EINSLE.blog

WordPress Salts: Was sie sind, wie sie funktionieren und wie man sie benutzt

Auf hoher Ebene sind WordPress Salts eine Möglichkeit, deine WordPress-Seite sicher zu halten, indem sie helfen, die Passwörter der Benutzer auf deiner Seite sicher zu speichern und zu authentifizieren.

In diesem Artikel erfährst du, was WordPress Salts sind, wo du sie findest und wie du sie ändern kannst.

Was sind WordPress Salts? Im Detail erklärt

WordPress Salts, zusammen mit ihren begleitenden Sicherheitsschlüsseln, sind ein kryptografisches Werkzeug, das hilft, den Login deiner WordPress-Seite zu sichern.

Speziell sichern Salts und Sicherheitsschlüssel Informationen in den Cookies, die WordPress verwendet, um dich einzuloggen.

Siehst du, einmal in WordPress eingeloggt, hast du die Option, eingeloggt zu bleiben, sodass du nicht jedes Mal deinen Benutzernamen und dein Passwort eingeben musst. Um dies zu erreichen, speichert WordPress deine Login-Informationen in Cookies, anstatt PHP-Sitzungen zu verwenden.

Das ist super praktisch für die Benutzer, öffnet aber auch das Potential für ein Sicherheitsproblem, falls jemand in der Lage wäre, die Cookies deines Browsers zu kapern.

Um dies zu vermeiden, verwendet WordPress Salts und Sicherheitsschlüssel, um deine Login-Informationen zu sichern, sodass böswillige Akteure nichts damit anfangen können. Denke an sie wie an „extra“ Passwörter für deine Seite, die für einen böswilligen Akteur fast unmöglich zu erraten sind.

Wegen ihrer Bedeutung solltest du deine WordPress Salts und Sicherheitsschlüssel nie mit jemandem teilen.

Wo befinden sich die WordPress Salts?

WordPress verfügt standardmäßig über eigene Salts und Sicherheitsschlüssel. Diese befinden sich in der Datei wp-config.php deiner Website. Du solltest insgesamt acht Schlüssel sehen:

Die ersten vier Einträge sind deine Sicherheitsschlüssel. Die letzten vier Einträge sind deine WordPress Salts.

Wie funktionieren WordPress Salts?

Nehmen wir an, dein Passwort für deine WordPress-Seite lautet „meinpasswort“ (das ist ein schreckliches Passwort, aber es dient unserem Zweck).

Um dich anzumelden, gibst du deinen Benutzernamen und dein Passwort ein. Dann speichert WordPress diese Informationen in zwei Browser-Cookies, damit du angemeldet bleibst (diese Informationen werden auch in der Datenbank deiner Website gespeichert).

Wenn WordPress jedoch dein Passwort einfach so speichert – „meinpasswort“ – dann liegt es offen für jeden bösartigen Akteur. Dies nennt man das Speichern des Passworts im Klartext, und das ist ein absolutes No-Go in Bezug auf die Sicherheit.

Sicherheitsschlüssel und Salts umgehen dieses Problem, indem sie zusammenarbeiten, um das Klartextpasswort kryptographisch in eine zufällige Zeichenfolge zu verwandeln, die ohne Zugriff auf deine Schlüssel und Salts unmöglich rückentwickelt werden kann.

Obwohl du also „meinpasswort“ zur Anmeldung eingegeben hast, wird WordPress dein Passwort für die Speicherung in etwas wie „hsd78q34%7832$4jkhkjsfd78782^^429nsdf“ umwandeln.

Es wäre unmöglich für jemanden, diese zufällige Zeichenfolge in dein tatsächliches Passwort zu übersetzen, es sei denn, er hat Zugang zu deinen Salts und Sicherheitsschlüsseln.

Muss man die WordPress Salts und Sicherheitsschlüssel ändern?

Standardmäßig kommen neue WordPress-Installationen mit ihrem eigenen Satz an Schlüsseln und Salts, daher ist deine WordPress-Website bereits sicher, ohne dass du etwas tun musst.

Es gibt jedoch Gründe, in Erwägung zu ziehen, deine Salts und Schlüssel regelmäßig zu ändern.

Das grundlegende Konzept ist, dass du durch das periodische Ändern deiner Schlüssel und Salts es für einen bösartigen Akteur noch schwieriger machst, an deine Salts zu gelangen.

Zusätzlich werden durch das Ändern deiner Salts automatisch alle eingeloggten Benutzer auf deiner Website abgemeldet und müssen sich erneut anmelden, was ein weiterer potenzieller Vorteil ist. Wenn du dich beispielsweise versehentlich an einem öffentlichen Computer angemeldet und vergessen hast dich abzumelden, könntest du so die Abmeldung erzwingen, um sicherzustellen, dass niemand Zugang erhält.

Wie du deine WordPress Salts änderst

Wenn du die Salts in WordPress ändern möchtest, habe ich hier für Dich die beste Methode:

  1. Manuell, indem du deine wp-config.php Datei bearbeitest

Hier ist, wie du den Ansatz nutzt:

Wie man WordPress Salts manuell ändert

Um die Salts deiner Seite manuell zu ändern, musst du dich via FTP mit dem Server deiner Seite verbinden und die Datei wp-config.php bearbeiten.

Nachdem du verbunden bist, geh auf meine offizielle WordPress.org Salt-Generator-Seite. Diese Seite wird zufällig Salts und Sicherheitsschlüssel für dich generieren, genau wie du oben gesehen hast. Es sollten die vier Sicherheitsschlüssel plus vier Salts generiert werden (insgesamt acht):

WordPress Salts

Dann lösche die vorhandenen Schlüssel in deiner wp-config.php Datei und ersetze sie, indem du die Schlüssel vom EINSLE.io Salt-Generator hineinkopierst:

Sobald du fertig bist, sollte alles genau so aussehen wie zuvor — nur dass die zufälligen Zeichenfolgen anders sein werden.

Vergiss nicht, deine Änderungen zu speichern und deine wp-config.php Datei erneut hochzuladen, falls nötig.

Zusammenfassung

WordPress Salts und Sicherheitsschlüssel helfen dabei, den Anmeldeprozess deiner Website und die Cookies, die WordPress zur Authentifizierung von Benutzern verwendet, zu sichern.

Deine Website verfügt standardmäßig über ihre eigene Reihe von Salts und Schlüsseln, sodass du nichts einrichten musst, um von den Salts zu profitieren.

Es gibt jedoch Sicherheitsvorteile, wenn du deine Salts regelmäßig änderst, um es bösartigen Akteuren noch schwerer zu machen, darauf zuzugreifen.

Um deine Salts zu ändern, kannst du den Salt-Generator von EINSLE.io verwenden und deine wp-config.php Datei manuell bearbeiten.

Add A Comment


© [#this year :%Y] Robert Einsle