Wenn Sie eine WordPress-Website betreiben, haben Sie sich wahrscheinlich gefragt, ob Sie genug tun, um sie sicher zu halten. Starke Passwörter und aktualisierte Plugins sind ein guter Anfang, aber es gibt eine weitere Schutzschicht, die viele Website-Besitzer übersehen.
WordPress-Sicherheitsschlüssel eingeben.
Diese Schlüssel sind ein mächtiges Feature, das die Abwehrkräfte Ihrer Website sofort stärken kann. Sie helfen beim Schutz vor Hacking-Versuchen, insbesondere bei der Anmeldung und Authentifizierung.
Im Hintergrund verschlüsseln sie sensible Daten, um zu verhindern, dass Angreifer Sitzungen kapern oder sich in Ihre Website einschleichen.
In dieser Anleitung führen wir Sie durch alles, was Sie über WordPress-Sicherheitsschlüssel wissen müssen. Vom Verständnis ihrer Funktion bis zur richtigen Anwendung auf Ihrer Website helfen wir Ihnen, besser zu schlafen, da Ihre WordPress-Website diese Sicherheitsebene hat. 🛡️
Was sind WordPress-Sicherheitsschlüssel und SALTs?
Kurz gesagt, WordPress-Sicherheitsschlüssel sind Verschlüsselungswerkzeuge, die Ihre Anmeldeinformationen schützen, indem sie deren Entschlüsselung erschweren. SALTs hingegen fügen diesen verschlüsselten Informationen zufällige Daten hinzu und bieten so eine weitere Sicherheitsebene für Ihre gespeicherten Anmeldedaten.
WordPress-Sicherheitsschlüssel funktionieren wie echte Schlüssel und werden verwendet, um verschlüsselte Informationen, wie z. B. Passwörter, zu sperren und zu entsperren, um Ihre WordPress-Site sicher zu halten.
So funktioniert es.
Grundsätzlich werden beim Anmelden auf einer WordPress-Website Ihre Informationen in den Cookies Ihres Computers gespeichert. Dies ermöglicht es Ihnen, an Ihrer Website weiterzuarbeiten, ohne sich jedes Mal anmelden zu müssen, wenn eine Seite geladen wird.
Alle Informationen werden in verschlüsselter Form gespeichert, indem sie in eine Zeichenfolge aus alphanumerischen und Sonderzeichen umgewandelt werden. Diese verschlüsselten Daten können mit WordPress-Sicherheitsschlüsseln übersetzt werden. Ohne die Schlüssel sind diese Daten praktisch unmöglich zu knacken.
Ihre WordPress-Website generiert diese Sicherheitsschlüssel automatisch und speichert sie in Ihrer WordPress-Konfigurationsdatei (wp-config.php).
Es gibt insgesamt vier Sicherheitsschlüssel:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Neben den WordPress-Sicherheitsschlüsseln finden Sie auch die folgenden SALTs.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Salts fügen Ihren verschlüsselten Informationen zusätzliche Informationen hinzu, was eine weitere Sicherheitsebene für Ihre verschlüsselten Daten bietet.
Warum WordPress-Sicherheitsschlüssel verwenden?
WordPress-Sicherheitsschlüssel schützen Ihre Website vor Hacking-Versuchen, indem Ihre Passwörter sicher gemacht werden.
Beispielsweise kann ein normales Passwort mit mittlerer Schwierigkeit leicht mit Brute-Force-Angriffen geknackt werden.
Auf der anderen Seite dauert es Jahre, um eine Passwortzeichenfolge wie „7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49“ ohne Kenntnis der Sicherheitsschlüssel zu entschlüsseln.
Deshalb sollten Sie WordPress-Sicherheitsschlüssel niemals mit jemandem teilen und sie so schützen, wie Sie sensible Informationen online normalerweise schützen.
In diesem Sinne werden wir uns ansehen, wie Sie WordPress-Sicherheitsschlüssel verwenden können, um Ihre WordPress-Website zu schützen. Hier ist eine kurze Übersicht über alle Themen, die wir in den folgenden Abschnitten behandeln werden:
- Wie verwende ich WordPress-Sicherheitsschlüssel?
- Wie regeneriert man WordPress-Sicherheitsschlüssel mit einem Plugin?
- Bonustipp: Zusätzlichen Schutz mit Zwei-Faktor-Authentifizierung (2FA) hinzufügen
- Häufig gestellte Fragen zu WordPress-Sicherheitsschlüsseln
- Zusätzliche Ressourcen für eine stärkere WordPress-Website-Sicherheit
Legen wir los!
Wie verwende ich WordPress-Sicherheitsschlüssel?
Im Allgemeinen müssen Sie nichts weiter tun, da WordPress in den meisten Fällen bei jeder neuen WordPress-Installation automatisch Sicherheitsschlüssel + Salts generiert und verwendet.
Sie können Ihre WordPress-Sicherheitskeys und Salts mit einem FTP-Client oder der Dateimanager-App in Ihrem WordPress-Hosting-Konto-Bedienfeld anzeigen.
Verbinden Sie sich einfach mit Ihrer Website und öffnen Sie die Datei wp-config.php. Darin sehen Sie Ihre WordPress-Sicherheitsschlüssel definiert.
Je nach dem, wie Sie WordPress ursprünglich installiert haben, sind Ihre Website möglicherweise überhaupt keine Sicherheitsschlüssel definiert.
Wenn Ihre Sicherheitsschlüssel leer sind, machen Sie sich keine Sorgen. Sie können sie einfach manuell hinzufügen, indem Sie zur Seite WordPress Security Key Generator gehen, um einen neuen Satz von Schlüsseln zu generieren.
Kopieren und fügen Sie diese Schlüssel dann in Ihre wp-config.php-Datei ein, und Sie sind fertig.
Sie können die gleiche Methode verwenden, um Ihre aktuellen WordPress-Sicherheitsschlüssel zu löschen und durch neue Schlüssel zu ersetzen.
📝 Hinweis: Wenn Sie die Sicherheitsschlüssel ersetzen, werden alle Benutzer gezwungen, sich erneut anzumelden, was für die Sicherheit von Vorteil ist.
Wie regeneriert man WordPress-Sicherheitsschlüssel mit einem Plugin?
Wenn Sie vermuten, dass Ihre Website gehackt wurde, müssen Sie die WordPress-Sicherheitsschlüssel neu generieren und Ihre Passwörter ändern.
Sie können neue Sicherheitsschlüssel manuell kopieren und einfügen, wie oben erwähnt. Sie können jedoch auch ein Plugin verwenden. Auf diese Weise können Sie auch einen Zeitplan festlegen, um Sicherheitsschlüssel automatisch regelmäßig neu zu generieren.
1. WordPress-Sicherheitsschlüssel mit Sucuri aktualisieren
Der einfachste Weg, WordPress-Sicherheitsschlüssel automatisch neu zu generieren, ist die Verwendung von Sucuri. Es ist eines der besten WordPress-Sicherheits-Plugins auf dem Markt, das Ihre WordPress-Website vor gängigen Bedrohungen schützt.
Weitere Informationen zu dem Tool finden Sie in unserem ausführlichen Sucuri-Testbericht.
Um loszulegen, müssen Sie zuerst das Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zum Installieren eines WordPress-Plugins.
Nach der Aktivierung sollten Sie die Seite Sucuri Security » Settings besuchen und zum Tab „Post-Hack“ wechseln.
Klicken Sie von hier aus einfach auf die Schaltfläche „Neue Sicherheitsschlüssel generieren“ im Abschnitt „Geheime Schlüssel aktualisieren“.
📝 Hinweis: Das erneute Generieren neuer Sicherheitsschlüssel wird Sie aus dem WordPress-Adminbereich ausloggen, und Sie müssen sich erneut anmelden.
Besuchen Sie danach erneut die Seite Sucuri Security » Einstellungen und wechseln Sie erneut zum Tab „Post-Hack“.
Aktivieren Sie im Abschnitt Sicherheitsschlüssel den 'Automatischen Aktualisierer für geheime Schlüssel', indem Sie eine Häufigkeit wählen (täglich, wöchentlich, monatlich, jährlich).
Klicken Sie dann auf die Schaltfläche „Senden“.
Sucuri setzt Ihre WordPress-Sicherheitsschlüssel nun automatisch zurück, basierend auf der von Ihnen gewählten Häufigkeit.
2. WordPress-Sicherheitsschlüssel mit Salt Shaker aktualisieren
Diese Methode ist für Benutzer gedacht, die Sucuri nicht verwenden und die automatische Neuerstellung von Sicherheitsschlüsseln benötigen.
Zuerst müssen Sie das Plugin Salt Shaker installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zum Installieren eines WordPress-Plugins.
Nach der Aktivierung müssen Sie die Seite Extras » Salt Shaker besuchen, um die Plugin-Einstellungen zu konfigurieren.
Von hier aus können Sie einen Zeitplan festlegen, um Sicherheitsschlüssel automatisch zu generieren. Sie können auch einfach auf die Schaltfläche 'Jetzt ändern' klicken, um die Sicherheitsschlüssel sofort neu zu generieren.
Bonustipp: Zusätzlichen Schutz mit Zwei-Faktor-Authentifizierung (2FA) hinzufügen
Das Hinzufügen der Zwei-Faktor-Authentifizierung (2FA) zusammen mit Ihren WordPress-Sicherheitsschlüsseln kann Ihre Website noch sicherer machen.
Selbst wenn es jemandem gelingt, einen Ihrer Sicherheitsschlüssel zu erhalten, benötigt er immer noch einen zweiten Verifizierungsschritt, um sich anzumelden. Dies erschwert Hackern den Zugriff auf Ihre Website erheblich.
Die Einrichtung von 2FA auf WordPress ist mit Plugins wie Google Authenticator oder Authy einfach.
Im Allgemeinen müssen Sie nur Ihren gewählten Authentifikator installieren und aktivieren und dann den Einrichtungsprozess befolgen, um ihn mit Ihrem Konto zu verknüpfen. Sobald dies eingerichtet ist, aktivieren Sie 2FA für sich selbst und andere Benutzer, um beim Anmelden eine zusätzliche Sicherheitsebene hinzuzufügen.
Für detaillierte Schritt-für-Schritt-Anleitungen lesen Sie unseren Leitfaden zum Hinzufügen der Zwei-Faktor-Authentifizierung in WordPress.
Häufig gestellte Fragen zu WordPress-Sicherheitsschlüsseln
Haben Sie Fragen zu WordPress-Sicherheitsschlüsseln? Hier sind einige der häufigsten Fragen – beantwortet.
Was passiert, wenn meine wp-config.php-Datei keine Sicherheitsschlüssel hat?
Wenn Ihre wp-config.php-Datei keine Sicherheitsschlüssel hat, erstellt WordPress diese automatisch für die aktuelle Sitzung.
Diese Methode ist jedoch nicht so sicher. Ohne dauerhaft in Ihrer Datei definierte Schlüssel ist die Verschlüsselung, die Ihre Anmelde-Cookies schützt, schwächer. Dies macht Ihre Website anfälliger für Angriffe.
Wie oft sollte ich meine WordPress-Sicherheitsschlüssel ändern?
Für die meisten Websites ist es nicht notwendig, Ihre Schlüssel nach einem festen Zeitplan zu ändern.
Wenn Sie jedoch vermuten, dass Ihre Website gehackt oder kompromittiert wurde, sollten Sie sie sofort aktualisieren. Wenn Sie Ihre Schlüssel ändern, werden alle Benutzer automatisch abgemeldet. Dies hilft, Ihre Website zu sichern, indem unbefugter Zugriff unterbunden wird, der möglicherweise stattgefunden hat.
Reichen meine Sicherheitsschlüssel nach einem Hack meiner Website aus?
Nein, das Ändern Ihrer Sicherheitsschlüssel ist nur ein wichtiger Schritt. Sie sollten auch alle Benutzernamen ändern, Ihre Website auf Malware scannen, verdächtige Benutzerkonten entfernen und eine Wiederherstellung aus einem sauberen Backup in Betracht ziehen.
Zusätzliche Ressourcen für eine stärkere WordPress-Website-Sicherheit
Wir hoffen, dieser Artikel hat Ihnen geholfen, WordPress-Sicherheitsschlüssel zu verstehen und wie Sie sie verwenden. Als Nächstes möchten Sie vielleicht auch unsere Anleitungen zu folgenden Themen sehen:
- Die besten WordPress-Firewall-Plugins im Vergleich
- So führen Sie eine WordPress-Sicherheitsüberprüfung durch
- Leitfaden für Anfänger zu WordPress-Benutzerrollen und -Berechtigungen
- So erhalten Sie ein kostenloses SSL-Zertifikat für Ihre WordPress-Website
- So beheben Sie den Fehler bei der sicheren Verbindung in WordPress
- Die besten WordPress-Backup-Plugins im Vergleich (Vor- und Nachteile)
- Ultimativer Leitfaden zur Sicherung Ihrer WordPress-Website
- Der ultimative Leitfaden zur WordPress-Sicherheit – Schritt für Schritt
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Samuel
Wow!, vielen Dank für diesen Artikel. Ich habe diese Schlüssel immer in der wp-config-Datei gesehen, aber nicht gewusst, welche Funktion sie haben. Dieser Artikel beleuchtet ihre Verwendung. Ich möchte jedoch eine Frage stellen. Wenn ich diese Sicherheitsschlüssel ändere, ohne mein Passwort zu ändern, wirkt sich das auf das Passwort aus? Ich bin nur neugierig.
WPBeginner Support
Die Sicherheitsschlüssel wirken sich nicht direkt auf Ihre Benutzernamen aus, daher sollte sich Ihr Passwort nicht ändern.
Admin
Samuel
Vielen Dank für die Klärung dieser Frage. Ich dachte anfangs, es könnte die Passwörter betreffen.
Mrteesurez
Ich höre hier in diesem Beitrag nur 'SALT', was ist der Unterschied zwischen SALT und KEY?
Kann ich diese Schlüssel einfach aktualisieren, auch wenn ich keinen Hackerangriff vermute?
Wenn ja, wie oft sollte er geändert werden?? Danke.
WPBeginner Support
Das hängt von Ihrer persönlichen Präferenz ab, aber sie können so oft wie wöchentlich oder einmal im Quartal geändert werden, je nachdem, wie oft Sie sie ändern möchten.
Admin
Jiří Vaněk
Bezüglich der Sicherheitsschlüssel stieß ich auf ein Problem, als ich die Website auf eine neue Datenbank migrierte. Selbst nachdem ich die Verbindung in der wp-config.php-Datei geändert hatte, weigerte sich WordPress, eine Verbindung zur neuen DB herzustellen, und meldete einen 'Verbindungsfehler'. Schließlich musste ich die alte wp-config.php löschen, eine neue aus dem Installationspaket hochladen, die Verbindung zur neuen Datenbank erneut eingeben, und dann funktionierte alles einwandfrei. Es scheint, dass die Schlüssel in der wp-config.php-Datei der Schuldige waren.
Josh
Wie oft empfehlen Sie, die Schlüssel zu ändern? Vierteljährlich, wie im Screenshot gezeigt?
WPBeginner Support
Wir haben derzeit keine spezifische empfohlene Aktualisierungszeit, außer mindestens nach einem Hack auf Ihrer Website.
Admin
Bjornen Nilsson
Hallo,
FRAGE »
Wirkt sich das auf etwas anderes als eine „extreme“ Erhöhung der Sicherheit aus, wenn der Webbrowser so eingestellt ist, dass er jedes Mal, wenn er geschlossen wird, den gesamten Verlauf, temporäre Dateien, Cookies usw. löscht UND wenn man nach jedem Ausloggen den SALT in wp-config ändert?
Danke!
shanderman
Hallo,
Ich habe 2 Produkt-URLs für 1 Produkt. Wie folgt:
example.com/?product=product-name
example.com/product/product-name/
warum? wie soll ich das beheben? bitte helfen Sie mir.
WPBeginner Support
Hallo shanderman,
Bitte besuchen Sie die Seite Einstellungen » Permalinks, um sicherzustellen, dass Ihre WordPress-Website SEO-freundliche URLs verwendet.
Zeigen Sie danach den Quellcode Ihrer Website an und stellen Sie sicher, dass das URL-Format angezeigt wird, das Ihnen gefällt.
Die hässliche URL-Struktur funktioniert in WordPress immer noch, wenn Sie sie im Browser eingeben. Die kanonische URL Ihres Produkts ist jedoch diejenige, die Sie auf der Permalinks-Einstellungsseite auswählen. Dies sind die URLs, denen Suchmaschinen folgen und die sie indizieren werden.
Admin
sam
Ich bin ein Anfänger in WordPress, ich habe einen Zweifel, wie diese Schlüssel WordPress sicher machen? Ich möchte die tatsächliche Rolle und Funktionsweise der Schlüssel wissen?
Kishan Dalsania
Was ist der tatsächliche Nutzen dieser Schlüssel in config.php? Können Sie definieren, wie sie Hacker abwehren?
sam
Hallo, ich habe diese Methode verwendet und kann mich überhaupt nicht auf meiner Website anmelden. Wie behebe ich das oder entferne die Probleme?
WPBeginner Support
Bitte sehen Sie sich unser Tutorial an: Was tun, wenn Sie aus dem WordPress-Adminbereich ausgesperrt sind.
Admin
kOoLiNuS
Nur eine schnelle Frage... Warum schlagen Sie vor:
Anstelle des Letzteren? Haben Sie Links, die diesen Ansatz unterstützen?
Vielen Dank im Voraus!
Nick
In WordPress 3.1 werden diese Schlüssel automatisch generiert.
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
Ich schätze diese Informationen und habe meine Dateien schnell aktualisiert. Meine Sorge ist dieselbe wie die von Rick vom April, dass diese Schlüssel für jeden zugänglich sind, der sie sich ansieht, wenn meine wp-config.php-Datei gehackt wird, richtig? Aber dann dachte ich, wenn meine wp-Datei gehackt wird und jemand anderes als ich sie sich ansieht, bin ich bereits in Schwierigkeiten...
Jede Vorsichtsmaßnahme ist jedoch besser, als nur auf das Beste zu hoffen! Vielen Dank für Ihre Arbeit und Mühe.
Keith Davis
Hallo
Danke für einen kurzen und informativen Beitrag.
Ich bemerke, dass in Ihrem Beispiel vier geheime Schlüssel vorhanden sind.
Es scheinen mehr geheime Schlüssel in Wordpress 3.0 zu geben – können diese zu früheren Versionen von Wordpress hinzugefügt werden?
Redaktion
Diese Schlüssel sind mit WordPress 3.0 verfügbar
Admin
Dave
Sie benötigen Version 3.0, um alle acht geheimen Schlüssel zu verwenden, anstelle der früheren vier. Der neue WordPress-Zufallsschlüsselgenerator befindet sich unter https://api.wordpress.org/secret-key/1.1/salt
Rick
Ähm, ändert das also Ihr Admin-Passwort oder was? Ich verstehe nicht, was das tut? Vielleicht liegt es daran, dass ich kein Hacker bin. Aber wenn das nur in Ihrer config.php-Datei gespeichert ist, wäre es dann nicht viel einfacher für einen Hacker, einfach in Ihre FTP-Seite einzubrechen und diesen Sicherheitsschlüssel aus der Konfigurationsdatei zu stehlen?
Ich möchte, dass meine WordPress-Websites sicherer sind, aber ich verstehe einfach nicht, was das verhindert?
Jack
Gut gesagt. Die Anweisungen sind ziemlich einfach, aber ich denke, die Sicherheit und der Schutz werden in der Dokumentation unterschätzt. Danke, dass Sie es erklärt und das Web zu einem sichereren Ort gemacht haben.
gabrielle
Wenn Sie mehrere WordPress-Websites entwickeln, erstellen Sie dann für jede einen Sicherheitsschlüssel oder verwenden Sie denselben für alle?
Redaktion
Use a new one
Admin
Konstantin
Während Sie dabei sind:
Warum nicht die Salzkonstanten definieren und sich einige Datenbankabfragen ersparen?!
Es sollte so aussehen:
define('AUTH_SALT', 'fügen Sie hier Ihre eindeutige Phrase ein');
define('SECURE_AUTH_SALT', 'fügen Sie hier Ihre eindeutige Phrase ein');
define('LOGGED_IN_SALT', 'fügen Sie hier Ihre eindeutige Phrase ein');
define('NONCE_SALT', 'fügen Sie hier Ihre eindeutige Phrase ein');
Dieser Artikel von Digging into Wordpress erklärt die Vorteile dieser Praxis.
Tony
Danke fürs Teilen!
Redaktion
Gute Idee, daran habe ich gar nicht gedacht.
Admin
beschädigt
sehr praktisch und wichtig, danke fürs Teilen