Neue Schlüssel ab WordPress 3.0 für die Konfiguration
Mit WordPress 3.0 werden WordPress µ und WordPress eine Applikation, ein großer und wichtiger Schritt. In diesem Zusammenhang wird es vier weitere Schlüssel geben, die man in der wp-config.php ablegen sollte. Dies kann man jetzt schon tun, sie haben keinen Nachteil und werden so nicht vergessen.
Mit Hilfe des Services, der aktuell unter der URL https://api.wordpress.org/secret-key/1.1/salt/ zu erreichen ist, kann man sich 8 neue Schlüssel erstellen lassen und nutzt diese bzw. auch nur die letzten vier. Die neue Schlüssel sind vorrangig für die Multiuser-Funktionalität und werden klassisch wenig genutzt – ein Nachteil sind sie aber nicht und werden auch in der Funktion wp_salt() genutzt, die sich um die Sicherheit kümmert und diverse Hashes erstellt.
define('AUTH_KEY', 'xxx');
define('SECURE_AUTH_KEY', 'xxx');
define('LOGGED_IN_KEY', 'xxx');
define('NONCE_KEY', ' xxx');
// die neuen Schlüssel
define('AUTH_SALT', 'xxx');
define('SECURE_AUTH_SALT', 'xxx');
define('LOGGED_IN_SALT', 'xxx');
define('NONCE_SALT', 'xxx');
Dieser Beitrag wurde am 29. April 2010 um 10:45 von Frank Bültge in der Rubrik News abgelegt.
Dieser Beitrag wurde 5068 mal aufgerufen. Neue Kommentare via RSS 2.0 
-
Trackback URI
29. April 2010 um 11:56
kann man in einer laufenden Installation ALLE Schlüssel austauschen, oder muss man die bisherigen beibehalten und um die neuen ergänzen?
29. April 2010 um 15:52
Mich würde mal interessieren ob man die Schlüssel später auch noch austauschen kann. Also nehmen wir mal an ich hab meine 8 Schlüssel schon ne weile genutzt und tausche sie dann aus.
Bei den “*_KEY” sollte das ja eigentlich kein Problem sein (oder?). Aber wie ist das bei den “*_SALT” Schlüsseln. Werden damit auch Passwörter in der DB gesalzen?
29. April 2010 um 19:30
Wird es denn Probleme bzw. Fehlermeldungen geben, wenn man irgendwann von 2.9 auf 3.0 umsteigt und die neuen Keys nicht drin hat?
29. April 2010 um 20:09
Nein, dann kümmert sich WP darum und nutzt einen Standard – wie auch oben beschrieben; aber es ist wenig Aufwand und kann die Sicherheit erhöhen, darum einfach tun.
29. April 2010 um 20:10
@Volly: ja, die müssen nicht immer gleich sein, werden immer bei Überträgen genutzt und damit wird ein Hash generiert.
29. April 2010 um 21:36
Wer “Limit Login Attempts” benutzt, wird damit vermutlich Probleme haben. War bei mir so. Ich konnte mich nicht einloggen und habe mich selbst ausgesperrt. Das Plugin habe ich per FTP löschen können. Dennoch die Warnung: Irgendwas passt hier nicht.
1. Mai 2010 um 12:02
So wichtig diese Schlüssel für die Config sein mögen – schaltet bitte diesen KeyGen-Service ab und erklärt den Leuten lieber, wie sie sich selbst gute Schlüssel generieren! Schlüssel generieren macht man selbst, das lässt man niemanden sonst machen, egal wie vertrauenswürdig der erscheinen mag. Auf die Weise reiße ich die Security-Anstrengungen, die ich vorne mühsam aufbaue, direkt mit dem Arsch wieder ein.
2. Mai 2010 um 18:29
@LeSpocly: Der Keygen-Service wird nicht von uns betrieben, aber ich kann deine Kritik sehr gut nachvollziehen.
2. Mai 2010 um 20:09
Ich habe die neuen Schlüssel bei mir gerade auch hinzugefügt, danke für den Tipp :)
Ich habe mir die Schlüssel nicht von dem Script, sondern durch KeePass generieren lassen. Der Aussage von LeSpocky stimme ich zu!
4. Mai 2010 um 17:06
Bei dem Generieren von eigenen Schlüsseln via Tools wie zum Beispiel “KeePass” sollte man darauf achten das die nicht als Sonderzeichen ‘ einfügen. Sonst ist man erstmal überrascht das die Seiten und der Admin-Bereich nicht mehr erreichbar sind.
12. Mai 2010 um 11:26
Danke für den Tipp! Es wäre schön, wenn sich nicht immer nicht so viel ändern würde. Aber für die Sicherheit tun wir gern etwas.
16. Mai 2010 um 19:41
Das mit den Sonderzeichen ist sehr wichtig, sonst ist nix mit Admin Bereich. Gruss jan…