WordPress ist eines der bekanntesten und beliebtesten Content-Management-Systeme der Welt. Folglich ist WordPress ein häufiges Ziel von Sicherheits-Exploits wie Brute-Force-Angriffen, SQL-Injection, Malware, Cross-Site-Scripting und DDoS-Angriffen. Tatsächlich wurde kürzlich ein neuer Malware-Stamm namens Clipsa startet Brute-Force-Angriffe auf WordPress-Sites und stiehlt Kryptowährung über die Entführung der Zwischenablage.
WordPress ist nur so sicher, wie Sie sich bemühen, die Sicherheit Ihrer Website zu verbessern. Als Websitebesitzer sind Sie dafür verantwortlich, wachsam zu bleiben und eine proaktive Sicherheitsstrategie zu implementieren, um böswillige Angriffe zu verhindern. Die Verwendung schwacher Passwörter und Benutzernamen, das Versäumnis, den WordPress-Kern und die Plugins zu aktualisieren, und das Hosting von schlechter Qualität gehören zu den häufigsten Sicherheitsfehlern, die Website-Besitzer machen und böswilligen Hackern einfachen Zugang verschaffen.
WordPress ist auf seine Art ein hochsicheres CMS. Um Ihre WordPress-basierte Website jedoch vor Cyberkriminellen zu schützen, müssen Sie Ihre Sicherheitslage und Ihre Online-Glaubwürdigkeit verbessern. Einfache Schritte wie das Aktualisieren des WordPress-Kerns, die Auswahl eines sicheren WordPress-Hosting-Anbieters und die Beachtung von Domainname Sicherheit und die Verwendung eines sicheren Passworts können dazu beitragen, bösartige Bots und Angreifer zu blockieren.
In diesem Beitrag konzentrieren wir uns auf WordPress Salts und Sicherheitsschlüssel und ihre Rolle, um sicherzustellen, dass Sie sich nicht mit den Folgen von Malware-Angriffen auseinandersetzen müssen.
Was sind WordPress-Sicherheitsschlüssel und -Salts?
Wenn sich ein Benutzer bei der WordPress-Site anmeldet, werden auf dem Computer eine Reihe von Cookies erstellt. Diese dienen dazu, die Identität der eingeloggten Nutzer zu überprüfen. Wenn ein Hacker in Ihre Datenbank eindringt oder Ihre Cookies findet, kann er möglicherweise Ihr Passwort lesen, wodurch Ihre Website anfällig für Angriffe wird.
WordPress verwendet Sicherheitsschlüssel und Salts, um Ihnen eine kryptische Ausgabe zu liefern, die in der Datenbank oder im Cookie gespeichert wird und Ihrer Website eine Sicherheitsebene hinzufügt.
Zwei dieser Cookies sind:
- WordPress_[hash] nur auf der Admin-Seite oder dem WordPress-Dashboard verwendet.
- WordPress_logged_in_[hash] Wird in WordPress verwendet, um festzustellen, ob Sie bei WordPress angemeldet sind oder nicht.
Die von WordPress in diesen Cookies gespeicherten Authentifizierungsdetails werden gehasht (zugeordnete kryptische Werte) unter Verwendung der Zufallsmuster, die in den WordPress-Sicherheitsschlüsseln angegeben sind.
WordPress-Sicherheitsschlüssel ist ein Passwort, das einen zufälligen, langen und komplizierten Satz von Variablen enthält, die die Verschlüsselung verbessern und es fast unmöglich machen, Ihr Passwort zu knacken. Die neueste Version von WordPress verwendet vier Sicherheitsschlüssel, von denen jeder einen entsprechenden Salt hat, der die Sicherheit Ihrer WordPress-basierten Website erhöhen kann.
Diese sind:
- AUTHENTIFIZIERUNGSSCHLÜSSEL kann verwendet werden, um Änderungen an der Website vorzunehmen. Es hilft Ihnen, das Autorisierungs-Cookie für das Nicht-SSL zu signieren.
- SECURE_AUTH_KEY wird verwendet, um das Autorisierungs-Cookie für den SSL-Administrator zu signieren und wird verwendet, um Änderungen an der Website vorzunehmen.
- LOGGED_IN_KEY wird verwendet, um ein Cookie für einen eingeloggten Benutzer zu erstellen. Es kann nicht verwendet werden, um Änderungen an der Site vorzunehmen.
- NONCE_KEY wird verwendet, um die zu unterschreiben Nonce-Schlüssel. Dieser Schlüssel schützt die Nonces vor der Generierung und schützt so Ihre Site vor Angriffen.
Sie finden diese Authentifizierungsschlüssel und -salze im wp-config.php-Datei, befindet sich im WordPress-Stammordner.
WordPress-Salze sind zufällige Datenstrings, die die Sicherheitsschlüssel hacken und der Site und Ihren Anmeldeinformationen eine zusätzliche Schutzebene hinzufügen.
Wie Sie in diesem Bild sehen können, hat jeder Sicherheitsschlüssel einen entsprechenden Salt, nämlich AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT und NONCE_SALT.
Warum WordPress Sicherheitsschlüssel und Salts verwenden?
WordPress verwendet Cookies, um die Identität der auf Ihrer Website angemeldeten Benutzer zu verfolgen. Diese Cookies werden auf dem Dashboard-Konto Ihrer Site gespeichert, das heißt auf der Client-Seite. Zur besseren Verschlüsselung werden die Authentifizierungsdetails (sowohl der Benutzername als auch das Passwort) mit einer Reihe von Zufallswerten gehasht, die in den WordPress-Sicherheitsschlüsseln angegeben sind.
Ein zufällig generiertes verschlüsseltes Passwort wie „65a3ds2873ba27us36sd89s0fc“ ist also im Vergleich zu einem nicht verschlüsselten extrem schwer zu knacken. Daher sollten Website-Besitzer WordPress-Sicherheitsschlüssel verwenden, um die Cookies ihrer Website zu schützen und böswillige Hacker daran zu hindern, auf die Website zuzugreifen.
So ändern Sie WordPRess-Schlüssel und Salts manuell
Sie können die geheimen Schlüssel und Salts entweder manuell oder mit einem WordPress-Sicherheits-Plugin konfigurieren. Wenn Sie eine selbst gehostete WordPress-Site haben, müssen Sie die Sicherheitsschlüssel selbst hinzufügen.
Bitte beachten Sie: Wir empfehlen nur, WordPress-Dateien manuell zu bearbeiten, wenn Sie ein Entwickler sind oder mit Code auf mittlerer oder höherer Ebene vertraut sind. Wenn Sie ein Anfänger sind, springen Sie bitte zu den empfohlenen Plugins unten.
Verwenden Sie zunächst den Zufallsgenerator von WordPress, um einen einzigartigen Secret Key zu erhalten.
Melden Sie sich als Nächstes bei Ihrem Control Panel-Dateimanager oder per FTP an. Suchen Sie von hier aus die Datei wp-config.php, um sie zu ändern.
Öffnen Sie die Datei und scrollen Sie nach unten zum Abschnitt „Eindeutige Schlüssel und Salts für die Authentifizierung“. Hier können Sie Ihre zuvor generierten geheimen Schlüssel hinzufügen.
Nachdem Sie die Datei gespeichert haben, müssen Sie sich erneut anmelden.
Verwenden Sie ein Plugin, um Keys & Salts zu aktualisieren
Wie die meisten Dinge in WordPress müssen Sie dies nicht manuell tun. Mehrere WordPress-Plugins können verwendet werden, um den Prozess in Ihrem Namen zu automatisieren. Sie sind eine schnelle und einfache Möglichkeit, Ihre WordPress Keys & Salts zu ändern. Hier sind zwei, die wir empfehlen würden.
iThemes-Sicherheit
Die aktuelle Version von iThemes Security (Free v4.6+ oder iThemes Security Pro v1.14+) verfügt über eine zeitsparende Sicherheitsfunktion, die WordPress-Sicherheitsschlüssel und -Salts einfach aktualisiert. Es bietet jeden Monat eine Update-Erinnerung und vermeidet die Notwendigkeit, einen neuen Schlüsselsatz manuell zu generieren oder Ihre wp-config.php-Datei zu bearbeiten.
Um die Schlüssel und Salts zu aktualisieren, gehen Sie zum Abschnitt „WordPress Salts“ im „Advanced Tab“, aktivieren Sie das Kontrollkästchen „WordPress Salts ändern“ und klicken Sie schließlich auf die Schaltfläche „WordPress Salts ändern“.
Das iThemes Security Pro bietet zusätzliche Funktionen wie Zwei-Faktor-Authentifizierung, geplante Malware-Scans und reCAPTCHA, um bösartige Software zu erkennen und Ihren WordPress-Anmeldeseiten eine zusätzliche Sicherheitsebene hinzuzufügen.
Salzstreuer
Ebenso bietet Salt Shaker beeindruckende Funktionen und Einstellungen wie manuelle und sofortige WP-Sicherheitsschlüssel und Salts, die sich ändern, um Ihre WordPress-Sicherheit zu verbessern.
Darüber hinaus können Sie nach der Installation des Salt Shaker-Plugins den geplanten Job für den automatischen Salzwechsel einstellen. Sie müssen lediglich das Kontrollkästchen aktivieren und die tägliche, wöchentliche oder monatliche Einstellung auswählen.
In beiden Fällen ist das Plugin so programmiert, dass es automatische Erinnerungen an die Aktualisierung der WordPress-Schlüssel sendet. Dadurch werden auch alle angemeldeten Benutzer gezwungen, den Anmeldevorgang erneut zu durchlaufen. All diese Funktionen tragen dazu bei, eine Website vor Brute-Force-Angriffen und anderen Hackerversuchen zu schützen.
Wenn es um die Sicherung Ihrer WordPress-Site geht, ist Prävention der richtige Weg. Die schlagkräftige Kombination aus WordPress-Sicherheitsschlüsseln und Salts macht es Hackern schwer, Website-Passwörter zu knacken. So bietet WordPress verbesserte Sicherheit für Benutzersitzungen und sichert Daten.
Zusammenfassend sind hier ein paar Dinge zu beachten, wenn Sie WordPress-Sicherheitsschlüssel und -Salts aktualisieren.
- Ändern Sie nach dem Start Ihrer WordPress-Site die Sicherheitsschlüssel und Salts.
- Verwenden Sie immer den WordPress Salt Key Generator, um Sicherheitsschlüssel zu erstellen. Mach es nicht selbst. Alternativ können Sie den Prozess mit einem WordPress-Plugin automatisieren.
- Das Aktualisieren der WordPress-Sicherheitsschlüssel und -Salts macht alle vorhandenen Cookies ungültig, wodurch alle Benutzer sofort abgemeldet werden. Denken Sie also beim Ändern daran, dass einige Benutzer möglicherweise online sind.
- Wenn Sie Anzeichen für einen Angriff auf Ihre Website sehen, aktualisieren Sie die WordPress-Sicherheitsschlüssel und ermutigen Sie Ihre Benutzer, ihr Passwort zu ändern.
Haben Sie Fragen zu Salts und Sicherheitsschlüsseln? Oder Tipps, die Sie hinzufügen würden? Lass es uns in den Kommentaren wissen!