Was sind WordPress Sicherheitsschlüssel?

von

am

|

geschätzte Lesezeit:

5 Minuten

Disclaimer: Dieser Beitrag ist älter als zwei Jahre. Es könnte also sein, dass auch sein Inhalt in Teilen bereits veraltet ist.

WordPress Sicherheitsschlüssel
Wohnung, Büro, Briefkasten und Keller schließen Sie doch auch ab, oder?

Vielleicht sind Sie schon mal über den Begriff der WordPress Sicherheitsschlüssel gestolpert und haben sich dabei gefragt, wozu die gut sein sollen. Oder wo Sie diese Security Keys überhaupt finden können, wenn Sie sie ändern wollten. Dabei haben Sie, wenn Sie Ihr WordPress selbst installiert haben, diese Sicherheitsschlüssel schon vergeben. Sie haben es nur nicht unbedingt direkt gemerkt.

Was können WordPress Sicherheitsschlüssel?

WordPress Sicherheitsschlüssel tragen dazu bei, dass es Angreifer bei dem Versuch, Ihr System zu manipulieren, erheblich schwerer haben. Nötig sind diese Security Keys für die Verschlüsselung der sogenannten Cookies, also jener kleinen Hilfsdateien, die Ihr Browser bei der Nutzung des Backend Ihrer WordPress Website braucht.

Wo sind die Sicherheitsschlüssel hinterlegt?

Die WordPress Sicherheitsschlüssel stehen in der Datei wp-config.php, also in jener zentralen WordPress Datei, die Sie bei der Installation von WordPress erstellt haben. Bei der Installation forderte WordPress Sie auf, die Zugangsdaten Ihrer Datenbank zu hinterlegen, also den Namen Ihrer Datenbank, Ihren Benutzername, das Passwort, den Datenbankhost und das Tabellen-Präfix. Diese Angaben hat WordPress dann in die wp-config.php geschrieben. Bei dem folgenden Installationsvorgang hat WordPress dann auch selbst die Sicherheitsschlüssel vergeben.

Wenn Sie WordPress manuell installiert haben, haben Sie die Angaben vor dem Hochladen aller WordPress Dateien in der Datei wp-config-sample.php eingetragen. Dabei ist Ihnen vielleicht aufgefallen, dass in der wp-config-sample.php die Sicherheitsschlüssel noch fehlen. Stattdessen gibt es hier nur acht Platzhalter:

define('AUTH_KEY',         'Füge hier deine Zeichenkette ein');
define('SECURE_AUTH_KEY',  'Füge hier deine Zeichenkette ein');
define('LOGGED_IN_KEY',    'Füge hier deine Zeichenkette ein');
define('NONCE_KEY',        'Füge hier deine Zeichenkette ein');
define('AUTH_SALT',        'Füge hier deine Zeichenkette ein');
define('SECURE_AUTH_SALT', 'Füge hier deine Zeichenkette ein');
define('LOGGED_IN_SALT',   'Füge hier deine Zeichenkette ein');
define('NONCE_SALT',       'Füge hier deine Zeichenkette ein');

Bei der Installation geneniert WordPress die Zeichenketten und trägt sie selbst ein, sodass sie nun in der wp-config.php stehen und zum Beispiel so aussehen können:

define('AUTH_KEY',         ':<<_0c9sSozt|An]KG%e*3nM|j-ZUlM[7OU;B-SfhZ*+QHm|z_5%mU0J,<YVyq@u');
define('SECURE_AUTH_KEY',       '8L__/.(Z|zNJG4hgm_Qzw%KA(?5Bxp]:vw.+7pSOZ[i&DGk.=hdU<-a5LrsfM67a');
define('LOGGED_IN_KEY',            '|n@[9EX]P#v.Y6NCBLrVxI~0iRTGvo CHWR;$= Ol,@4u|m`ZlAzxYWzSI(OyzTA');
define('NONCE_KEY',      'WoiQ|c/#oj<6geyD;3+ vPh){LBSM+[j?1]N/x*D1&^<L,-U)-1/+Qw69FO3W&ch');
define('AUTH_SALT',       'GS.WX$4?_++PCfrjem[K?ivbH23Wh2!Q$UPu8QQ[%2O??+uQ%4Rj2X4/yA,DguUc');
define('SECURE_AUTH_SALT',     '>D.2%{31[yh[ZQWt]wQX<HzJB$+/sY-8&b[iJsUai6Si:}4R}96+&M0%1?O<Ecfw');
define('LOGGED_IN_SALT',          'eUO9K<ZH`7Xv2P_aK3^)I=.kn}s{6-=/n;T@q caC10yk47NL?{||j_}?_IU;C]3');
define('NONCE_SALT',                  'loH$.9Iz5CiI&7-<*B;c8%x!7>~J_c5iPCDwURRHPMu7u~R2rf{qB+V=96&++8JM');

Wichtig: Die hier angezeigten Werte NICHT für Ihre Installation übernehmen! Generieren Sie bitte Ihre eigenen!

WordPress Sicherheitsschlüssel nachträglich erstellen oder ändern

Die Sicherheitsschlüssel sind erst 2008 mit der WordPress Version 2.5 eingeführt und bei den folgenden Versionen schließlich erweitert worden. Es ist also durchaus möglich, dass es noch ältere WordPress Installationen gibt, die ohne diese Sicherung arbeiten. Sie können diese Schlüssel aber auch nachträglich erstellen und in Ihre wp-config.php eintragen oder die vorhandenen ändern. Die Änderung kann zum Beispiel nötig sein, wenn Sie das Gefühl haben oder wissen, dass Ihre WordPress Installation gehackt wurde.

Erstellen können Sie die acht Sicherheitsschlüssel per Klick auf den Link: https://api.wordpress.org/secret-key/1.1/salt/ Sollten Ihnen die dann angezeigten Zeichenketten nicht gefallen: Jedes Aktualisieren dieser Seite generiert neue Zeichenketten.

Wo finde ich die Datei wp-config.php?

Die Datei wp-config.php befindet sich im Stammverzeichnis Ihrer WordPress Installation. Darauf erhalten Sie in Ihrem Backend keinen Zugriff. Dafür benötigen Sie ein sogenanntes FTP-Programm (File Transfer Programm) wie Filezilla. Sobald Sie Ihre FTP-Zugangsdaten eingegeben haben, können Sie direkt auf Ihren Server zugreifen. Nun suchen Sie sich Ihr wordpress-Verzeichnis. Sie erkennen das Stammverzeichnis daran, dass sich hier unter anderem die drei zentralen Unterverzeichnisse wp-admin, wp-includes und wp-content befinden.

Am besten laden Sie sich diese wp-config.php auf Ihre Festplatte herunter, bevor Sie mit der Bearbeitung beginnen. Dort öffnen Sie die Datei mit einem einfachen Texteditor. Auf keinen Fall sollten Sie hierfür das ein Textverarbeitungsprogramm wie WORD benutzen, denn das kann Formate produzieren, die später für Probleme sorgen. Nun ersetzen Sie die vorhandenen acht Sicherheitsschlüssel durch die neuen, die Sie sich zuvor haben generieren lassen. Speichern Sie Ihre Änderungen ab und laden Sie die Datei anschließend wieder auf den Server. Dabei bestätigen Sie dabei das Überschreiben der vorhandenen Datei.

Sollten Sie währenddessen noch für Ihr Backend angemeldet gewesen sein, wird WordPress Sie dort rausschmeißen. In diesem Fall müssen sich neu anmelden. Darüber hinaus werden Sie im Backend keine Veränderung merken – und doch haben Sie mit dieser kleinen Änderung zur Sicherheit Ihrer WordPress Website beigetragen.


Beitragsbild: Britta Kretschmer

Schreibe einen Kommentar

Die im Rahmen der Kommentare angegebenen Daten werden von mir dauerhaft gespeichert. Cookies speichere ich nicht. Für weitere Informationen siehe bitte meine Datenschutzerklärung.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert