Haben Sie sich Ihre WordPress-Site schon einmal als Festung vorgestellt, bei der Ihre Anmeldedaten der Schlüssel zum Schloss sind? Was wäre, wenn sich dieser Schlüssel in ein formwandelndes Wunder verwandeln könnte, das Eindringlinge unmöglich nachbauen könnten?
Das ist die Magie der WordPress-Salts und Sicherheitsschlüssel. Diese kryptografischen Tools fungieren als zusätzliche Schutzebene und verwandeln Ihren Anmeldevorgang in eine beeindruckende Sicherheitsbarriere gegen unbefugten Zugriff und Brute-Force-Angriffe.
Dieser umfassende Leitfaden entmystifiziert WordPress-Salts, untersucht ihre entscheidende Rolle bei der Stärkung der Abwehrmechanismen Ihrer Website und zeigt Ihnen, wie Sie ihre Leistungsfähigkeit nutzen können. Egal, ob Sie ein erfahrener Entwickler oder ein neugieriger Websitebesitzer sind, das Verständnis und die korrekte Implementierung dieser zufälligen Zeichenfolgen ist für die Aufrechterhaltung robuster Sicherheit in der sich ständig weiterentwickelnden digitalen Landschaft unerlässlich.
Was sind WordPress-Salts und -Schlüssel?
WordPress-Salts und Sicherheitsschlüssel sind kryptografische Tools, die die Sicherheit des Anmeldevorgangs Ihrer Website erhöhen. Diese zufälligen Zeichenfolgen dienen als zusätzliche Schutzebene für Benutzerkennwörter und Anmeldeinformationen.
Erstellen Sie erstaunliche Websites
Mit dem besten kostenlosen Seite Builder Elementor
Jetzt anfangenHier ist eine Aufschlüsselung ihrer wichtigsten Aspekte:
- Zufällige Zeichenfolgen: Salts und Schlüssel sind im Wesentlichen Aneinanderreihung zufälliger Zeichen.
- Befindet sich in wp-config.php: Sie sind in der Datei wp-config.php Ihrer Site definiert.
- Verbessern Sie die Kennwortsicherheit: Den Kennwort-Hashes werden Salts hinzugefügt, um sie widerstandsfähiger gegen Cracking-Versuche zu machen.
- Authentifizierungs-Cookies schützen: Schlüssel helfen dabei, die Cookies zu sichern, um Benutzersitzungen aufrechtzuerhalten.
- Für jede Site einzigartig: Jede WordPress-Installation sollte über einen eigenen, einzigartigen Satz an Salts und Schlüsseln verfügen.
- Regelmäßige Updates werden empfohlen: Durch regelmäßiges Ändern dieser Updates wird eine weitere Sicherheitsbarriere geschaffen.
Durch die Einbindung dieser Elemente erschwert WordPress nicht autorisierten Benutzern den Zugriff auf Ihre Website erheblich, selbst wenn sie auf irgendeine Weise an verschlüsselte Kennwortdaten gelangen.
WordPress Salt Keys verstehen
WordPress-Salts sind wie geheime Zutaten, die das Sicherheitsrezept Ihrer Website schwerer zu knacken machen. Stellen Sie sie sich als kryptografische Tools vor, die vertrauliche Daten, darunter auch Passwörter und Anmeldeinformationen, in ein unlesbares Buchstabengewirr umwandeln. Dieser Vorgang, Hashing genannt, ist eine wichtige Sicherheitsmaßnahme, die viele Plattformen zum Schutz von Benutzerinformationen verwenden.
Und so funktioniert es:
- Passwortschutz: Wenn Sie Ihr Passwort in das Anmeldeformular eingeben, wird es mithilfe von Salts in einen komplexen Code umgewandelt, bevor es in der Datenbank gespeichert wird. Das bedeutet, dass selbst wenn jemand einen Blick auf die Datenbank wirft, er Ihr tatsächliches Passwort nicht lesen kann.
- Cookie-Sicherheit: Salts schützen auch Ihre Browser-Cookies (diese kleinen Dateneinheiten, die sich merken, dass Sie angemeldet sind). Auch diese werden verschlüsselt, sodass es für Angreifer viel schwieriger ist, sich als Sie auszugeben und Ihre Cookie-Daten zu stehlen.
- Verbesserte Anmeldesicherheit: Mit Salts wird Ihr WordPress-Anmeldebereich zu einer Festung. Für unbefugte Benutzer ist es deutlich schwieriger, einzudringen.
- Integrierter Schutz: Die gute Nachricht ist, dass WordPress gebrauchsfertige Salts enthält. Sie finden diese in der Datei wp-config.php Ihrer Site, normalerweise im Ordner public_html. Sie sehen aus wie Zeichenfolgen aus zufälligen Zeichen, von denen jede als eindeutiger Sicherheitsschlüssel dient.
Durch die Verwendung dieser Salt-Schlüssel fügt WordPress Ihrer Site eine zusätzliche Schutzebene hinzu und macht sie so wesentlich widerstandsfähiger gegen gängige Sicherheitsbedrohungen.
Arten von WordPress-Salts
Sicherheitsschlüssel und WordPress-Salts sind eindeutige Zeichenfolgen aus zufälligen Zeichen. Ihr Benutzername und Ihr Passwort werden mithilfe dieser Zeichenfolgen gehasht, um zu verhindern, dass Hacker sie entschlüsseln. Ihre gehashten Anmeldeinformationen können nicht zum Zugriff auf Ihre Website verwendet werden, selbst wenn sie gestohlen werden. Diese Salts werden normalerweise in der Datei wp-config.php gespeichert, einer wesentlichen Komponente der WordPress-Dateistruktur.
„WordPress-Sicherheitsschlüssel“ und „WordPress-Salts“ werden häufig synonym verwendet. Die acht Zeichenfolgen sind jedoch gleich. Die vier Sicherheitsschlüssel sind AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY. Jeder Sicherheitsschlüssel hat ein passendes Salt.
Da WordPress-Salts Ihre Anmeldeinformationen schützen, ist es wichtig, sie vertraulich zu behandeln. Einige Server, wie Cloudways, ziehen es vor, sie in einer anderen wp-salt.php-Datei zu speichern, obwohl sie normalerweise in der wp-config.php-Datei gespeichert sind. Sie sollten nicht woanders gespeichert werden, unabhängig von der Datei, in der sie untergebracht sind. Aus diesem Grund können Sie bei einigen Webhostings, wie z. B. Pantheon.io, auch nicht auf sie zugreifen oder sie ändern.
Wie funktionieren WordPress-Salts?
Ein Typ von zustandslosem System ist WordPress. Dies bedeutet, dass es im Gegensatz zu bestimmten anderen Programmen keine Benutzersitzungen aufrechterhalten kann. Stattdessen verwendet es Cookies vom WordPress-Browser, um Benutzer „angemeldet“ zu halten. Daher erstellt WordPress ein Cookie, das an Ihren Browser gesendet wird, sobald Sie sich mit Ihrem Benutzernamen und Passwort angemeldet haben (und 2FA, wenn Sie es mit der Sicherheit von WordPress ernst meinen). Sie bleiben „angemeldet“, wenn Sie dieses Cookie haben und seine Anforderungen erfüllt sind.
Damit WordPress Sie identifizieren kann, muss dieses Cookie bei jeder Nutzung der Website an WordPress gesendet werden, sodass Sie sich authentifizieren müssen. WordPress verschlüsselt das im Cookie gespeicherte Passwort, um sicherzustellen, dass die Daten so sicher wie möglich bleiben. Salts sind in dieser Situation nützlich.
WordPress Cookies
Obwohl es den Rahmen dieses Artikels sprengen würde, näher auf die Besonderheiten von WordPress-Cookies einzugehen, lohnt sich ein kurzer Exkurs zu Salts und Cookies.
Denken Sie daran, dass Cookies Textdateien sind, die im Browser des WordPress-Benutzers gespeichert werden. Sie liefern WordPress wichtige Informationen, wie etwa die Identität des Benutzers und ob er angemeldet ist.
- WordPress_logged_in_[hash]: WordPress verwendet das Cookie, um festzustellen, ob Sie angemeldet sind. Zum Hashen dieses Cookies werden der Schlüssel LOGGED_IN_KEY und das Salt LOGGED_IN_SALT verwendet. Im folgenden Teil werden wir näher darauf eingehen.
- WordPress_[hash]: Mit diesem Cookie können Sie die WordPress-Website ändern. Es wird auf den Administratorseiten verwendet. Wenn SSL/TLS verwendet wird, werden der Schlüssel SECURE_AUTH_KEY und das Salt SERCURE_AUTH_SALT zum Hashen dieses Cookies verwendet. Wenn SSL/TLS nicht verwendet wird, werden der Schlüssel AUTH_KEY und das Salt AUTH_SALT verwendet.
Gesalzene Kekse
Einfach ausgedrückt werden Salts zum Hashen privater Daten wie Ihrer Cookie-Anmeldeinformationen verwendet. Aus diesem Grund ist es nahezu unmöglich, das Passwort zu lesen, wenn das Cookie gestohlen wird.
Beachten Sie, dass Salts und Schlüssel nur mit Standard-WordPress-Browsersitzungen kompatibel sind. Daten werden nicht mit WordPress-Salts gehasht, wenn Sie PHP-Sitzungen verwenden, was aus mehreren Gründen nicht empfohlen wird.
Wie bereits erwähnt, ist diese Methode nicht fehlerfrei. Wenn ein Cookie gestohlen wird, kann die Person, die es hat, die Kontrolle über die Sitzung übernehmen und die WordPress-Website an Ihrer Stelle verwenden. Ja, aus WordPress-Sicht wären das Sie.
Obwohl Salts und Schlüssel bei der Installation von WordPress automatisch erstellt werden, können sie jederzeit geändert werden. Wir besprechen, wie man sie ändert und wo man nach ihnen sucht.
So ändern Sie Ihre WordPress-Salts (zwei Methoden)
Gelegentlich müssen Sie WordPress-Salts selbst erstellen. In anderen Situationen sind die Sicherheitsschlüssel vordefiniert. Untersuchen Sie Ihre Situation und legen Sie sie, falls die Salt-Schlüssel fehlen, mit den folgenden einfachen Schritten fest:
Manuelle Methoden
Sie müssen einen geheimen Schlüssel erstellen, um dies manuell zu tun. Mit dem in WordPress integrierten Zufallsschlüsselgenerator können Sie dies innerhalb der Plattform tun. Verwenden Sie diese Methode, anstatt Ihren eigenen geheimen Schlüssel zu erstellen, da die Zeichen schwerer zu knacken sind. Es ist keine Zeitverschwendung, da es nur wenige Sekunden dauert.
Rufen Sie als Nächstes die Liste ab, indem Sie in WordPress zum Secret Key Service gehen. Es handelt sich um eine Liste mit Salt-Schlüsseln und Ersatzschlüsseln. So sollte sie aussehen:
Die nächsten Schritte sind das Kopieren dieser WordPress-Salts und das Starten Ihres FTP-Clients. Um Änderungen vorzunehmen, klicken Sie mit der rechten Maustaste auf die Datei wp-config.php im Stammordner Ihrer Website. Suchen Sie nach der Zeile „Eindeutige Authentifizierungsschlüssel und -Salts“ und ersetzen Sie die gerade kopierten WordPress-Salts durch alles, was Sie in diesem Abschnitt finden. Denken Sie daran, die Datei wieder auf den Server hochzuladen und die Änderungen zu speichern. Der einfachste Weg, Ihre Website sicher zu halten, besteht darin, dies alle drei bis sechs Monate zu tun. Verwenden Sie zum Erstellen Ihrer Schlüssel immer den Secret-Key-Dienst von WordPress.org .
Plugin verwenden
Wenn Ihnen die vorherigen Verfahren zu kompliziert erscheinen, können Sie ein Plugin verwenden, das einen einfacheren Ansatz bietet. Ein kostenloses Plugin namens Salt Shaker automatisiert alle oben beschriebenen Schritte. Es muss nur heruntergeladen und aktiviert werden. Durch die Verwendung eines Plugins wird eine zusätzliche Funktion bereitgestellt, die bei manuellen Änderungen nicht verfügbar ist. Sie können einige Ihrer Verpflichtungen beseitigen, indem Sie Salt Shaker verwenden, um zu planen, wann Ihre WordPress-Salts angepasst werden sollen. Denken Sie daran, dass Sie und alle anderen Website-Benutzer sich jedes Mal, wenn Sie die WordPress-Salts ändern, erneut über die WordPress-Anmeldeseite anmelden müssen.
Abschluss
Einer der wichtigsten Aspekte bei der Aufrechterhaltung einer sicheren WordPress-Website besteht darin, Ihre Salts und Sicherheitsschlüssel zu kennen und zu kontrollieren. Wenn Sie diese empfohlenen Vorgehensweisen befolgen, sind Sie auf dem besten Weg, Ihre Website vor möglichen Gefahren wie Cookie-Hijacking und illegalem Zugriff zu schützen.
Um die Sicherheit Ihrer Website weiter zu verbessern, denken Sie daran, Ihre Salts und Schlüssel regelmäßig zu ersetzen. Und um unerwünschten Zugriff zu vermeiden, halten Sie sie immer geheim!
Häufig gestellte Fragen (FAQ)
1. Was sind WordPress-Salts?
Antwort: WordPress-Salts sind zufällige Zeichenfolgen, die zum Sichern von Benutzeranmeldeinformationen verwendet werden. Sie erstellen kryptografische Hashes von Benutzernamen und Passwörtern und erhöhen so die Sicherheit.
2. Warum werden sie von WordPress „Salts“ genannt?
Antwort: Ein „Salt“ sind zufällige Daten, die in der Kryptografie vor der Verschlüsselung hinzugefügt werden. WordPress-Sicherheitsschlüssel funktionieren auf diese Weise, daher der Name „Salts“.
3. Warum sollte ich die Salt-Schlüssel in WordPress ändern?
Antwort: Ändern Sie WordPress-Salts nach einer Sicherheitsverletzung. Wenn Hacker auf Ihre wp-config.php-Datei zugreifen, könnten sie möglicherweise Passwörter knacken. Das Ändern von Salts hilft, unbefugten Zugriff zu verhindern.
Wie ändere ich das Salt in WordPress?
Antwort: Drei Methoden zum Ändern von WordPress-Salts:
- Manuelles Bearbeiten von wp-config.php oder wp-salt.php
- Verwenden Sie ein Sicherheits-Plugin mit Härtungsfunktionen
- Verwenden Sie das Salt Shaker-Plugin
