Schnell, einfach & sicher:
WordPress Sicherheitsschlüssel in der Datei wp-config.php anlegen
Wozu dienen die Sicherheitsschlüssel in WordPress?
Beim Loggin-Prozess werden verschiedene Informationen mittels Cookies in einem Browser zwischengelagert. Sicherheitsschlüssel dienen der Verschlüsselung der in den Cookies abgelegten Informationen. Manipulationen seitens eines Angreifers werden so ganz erheblich erschwert.
Die Sicherheitsschlüssel in WordPress sollten also unbedingt aktiviert werden. Augenblicklich existiert noch keine automatische Aufforderung an den WordPress-Nutzer, diese Sicherheitsschlüssel zu aktivieren.
Welche Sicherheitschlüssel gibt es?
define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); define('AUTH_SALT', 'put your unique phrase here'); define('SECURE_AUTH_SALT', 'put your unique phrase here'); define('LOGGED_IN_SALT', 'put your unique phrase here'); define('NONCE_SALT', 'put your unique phrase here');/pre>
Wo trägt man die Sicherheitsschlüssel ein?
Sicherheitsschlüssel für WordPress werden in der Konfigurationsdatei wp-config.php eingetragen werden. Bedauerlicherweise wird bei einer Neuinstallation noch nicht aufgefordert, diese Schlüssel anzugeben. Zudem wird man in keiner Phase des Installationsvorgangs über die Sicherheitsschlüssel informiert.
Allerdings wird man im Quelltext der Datei wp-config-sample.php (bzw. wp-config.php) fündig. Das Eintragen der Sicherheitsschlüssel in WordPress gestaltet sich gänzlich unproblematisch:
- Via FTP laden Sie die Datei wp-config-sample.php (bzw. wp-config.php) auf Ihren Rechner und öffnen diese mit einem Editor.
- An den oben aufgeführten gekennzeichneten 8 Stellen ersetzen Sie: ‚put your unique phrase here‘ mit einem individuellen Sicherheitsschlüssel 8 (Wo Sie diese erhalten, erfahren Sie im nächsten Abschnitt).
- Speichern Sie die wp-config.php (bzw. wp-config-sample.php) Datei als wp-config.php viaFTP zurück auf dem FTP-Server.
Wo sind die Sicherheitsschlüssel erhältlich?
Die Sicherheitsschlüssel kann man sich auf folgender Website per Zufallsgenerator – also individuell – erzeugen lassen:
>>https://api.wordpress.org/secret-key/1.1/
Selbstverständlich werden diese Sicherheitsschlüssel bei jedem Aufruf neu generiert, sie sind also immer einzigartig. Kopieren Sie die frisch generierten WordPress Sicherheitsschlüssel und speichern Sie sie in Ihrer wp-config.php.
Der entsprechende Eintrag in Ihrer wp-config.php sieht dann in etwa so aus:
/**#@+ * Sicherheitsschlüssel * * Ändere jeden KEY in eine beliebige, möglichst einzigartige Phrase. * Auf der Seite {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service} kannst du dir alle KEYS generieren lassen. * Bitte trage füge jeden KEY eine eigene Phrase ein. Du kannst die Schlüssel jederzeit wieder 鋘dern, alle angemeldeten Benutzer müssen sich danach erneut anmelden. * * @seit 2.6.0 */ define('AUTH_KEY', 'mBSE8u)!;{ 0eRN@F9w.P&KP9y)r7<q1,yr]m&+7_[lcrzS1}s-qkl9^FJ75&9mE'); define('SECURE_AUTH_KEY', '^`>>:g-urji$`pn/-E4<F_]>YJq#,LgE%w2rD=Z*MM/Ww@dx%cT%i1_qGtRS)EE~'); define('LOGGED_IN_KEY', 'th:Q[;Nqg|ti%7}K9i2~T,R~]bO8e|QU?^@X0=gcv}3=h~^[d9.f1a|_b?sb{+#('); define('NONCE_KEY', '|e7(hO:,gSvHMA`,rWib{IVk{QF-hhb;HO%f8:n c/IXhX4*,0znJrDx~bI)*~WM'); define('AUTH_SALT', '`srXh&J6qhhV%/m4K8lE,W1:=C0xnV%OF@jhtaoNV#bc/s}_C;6PB@V/5+Z-pLD('); define('SECURE_AUTH_SALT', 'oPM+|#~;iU?U)|~C.~OnHFA:pWg+HD`U|Y|a<lC3=e|<r=|e*.Y%l)tk~|;/N]kZ'); define('LOGGED_IN_SALT', '0$slq %(i/w5cYu}X{AFT|?>V-F3R|3jJ *&%|#9X*f0j.1Quwi^6q_9ZPBByi+S'); define('NONCE_SALT', '82a$`KrGZuC0 h2kM?%Va<A;v&NKHL/pYeRv&=dbE[{Zs|X1tpU|0{6{{~<,l2t5');
Durch diese sehr einfache Maßnahme haben Sie die Sicherheit Ihrer WordPress Installation ganz erheblich erhöht. Ab sofort ist Ihr WordPress Login verschlüsselt.
Diese sehr komplexen Schlüssel müssen Sie sich selbstverständlich nicht merken. Eine einfachere oder kürzere Kombination ist also unnötig und absolut nicht empfehlenswert, was natürlich auch für das schlichte kopieren der Kombinationen im oben genannten Beispiel gilt 😉
Viel Erfolg.
[…] Du nun wissen möchtest, wie man diesen Schlüssel in die Konfigurationsdatei deiner WordPress Webseite einbaut, kann ich dir den Blogeintrag von Art-Supplies nahe legen. Dort steht in einer Schritt für Schritt […]
Danke für die gute Anleitung!
Jetzt hab ich’s gepeilt!
Hallo Ben,
Super, dass der Artikel Dir weiterhelfen konnte.
Thorsten
Das sollte ich mal auch machen und bisher kümmerte ich mich nicht darum, in Hoffnung, dass nichts passiert.
Ich habe ja mehrere WordPress-Blogs und müsste dafür mal eine Stunde Arbeit aufbringen oder so ähnlich. Letztendlich, wenn es der besseren Sicherheit dienen soll, wäre ich damit einverstanden und würde meine Zeit dafür opfern :).
Hallo Alex,
Oh ja! Die Zeit solltest Du unbedingt aufbringen. Auch und gerade wenn Du mehrere WordPress Blogs betreibst, solltest Du etwas Zeit in die Absicherung investieren.
Ich habe in meinem Blog einige Artikel zum Thema WordPress Sicherheit veröffentlicht.
Ganz besonders empfehle ich Dir, die Adminstrationsbereiche mit Hilfe der .htaccess Datei zu schützen:
https://blog.art-supplies.de/htaccess-datei/
Auch das ist nicht soviel Aufwand. Ja – natürlich beansprucht es etwas Zeit & Mühe. Aber Du wirst deutlich mehr Zeit aufbringen müssen, sollten Deine Seiten gehackt werden.
Grüße aus Hamburg,
Thorsten