Хранение данных
| Данные | Защита |
|---|
| SSH-credentials | Шифрование AES-256-GCM |
| Пароли БД | Шифрование AES-256-GCM |
| Пароли пользователей | Хеширование Argon2 |
Аутентификация
- JWT для сессий.
- Защита от replay-атак для Telegram-авторизации.
- Google и Telegram OAuth с защитой от автозахвата аккаунта по email.
SSH
- TOFU host key — фиксация отпечатка при первом подключении, предупреждение при его изменении (защита от MITM).
Git
- Секреты (
wp-config.php, .env, .htaccess) никогда не попадают в репозиторий при reverse push — вырезаются автоматически.
Hosted Database
- Доступ по сильному паролю + SSL.
- Опциональный IP whitelist.
- Возможность поставить базу на паузу (
ACCOUNT LOCK).
Ограничение ввода
| Механизм | Защита |
|---|
| wp-cli терминал | Строгий белый список команд, валидация аргументов на сервере |
| Custom SQL | Только SELECT, блокировка DML/DDL и множественных запросов |
| Файловый менеджер | Запрет path traversal, защищённые файлы, белый список расширений |
| Валидация DTO | class-validator на всех входных данных |
Разделение прав
Ролевой доступ к каждому ресурсу (RBAC). Передача доступа коллеге или заказчику — без передачи пароля от сервера.