Das Salz in der Suppe für die WordPress-Sicherheit

SalzstreuerIn (c) Dubravko SorićDamit man sich beim Bearbeiten der WordPress-Seiten nicht jedesmal neu einloggen muss, werden Cookies in den Speicher des Browsers gesetzt. Dadurch wird den aufrufenden Seiten signalisiert, der Benutzer ist eingeloggt und autorisiert.

Cookies sind also per se nichts Schlechtes.

In der Grundinstallation sind diese Cookies durch die Keys in der wp-config.wp nicht besonders gesichert, wie man am nachfolgenden Beispiel sehen kann:

define(‚AUTH_KEY‘, ‚put your unique phrase here‘);
define(‚SECURE_AUTH_KEY‘, ‚put your unique phrase here‘);
define(‚LOGGED_IN_KEY‘, ‚put your unique phrase here‘);
define(‚NONCE_KEY‘, ‚put your unique phrase here‘);
define(‚AUTH_SALT‘, ‚put your unique phrase here‘);
define(‚SECURE_AUTH_SALT‘, ‚put your unique phrase here‘);
define(‚LOGGED_IN_SALT‘, ‚put your unique phrase here‘);
define(‚NONCE_SALT‘, ‚put your unique phrase here‘);

Böse Buben (und auch Mädchen) könnten diese Cookies nutzen, um sich Zugriff auf die Website zu verschaffen.

Unter https://api.wordpress.org/secret-key/1.1/salt/ kann man sich diese Schlüssel generieren lassen und dann sieht es z. B. so aus:

define(‚AUTH_KEY‘, ‚qtj-:G~p?UEy-;9*CJ+5Pj c:o|#@]`_JFc]D=K,*Wsco`o%{feE+ j}n,1|I3)#‘);
define(‚SECURE_AUTH_KEY‘, ‚0w<Lud7hXt&F>|=jp;1g6p*lAp-UB=d]GIn(;@]8yXVKW]NS|II/8/O.b6$?-w G‘);
define(‚LOGGED_IN_KEY‘, ‚,_?G%v@5@v}LH~ZF-,C`p|l5(q_?1@$i?^>Lz63O8 !eAQ_P{l$@:ueqcDzcVQPi‘);
define(‚NONCE_KEY‘, ‚A>{UVihS*74x{:hU:1C{2<4/QOjAzZ-]kGu(q8KqKS{Rme~-:E|b1CZFM-+2|/NQ‘);
define(‚AUTH_SALT‘, ‚K<y0JF,a-|/=KnJZ&i?N|,:3IR/cRbHK|.sCHQw&]OD1d|KX3Fp%;1Rq?+(IwK+}‘);
define(‚SECURE_AUTH_SALT‘, ‚Y.PS1}yv-[&,Yl:y>B$+ttBj2PEwp~oJa4CSr!eswk(Db)}b$d|9$@TVj60|=9N4‘);
define(‚LOGGED_IN_SALT‘, ‚?T.5q`$+3X-_>SAq%==F-sc*>nNrx.2?|–iYvm/2zjMEKA^jN/s+dRbe1+:=s]:‘);
define(‚NONCE_SALT‘, ‚jI(Uy;(W>UI$!)vOUOUvqI-/m[DTts*ZF+ BA6vznZY{;q=op<M10ffC|8~Os2Vf‘);

Diese Werte werden entweder manuell in die wp-config.php eingetragen oder man erledigt das automatisch z. B. mit dem Plugin Sucuri Security.

Salt (englisch für Salz) bezeichnet in der Kryptographie eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion angehängt wird, um die Entropie der Eingabe zu erhöhen. Es wird häufig für die Speicherung und Übermittlung von Computer-Passwörtern benutzt. Wikipedia

Mehr dazu im Artikel Sicherheit gegen Hackerangriffe bei WordPress