19.Juni, 2009

Sicherheitsschlüssel in der Datei wp-config.php

Sobald man sich in WordPress einloggt, werden durch Cookies verschiedene Informationen im Browser zwischengelagert. Die Sicherheitsschlüssel spielen bei der Verschlüsselung der Informationen, die in den Cookies abgelegt werden, eine wichtige Rolle. Sie sorgen dafür, dass Manipulationen seitens eines Angreifers erheblich erschwert werden und tragen damit zu einer höheren Sicherheit bei.

Mit Version 2.5 wurde in WordPress erstmals ein Sicherheitsschlüssel (SECRET_KEY) eingeführt. Dieser wurde ab Version 2.6 durch drei andere Schlüssel (AUTH_KEY, SECURE_AUTH_KEY und LOGGED_IN_KEY) ersetzt und mit Version 2.7 kam schlussendlich ein weiterer Schlüssel (NONCE_KEY) hinzu.

Diese Sicherheitsschlüssel müssen in der Konfigurationsdatei wp-config.php eingetragen werden. Bei einer Neuinstallation wird man derzeit noch nicht aufgefordert diese Schlüssel anzugeben – an keiner Stelle des Installationsvorgangs wird man über die Sicherheitsschlüssel informiert und lediglich im Quelltext der Datei wp-config-sample.php (bzw. wp-config.php) gibt es einen Hinweis. Auch bei einer Aktualisierung wird nicht überprüft ob die Sicherheitsschlüssel vorhanden sind.

Wie trägt man die Sicherheitsschlüssel ein?

Die Schlüssel sind schnell eingetragen und wir empfehlen dies allen Anwendern ganz ausdrücklich.

1.) hole Dir via FTP die Datei wp-config.php auf Deinen Rechner und öffne sie mit einem Texteditor.

2.) in der Datei findest Du die folgenden vier Zeilen*:

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');

* Solltest Du schon seit einer frühen Version WordPress installiert haben sind in Deiner wp-config.php-Datei – je nach verwendeter Version – entweder kein, einer oder drei Schlüssel vorhanden.

3.) gehe in Deinem Browser auf die folgende Seite: http://api.wordpress.org/secret-key/1.1/ – dort werden Dir vier zufällige Sicherheitsschlüssel generiert. Diese Schlüssel werden bei jedem Seitenaufruf neu generiert, sind also immer einzigartig. Kopiere diese vier Zeilen und ersetzte die entsprechenden Zeilen in Deiner geöffneten wp-config.php Datei.

4.) lade die Datei via FTP in Dein WordPress-Verzeichnis …und fertig!

In der Version von de.wordpress.org wurde es zum wiederholten Male versäumt in der wp-config-Datei alle Schlüssel vorzubereiten! Für Nutzer dieser Version gilt natürlich auch alles vorher genannte.

Dieser Beitrag wurde am 19. Juni 2009 um 23:40 von Olaf in der Rubrik Links, News, Tutorials abgelegt. Dieser Beitrag wurde 5638 mal aufgerufen. Neue Kommentare via RSS 2.0 - Trackback URI

5 Trackbacks

1. t3n-Linktipps: Infografiken, Mobile Payment, Songbird 1.2, WordPress-Sicherheitsschlüssel und DRM-Probleme beim Kindle » t3n Magazin am 22. Juni 2009
   
2. WP 2.8: Freier Eintritt für alle » Suchmaschinenoptimierung & Marketing | Seo-news.at am 20. Juni 2009
   
3. Der WP Top Secret-Key | funkygog Blog am 20. Juni 2009
   
4. Konfigurationsmöglichkeiten in der wp-config.php - Beitrag, „WordPress, Configuration, Tricks“, Konfigurationen, Menge - WordPress Deutschland Blog am 30. Juni 2009
   
5. Diese Tipps machen Dein WordPress sicherer > How To für Blogger > WordPress, Sicherheit, Sicherheits-Plugins, Plugins am 8. Februar 2010
   

17 Kommentare | Kommentar schreiben

1. #1 KChristoph
   20. Juni 2009 um 07:40

   Ein Autodidakt sagt: “Ja, das ist mir schon ein paar Mal aufgefallen, anfangen konnte ich damit nichts. Mit diesen Hinweisen kann ich anfangen es zu verstehen …” – Dankeschön – Am Rande: http://LoeschenStattSperren – Heute bundesweite Demos !

2. #2 LeSpocky
   20. Juni 2009 um 11:06

   3.) gehe in Deinem Browser auf die folgende Seite: http://api.wordpress.org/secret-key/1.1/ – dort werden Dir vier zufällige Sicherheitsschlüssel generiert. Diese Schlüssel werden bei jedem Seitenaufruf neu generiert, sind also immer einzigartig. Kopiere diese vier Zeilen und ersetzte die entsprechenden Zeilen in Deiner geöffneten wp-config.php Datei.

   Das ist für den DAU sicher einfach. Aber es ist grundsätzlich ein Sicherherheitsrisiko sich Krypto-Keys von jemand anderem generieren zu lassen. Dreimal mit dem Kopf auf die Tastatur fallen ist in jedem Fall sicherer, als auf eine Seite, so vertrauenswürdig die auch aussehen mag, zu gehen und da irgendwelche Keys abzutippen. Ich hatte das bereits bei der Einführung dieser Schlüssel in meinem Blog erwähnt: Keys für Upgrade auf WordPress 2.6. Es ist schön, dass Ihr an der Sicherheit für WordPress arbeitet und wie Ihr richtig sagt, normalerweise müsste der Installer das abfragen oder es müsste beim Upgrade gefragt werden. Dennoch halte ich nicht viel davon, hier Tipps zu geben, die in Bezug auf Sicherheit fragwürdig sind.

3. #3 Dennis Morhardt
   20. Juni 2009 um 12:44

   Es ist irrelevant woher die generierten Keys kommen. Du kannst du natürlich auch die selber erstellen, aber dieser Generator vermindert nicht die Sicherheit deiner WordPress-Installation, daher ist dieser Artikel auch nicht fragwürdig. Ich bitte dich, wenn du schon in den Artikel in Frage stellst, auch zu sagen, was falsch ist.

4. #4 NewsShit!
   20. Juni 2009 um 13:03

   Man KÖNNTE natürlich einfach davon ausgehen, der Generator gibt lediglich 20 Kombinationen immer wieder aus und hat somit ein recht kurzes Brute-Force-Wörterbuch für den Angreifer.

   Wie gesagt: KÖNNTE man. :-)

5. #5 Dennis Morhardt
   20. Juni 2009 um 13:14

   @NewsShit Hast du einen Link…?

6. #6 LeSpocky
   20. Juni 2009 um 13:39

   Es ist irrelevant woher die generierten Keys kommen.

   Nein, ist es nicht. Bei jeder Quelle, die ich nicht selbst kontrollieren kann, kann ich nicht sicher sein, ob die Keys wirklich zufällig sind oder ob die in irgendeiner Form manipuliert wurden, ob es – wie #4 sagte – nur eine begrenzte Anzahl gibt, ob die aufgezeichnet werden und derlei Dinge.

   Damit stelle ich nicht den Artikel als ganzen in Frage – der ist schon berechtigt – sondern nur den Punkt 3, der den Nutzer anweist seine Keys auf irgendeinem Server im Netz generieren zu lassen. Nenn das ruhig paranoid, aber ich halte das für ein Sicherheitsproblem.

7. #7 Robert
   20. Juni 2009 um 14:44

   Nunja. Die Seite ist auf api.wordpress.org, das ist etwas mehr als “irgendein” Server. Wenn Automattic gerne die Blogs ihrer Anwender hacken wollte, gäbe es sehr viel effizientere Methoden dafür. Von der gleichen Hauptdomain laden wir uns WordPress herunter. Dabei wird wohl keiner den Quellcode überprüfen, ob an irgendeiner Stelle Daten, Passwörter, Dateien etc. verschickt werden oder neue Dateien angelegt werden, mit denen die Kontrolle übernommen werden kann.

   Mit diesen Keys allein können sie sich ja nicht einloggen. Zudem gibt man nirgendwo bei der Generierung die URL zu seinem Blog an. Selbst wenn immer die gleichen Keys generiert würden, wäre die Sicherheit in diesem Punkt wieder mindestens so gut wie vor Version 2.5.

8. #8 gthr
   20. Juni 2009 um 14:57

   Jetzt einmal praktisch – damit alle beruhigt schlafen können:

   KANN ich gefahrlos diese Schlüssel jederzeit ändern?

9. #9 Dennis Morhardt
   20. Juni 2009 um 15:01

   @ghtr: Ja, du kannst jederzeit die Schlüssel ohne Probleme ändern. Beachte dass du dich dann aber neu einloggen musst.

10. #10 gthr
    20. Juni 2009 um 15:35

    Also ich werde dann so behandelt, als hätte ich mein Passwort vergessen, richtig?

    Also das kann man ja dann im Dashboard wieder richtig stellen …

11. #11 Roul
    20. Juni 2009 um 15:38

    Eigentlich schon traurig das auf diese Sicherheitseinstellung nicht exlipzierter eingegangen wird. Es ist wie man hier ja auch oben lesen kann für fast jeden ohne Probleme realisierbar die Sicherheitsschlüssel mal eben ein zu tragen.

12. #12 Tom
    20. Juni 2009 um 18:46

    @gthr: du brauchst keine neues Passwort einstellen. Du wirst so “behandelt” als hättest du dich einfach noch nicht eingeloggt. Wirst also zur Anmeldeseite umgeleitet.

13. #13 Markus
    21. Juni 2009 um 12:11

    sicherheit sollte immer an erster stelle stehen und deshalb find ich es auch schade das da bisher nicht wirklich näher eingegangen wurde. ich möchte gar nicht wissen, wieviel wp installationen ohne diese keys laufen.

14. #14 gthr
    21. Juni 2009 um 12:51

    @ Dennis Morhardt und Tom: Dann können wir Sicherheitsfetischisten ja ALLE ganz ruhig schlafen. Danke.

    @ Markus: Ich hatte im Forum schon einmal um ein “Sicherheitsforum” angefragt, aber – mit Hinweis auf die rechtlichen Probleme – wird das wohl nur Moderatoren-intern diskutiert. Bedarf dafür sieht aber eben auch Jede(r) hier spätestens, wenn z.B. wie bei mir geschehen der Provider alle Kunden anschreibt und vor iFrame-Schadcode warnen muss …

15. #15 nastorseriessix
    22. Juni 2009 um 10:00

    Ich verstehe immer noch nicht wofür das gut ist oder gut sein soll. Entweder bin ich zu blöd dazu um das zu begreifen oder ich bin noch nicht wach genug dafür. Oder es wurde für mich zumindest nicht ausreichend erklärt. *hmpf*

16. #16 Monika
    22. Juni 2009 um 13:08

    nastorseriessix

    mit diesen Schlüsseln ist es um einiges schwerer Deinen Blog zu hacken – Einbrecher haben ein paar Hindernisse mehr, wie ne Sicherheitshaustür- sie ist nicht unknackbar, aber es dauert und dauert und dauert –wers nicht hat und gehackt wird -is ein bisserl selber schuld

    ;)

    lg

17. #17 Keiran
    27. Juni 2009 um 21:34

    Da mag ich gerne auch einhaken und würde mich freuen, wenn jemand kurz erläutert, wie genau diese Sicherheit funktioniert.

    Ich meine: ich habe auch Schlüssel eingetragen, und sehe ein, dass Hacker damit ein Hindernis haben – aber wie genau macht sich das bemerkbar? Beeinflusst es das bloggen, den Editor, den Server – wo genau in WordPress arbeiten die Schlüssel nachdem man diese eingetragen hat?

    Und was hat das ganze mit Cookies zu tun?

Dein Kommentar »