Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Was, Warum und Wie von WordPress-Sicherheitsschlüsseln

Unserer Erfahrung nach ist die Sicherheit von WordPress eines der wichtigsten Dinge, an die man beim Betrieb einer Website denken muss. Und WordPress-Sicherheitsschlüssel sind ein wesentlicher Bestandteil davon.

WordPress verwendet Sicherheitsschlüssel, um Ihre Website vor Hackerangriffen zu schützen. Sie können diese effizienter nutzen, um die Sicherheit von WordPress zu verbessern.

In diesem Artikel werden wir besprechen, was WordPress-Sicherheitsschlüssel und -salze sind und warum Sie sie verwenden sollten.

WordPress security keys guide for beginners

Was sind WordPress Security Keys und SALTs?

WordPress-Sicherheitsschlüssel sind ein Verschlüsselungstool, das Anmeldeinformationen schützt, indem es ihre Entschlüsselung erschwert.

Diese Schlüssel funktionieren wie echte Schlüssel und werden verwendet, um verschlüsselte Informationen wie Passwörter zu sperren und zu entsperren, damit Ihre WordPress-Website sicher bleibt.

WordPress security keys diagram

Das funktioniert folgendermaßen.

Wenn Sie sich bei einer WordPress-Website anmelden, werden Ihre Informationen in den Cookies Ihres Computers gespeichert. So können Sie weiter an Ihrer Website arbeiten, ohne sich jedes Mal anmelden zu müssen, wenn eine Seite geladen wird.

Alle Informationen werden in verschlüsselter Form gespeichert, indem sie in eine Zeichenfolge aus alphanumerischen Zeichen und Sonderzeichen umgewandelt werden. Diese verschlüsselten Daten können mit WordPress-Sicherheitsschlüsseln übersetzt werden. Ohne die Schlüssel ist es nahezu unmöglich, diese Daten zu knacken.

Ihre WordPress Website generiert diese Sicherheitsschlüssel automatisch und speichert sie in Ihrer WordPress Konfigurationsdatei (wp-config.php).

Es gibt insgesamt vier Sicherheitsschlüssel:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY

Neben den WordPress-Sicherheitsschlüsseln finden Sie auch die folgenden SALTs.

  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONCE_SALT

Salts fügen Ihren verschlüsselten Informationen zusätzliche Informationen hinzu, die eine weitere Sicherheitsebene für Ihre verschlüsselten Daten darstellen.

Warum WordPress-Sicherheitsschlüssel verwenden?

WordPress-Sicherheitsschlüssel schützen Ihre Website vor Hacking-Versuchen, indem sie Ihre Passwörter sicher machen.

Ein normales Passwort mit mittlerem Schwierigkeitsgrad kann beispielsweise leicht mit Brute-Force-Angriffen geknackt werden.

Andererseits dauert es Jahre, eine Zeichenfolge wie ‚7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49‘ zu entschlüsseln, ohne die Sicherheitsschlüssel zu kennen.

Deshalb sollten Sie die WordPress-Sicherheitsschlüssel niemals an andere weitergeben und sie so schützen, wie Sie normalerweise sensible Informationen online schützen.

Sehen wir uns also an, wie Sie WordPress-Sicherheitsschlüssel verwenden können, um Ihre Website zu schützen.

Wie verwendet man WordPress-Sicherheitsschlüssel?

In der Regel müssen Sie nichts weiter tun, da WordPress in den meisten Fällen bei jeder neuen WordPress-Installation automatisch Sicherheitsschlüssel und -salze erzeugt und verwendet.

Sie können Ihre WordPress-Sicherheitsschlüssel und -salts anzeigen, indem Sie einen FTP-Client oder die Dateimanager-App in der Systemsteuerung Ihres WordPress-Hosting-Kontos verwenden.

Verbinden Sie sich einfach mit Ihrer Website und öffnen Sie die Datei wp-config.php. Darin sehen Sie Ihre WordPress-Sicherheitsschlüssel definiert.

Security keys WordPress configuration file

Je nachdem, wie Sie WordPress ursprünglich installiert haben, kann es jedoch sein, dass auf Ihrer Website überhaupt keine Sicherheitsschlüssel definiert sind.

Wenn Ihre Sicherheitsschlüssel leer sind, dann machen Sie sich keine Sorgen. Sie können sie einfach manuell hinzufügen, indem Sie die Seite WordPress Security Key Generator aufrufen, um einen neuen Satz Schlüssel zu generieren.

WordPress security key generator

Kopieren Sie diese Schlüssel und fügen Sie sie in Ihre wp-config.php-Datei ein, und schon sind Sie fertig.

Sie können die gleiche Methode verwenden, um Ihre aktuellen WordPress-Sicherheitsschlüssel zu löschen und durch neue Schlüssel zu ersetzen.

Hinweis: Wenn Sie die Sicherheitsschlüssel ersetzen, sind alle Benutzer gezwungen, sich erneut anzumelden, was der Sicherheit zugute kommt.

WordPress-Sicherheitsschlüssel mit einem Plugin neu generieren

Wenn Sie vermuten, dass Ihre Website gehackt wurde, müssen Sie die WordPress-Sicherheitsschlüssel neu generieren und Ihre Passwörter ändern.

Sie können neue Sicherheitsschlüssel manuell kopieren und einfügen, wie oben erwähnt. Sie können aber auch ein Plugin verwenden. Auf diese Weise können Sie einen Zeitplan festlegen, um die Sicherheitsschlüssel regelmäßig automatisch zu erneuern.

Expertentipp: Glauben Sie, dass Ihre Website gehackt wurde? Stellen Sie Ihren Seelenfrieden mit unserem fachkundigen Dienst zur Reparatur gehackter Websites wieder her. Vertrauen Sie auf unser erfahrenes Team, das die technische Komplexität bewältigt und Ihre Website wieder zum Laufen bringt.

1. WordPress-Sicherheitsschlüssel mit Sucuri aktualisieren

Der einfachste Weg, WordPress-Sicherheitsschlüssel automatisch zu regenerieren, ist die Verwendung von Sucuri. Es ist eines der besten WordPress Security Plugins auf dem Markt, das Ihre WordPress Website vor gängigen Bedrohungen schützt.

Um loszulegen, müssen Sie als Erstes das Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress Plugins.

Nach der Aktivierung sollten Sie die Seite Sucuri Security “ Einstellungen besuchen und auf den Tab „Post-Hack“ wechseln.

Update security keys using Sucuri

Klicken Sie hier einfach auf den Button „Neue Sicherheitsschlüssel generieren“ unter dem Abschnitt „Geheime Schlüssel aktualisieren“.

Hinweis: Wenn Sie neue Sicherheitsschlüssel generieren, werden Sie aus dem WordPress-Administrationsbereich abgemeldet und müssen sich erneut anmelden.

Regenerate security keys

Gehen Sie danach wieder auf die Seite Sucuri Security “ Einstellungen und wechseln Sie erneut auf den Tab „Post-Hack“.

Aktivieren Sie im Abschnitt „Sicherheitsschlüssel“ den „Automatic Secret Keys Updater“, indem Sie eine Häufigkeit (täglich, wöchentlich, monatlich, jährlich) auswählen. Klicken Sie anschließend auf den Button „Absenden“.

Automatically update security keys

Sucuri setzt nun automatisch Ihre WordPress-Sicherheitsschlüssel zurück, basierend auf der von Ihnen gewählten Häufigkeit.

2. WordPress-Sicherheitsschlüssel mit Salt Shaker aktualisieren

Diese Methode ist für Benutzer gedacht, die Sucuri nicht verwenden und die Regeneration des Sicherheitsschlüssels automatisieren müssen.

Zunächst müssen Sie das Salt Shaker Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress Plugins.

Nach der Aktivierung müssen Sie die Seite Werkzeuge “ Salt Shaker besuchen, um die Plugin-Einstellungen zu konfigurieren.

Update security keys with Salt Shaker

Von hier aus können Sie einen Zeitplan für die automatische Generierung von Sicherheitsschlüsseln festlegen. Sie können auch einfach auf den Button „Jetzt ändern“ klicken, um die Sicherheitsschlüssel sofort neu zu generieren.

Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die WordPress-Sicherheitsschlüssel und ihre Verwendung zu verstehen. Vielleicht interessiert Sie auch unsere Anleitung zur Behebung des Fehlers „Sichere Verbindung“ in WordPress oder unsere Expertenauswahl der besten WordPress Firewall Plugins.

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Das ultimative WordPress Toolkit

Erhalte KOSTENLOSEN Zugang zu unserem Toolkit - eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Reader Interactions

25 KommentareEine Antwort hinterlassen

  1. Jiří Vaněk

    Regarding security keys, I encountered an issue when migrating the website to a new database. Even after changing the connection in the wp-config.php file, WordPress refused to connect to the new DB, reporting an ‚establishing error.‘ Eventually, I had to delete the old wp-config.php, upload a new one from the installation package, re-enter the connection to the new database, and then everything worked fine. It seems that the keys in the wp-config.php file were the culprit.

  2. Josh

    How often do you recommend changing the keys? Quarterly as shown in the screenshot?

    • WPBeginner Support

      We do not have a specific recommended refresh time at the moment other than after a hack on your site at a minimum.

      Admin

  3. Bjornen Nilsson

    Hi,

    QUESTION »
    Will it affect anything besides „extreme“ increased security if one has the web browser set to delete all history, temp, cookies etc. every time it is shut down AND if one changes the SALT in wp-config after logging out each time?

    Thanks!

  4. shanderman

    Hi,
    I have 2 url product,for 1 product.like this:

    example.com/?product=product-name
    example.com/product/product-name/

    why? how should i fix it? please help me.

    • WPBeginner Support

      Hi shanderman,

      Please visit Settings » Permalinks page to make sure that your WordPress site is using SEO friendly URLs.

      After that view your website’s source code and make sure that it is showing the URL format that you like.

      The ugly URL structure will still work in WordPress if you typed it in the browser. However, your product’s canonical URL will be the one you choose on the permalinks settings page. This is the URLs that search engines will follow and index.

      Admin

  5. sam

    I am a beginner to Wordpress , i have a doubt how those keys make the Wordpress secure ? i want to know the actual role and working of the keys ?

  6. Kishan Dalsania

    What is the actual benefit of these using the keys in config.php. Can you define how it will work to prevent the hackers?

  7. sam

    Hi , i have used this method and can not log onto my site at all. how do i fix it or remove the issues

  8. kOoLiNuS

    Just a quick question… Why do you suggest to:

    We recommend that you use that rather than inventing your own.

    Instead of the latter? Have you got some links that dig this approach?
    Thank you in advance!

  9. Nick

    In wordpress 3.1 these keys are automatically generated.

    • MichealKennedy

      Was just gonna ask „why don’t they just automatically generate these for you?“ but you answered it ;)

  10. Riese F

    Appreciate this information and quickly updated my files. My concern is the same as Ricks‘ from April in that if my wp-config.php file is hacked then these keys are available to whomever is looking at them correct? But then I thought that if my wp file is hacked and someone other than me is looking at them I am already in trouble…

    Any precaution is better than just hoping for the best though! Thank you for your work and efforts.

  11. Keith Davis

    Hi
    Thanks for a short and informative post.
    I notice that in your example there are four secret keys.
    There appear to be more secret keys in Wordpress 3.0 – can these be added to previous versions of Wordpress?

  12. Rick

    Um, so does this change your admin password or what? I don’t understand what this does? Maybe that’s because I’m not a hacker. But, if this is just stored in your config.php file, wouldn’t it be way easier for a hacker just to hack into your ftp site and nab this security key out of the config file?

    I want my WordPress sites to be more secure, but I just don’t understand what this is preventing?

  13. Jack

    Nicely said. The directions are pretty easy, but I think the security and safety is understated in the documentation. Thanks for spelling it out and making the web a safer place.

  14. gabrielle

    if you develop multiple wordpress sites do you create a security key for each one or use the same one on all of them?

  15. Konstantin

    While you’re adt it:
    Why not define the salt constants and save yourself some database queries?!

    It should look like this:

    define('AUTH_SALT', 'put your unique phrase here');
    define('SECURE_AUTH_SALT', 'put your unique phrase here');
    define('LOGGED_IN_SALT', 'put your unique phrase here');
    define('NONCE_SALT', 'put your unique phrase here');

    This article from Digging into Wordpress explains the advantages of this practice.

  16. maged

    very handy and important thanks for sharing

Eine Antwort hinterlassen

Danke, dass du einen Kommentar hinterlassen möchtest. Bitte beachte, dass alle Kommentare nach unseren kommentarpolitik moderiert werden und deine E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Schlüsselwörter im Namensfeld. Lass uns ein persönliches und sinnvolles Gespräch führen.