请求以匹配 API 令牌的使用。请求可以在以下位置找到：inc\cdn.php

修改后的文件： https://gist.github.com/ahmed-abdelazim/7c8170f7fc4e821c6b015d770fcbf14a

所以

                $header = array("method" => "DELETE",
                                'headers' => array(
                                                "X-Auth-Email" => $email,
                                                "X-Auth-Key" => $key,
                                                "Content-Type" => "application/json"
                                                ),
                                "body" => '{"purge_everything":true}'
                                );

被转换为

                $header = array("method" => "DELETE",
                                'headers' => array(
                                                //"X-Auth-Email" => $email,
                                                "Authorization" => "Bearer ".$key,
                                                "Content-Type" => "application/json"
                                                ),
                                "body" => '{"purge_everything":true}'
                                );

这在 cdn.php 文件的插件中发生了五次