Unserer Erfahrung nach ist die Sicherheit von WordPress eines der wichtigsten Dinge, an die man beim Betrieb einer Website denken muss. Und WordPress-Sicherheitsschlüssel sind ein wesentlicher Bestandteil davon.
WordPress verwendet Sicherheitsschlüssel, um Ihre Website vor Hackerangriffen zu schützen. Sie können diese effizienter nutzen, um die Sicherheit von WordPress zu verbessern.
In diesem Artikel werden wir besprechen, was WordPress-Sicherheitsschlüssel und -salze sind und warum Sie sie verwenden sollten.
Was sind WordPress Security Keys und SALTs?
WordPress-Sicherheitsschlüssel sind ein Verschlüsselungstool, das Anmeldeinformationen schützt, indem es ihre Entschlüsselung erschwert.
Diese Schlüssel funktionieren wie echte Schlüssel und werden verwendet, um verschlüsselte Informationen wie Passwörter zu sperren und zu entsperren, damit Ihre WordPress-Website sicher bleibt.
Das funktioniert folgendermaßen.
Wenn Sie sich bei einer WordPress-Website anmelden, werden Ihre Informationen in den Cookies Ihres Computers gespeichert. So können Sie weiter an Ihrer Website arbeiten, ohne sich jedes Mal anmelden zu müssen, wenn eine Seite geladen wird.
Alle Informationen werden in verschlüsselter Form gespeichert, indem sie in eine Zeichenfolge aus alphanumerischen Zeichen und Sonderzeichen umgewandelt werden. Diese verschlüsselten Daten können mit WordPress-Sicherheitsschlüsseln übersetzt werden. Ohne die Schlüssel ist es nahezu unmöglich, diese Daten zu knacken.
Ihre WordPress Website generiert diese Sicherheitsschlüssel automatisch und speichert sie in Ihrer WordPress Konfigurationsdatei (wp-config.php).
Es gibt insgesamt vier Sicherheitsschlüssel:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Neben den WordPress-Sicherheitsschlüsseln finden Sie auch die folgenden SALTs.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Salts fügen Ihren verschlüsselten Informationen zusätzliche Informationen hinzu, die eine weitere Sicherheitsebene für Ihre verschlüsselten Daten darstellen.
Warum WordPress-Sicherheitsschlüssel verwenden?
WordPress-Sicherheitsschlüssel schützen Ihre Website vor Hacking-Versuchen, indem sie Ihre Passwörter sicher machen.
Ein normales Passwort mit mittlerem Schwierigkeitsgrad kann beispielsweise leicht mit Brute-Force-Angriffen geknackt werden.
Andererseits dauert es Jahre, eine Zeichenfolge wie ‚7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49‘ zu entschlüsseln, ohne die Sicherheitsschlüssel zu kennen.
Deshalb sollten Sie die WordPress-Sicherheitsschlüssel niemals an andere weitergeben und sie so schützen, wie Sie normalerweise sensible Informationen online schützen.
Sehen wir uns also an, wie Sie WordPress-Sicherheitsschlüssel verwenden können, um Ihre Website zu schützen.
Wie verwendet man WordPress-Sicherheitsschlüssel?
In der Regel müssen Sie nichts weiter tun, da WordPress in den meisten Fällen bei jeder neuen WordPress-Installation automatisch Sicherheitsschlüssel und -salze erzeugt und verwendet.
Sie können Ihre WordPress-Sicherheitsschlüssel und -salts anzeigen, indem Sie einen FTP-Client oder die Dateimanager-App in der Systemsteuerung Ihres WordPress-Hosting-Kontos verwenden.
Verbinden Sie sich einfach mit Ihrer Website und öffnen Sie die Datei wp-config.php. Darin sehen Sie Ihre WordPress-Sicherheitsschlüssel definiert.
Je nachdem, wie Sie WordPress ursprünglich installiert haben, kann es jedoch sein, dass auf Ihrer Website überhaupt keine Sicherheitsschlüssel definiert sind.
Wenn Ihre Sicherheitsschlüssel leer sind, dann machen Sie sich keine Sorgen. Sie können sie einfach manuell hinzufügen, indem Sie die Seite WordPress Security Key Generator aufrufen, um einen neuen Satz Schlüssel zu generieren.
Kopieren Sie diese Schlüssel und fügen Sie sie in Ihre wp-config.php-Datei ein, und schon sind Sie fertig.
Sie können die gleiche Methode verwenden, um Ihre aktuellen WordPress-Sicherheitsschlüssel zu löschen und durch neue Schlüssel zu ersetzen.
Hinweis: Wenn Sie die Sicherheitsschlüssel ersetzen, sind alle Benutzer gezwungen, sich erneut anzumelden, was der Sicherheit zugute kommt.
WordPress-Sicherheitsschlüssel mit einem Plugin neu generieren
Wenn Sie vermuten, dass Ihre Website gehackt wurde, müssen Sie die WordPress-Sicherheitsschlüssel neu generieren und Ihre Passwörter ändern.
Sie können neue Sicherheitsschlüssel manuell kopieren und einfügen, wie oben erwähnt. Sie können aber auch ein Plugin verwenden. Auf diese Weise können Sie einen Zeitplan festlegen, um die Sicherheitsschlüssel regelmäßig automatisch zu erneuern.
Expertentipp: Glauben Sie, dass Ihre Website gehackt wurde? Stellen Sie Ihren Seelenfrieden mit unserem fachkundigen Dienst zur Reparatur gehackter Websites wieder her. Vertrauen Sie auf unser erfahrenes Team, das die technische Komplexität bewältigt und Ihre Website wieder zum Laufen bringt.
1. WordPress-Sicherheitsschlüssel mit Sucuri aktualisieren
Der einfachste Weg, WordPress-Sicherheitsschlüssel automatisch zu regenerieren, ist die Verwendung von Sucuri. Es ist eines der besten WordPress Security Plugins auf dem Markt, das Ihre WordPress Website vor gängigen Bedrohungen schützt.
Um loszulegen, müssen Sie als Erstes das Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress Plugins.
Nach der Aktivierung sollten Sie die Seite Sucuri Security “ Einstellungen besuchen und auf den Tab „Post-Hack“ wechseln.
Klicken Sie hier einfach auf den Button „Neue Sicherheitsschlüssel generieren“ unter dem Abschnitt „Geheime Schlüssel aktualisieren“.
Hinweis: Wenn Sie neue Sicherheitsschlüssel generieren, werden Sie aus dem WordPress-Administrationsbereich abgemeldet und müssen sich erneut anmelden.
Gehen Sie danach wieder auf die Seite Sucuri Security “ Einstellungen und wechseln Sie erneut auf den Tab „Post-Hack“.
Aktivieren Sie im Abschnitt „Sicherheitsschlüssel“ den „Automatic Secret Keys Updater“, indem Sie eine Häufigkeit (täglich, wöchentlich, monatlich, jährlich) auswählen. Klicken Sie anschließend auf den Button „Absenden“.
Sucuri setzt nun automatisch Ihre WordPress-Sicherheitsschlüssel zurück, basierend auf der von Ihnen gewählten Häufigkeit.
2. WordPress-Sicherheitsschlüssel mit Salt Shaker aktualisieren
Diese Methode ist für Benutzer gedacht, die Sucuri nicht verwenden und die Regeneration des Sicherheitsschlüssels automatisieren müssen.
Zunächst müssen Sie das Salt Shaker Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress Plugins.
Nach der Aktivierung müssen Sie die Seite Werkzeuge “ Salt Shaker besuchen, um die Plugin-Einstellungen zu konfigurieren.
Von hier aus können Sie einen Zeitplan für die automatische Generierung von Sicherheitsschlüsseln festlegen. Sie können auch einfach auf den Button „Jetzt ändern“ klicken, um die Sicherheitsschlüssel sofort neu zu generieren.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die WordPress-Sicherheitsschlüssel und ihre Verwendung zu verstehen. Vielleicht interessiert Sie auch unsere Anleitung zur Behebung des Fehlers „Sichere Verbindung“ in WordPress oder unsere Expertenauswahl der besten WordPress Firewall Plugins.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Jiří Vaněk
Regarding security keys, I encountered an issue when migrating the website to a new database. Even after changing the connection in the wp-config.php file, WordPress refused to connect to the new DB, reporting an ‚establishing error.‘ Eventually, I had to delete the old wp-config.php, upload a new one from the installation package, re-enter the connection to the new database, and then everything worked fine. It seems that the keys in the wp-config.php file were the culprit.
Josh
How often do you recommend changing the keys? Quarterly as shown in the screenshot?
WPBeginner Support
We do not have a specific recommended refresh time at the moment other than after a hack on your site at a minimum.
Admin
Bjornen Nilsson
Hi,
QUESTION »
Will it affect anything besides „extreme“ increased security if one has the web browser set to delete all history, temp, cookies etc. every time it is shut down AND if one changes the SALT in wp-config after logging out each time?
Thanks!
shanderman
Hi,
I have 2 url product,for 1 product.like this:
example.com/?product=product-name
example.com/product/product-name/
why? how should i fix it? please help me.
WPBeginner Support
Hi shanderman,
Please visit Settings » Permalinks page to make sure that your WordPress site is using SEO friendly URLs.
After that view your website’s source code and make sure that it is showing the URL format that you like.
The ugly URL structure will still work in WordPress if you typed it in the browser. However, your product’s canonical URL will be the one you choose on the permalinks settings page. This is the URLs that search engines will follow and index.
Admin
sam
I am a beginner to Wordpress , i have a doubt how those keys make the Wordpress secure ? i want to know the actual role and working of the keys ?
Kishan Dalsania
What is the actual benefit of these using the keys in config.php. Can you define how it will work to prevent the hackers?
sam
Hi , i have used this method and can not log onto my site at all. how do i fix it or remove the issues
WPBeginner Support
Please take a look at our tutorial on what to do when you are locked out of WordPress admin area.
Admin
kOoLiNuS
Just a quick question… Why do you suggest to:
Instead of the latter? Have you got some links that dig this approach?
Thank you in advance!
Nick
In wordpress 3.1 these keys are automatically generated.
MichealKennedy
Was just gonna ask „why don’t they just automatically generate these for you?“ but you answered it
Riese F
Appreciate this information and quickly updated my files. My concern is the same as Ricks‘ from April in that if my wp-config.php file is hacked then these keys are available to whomever is looking at them correct? But then I thought that if my wp file is hacked and someone other than me is looking at them I am already in trouble…
Any precaution is better than just hoping for the best though! Thank you for your work and efforts.
Keith Davis
Hi
Thanks for a short and informative post.
I notice that in your example there are four secret keys.
There appear to be more secret keys in Wordpress 3.0 – can these be added to previous versions of Wordpress?
Editorial Staff
Those keys become available with WordPress 3.0
Admin
Dave
You’ll need to use 3.0 to utilise all eight secret keys, rather than the former four. The new WordPress random key generator can be found at https://api.wordpress.org/secret-key/1.1/salt
Rick
Um, so does this change your admin password or what? I don’t understand what this does? Maybe that’s because I’m not a hacker. But, if this is just stored in your config.php file, wouldn’t it be way easier for a hacker just to hack into your ftp site and nab this security key out of the config file?
I want my WordPress sites to be more secure, but I just don’t understand what this is preventing?
Jack
Nicely said. The directions are pretty easy, but I think the security and safety is understated in the documentation. Thanks for spelling it out and making the web a safer place.
gabrielle
if you develop multiple wordpress sites do you create a security key for each one or use the same one on all of them?
Editorial Staff
Use a new one
Admin
Konstantin
While you’re adt it:
Why not define the salt constants and save yourself some database queries?!
It should look like this:
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
This article from Digging into Wordpress explains the advantages of this practice.
Tony
Thanks for sharing!
Editorial Staff
Good idea, didn’t even think of that.
Admin
maged
very handy and important thanks for sharing