Möchten Sie mehr über WordPress-Sicherheitsschlüssel und Salts erfahren?
WordPress verwendet Sicherheitsschlüssel, um Ihre Website vor Hackerangriffen zu schützen. Sie können diese effizienter nutzen, um die Sicherheit von WordPress zu verbessern.
In diesem Artikel werden wir besprechen, was WordPress-Sicherheitsschlüssel und Salts sind und warum Sie sie verwenden sollten.
Was sind WordPress Security Keys und SALTs?
WordPress-Sicherheitsschlüssel sind ein Verschlüsselungstool, das Anmeldeinformationen schützt, indem es ihre Entschlüsselung erschwert.
Diese Schlüssel funktionieren wie echte Schlüssel und werden verwendet, um verschlüsselte Informationen wie Passwörter zu sperren und zu entsperren, damit Ihre WordPress-Website sicher bleibt.
Das funktioniert folgendermaßen.
Wenn Sie sich bei einer WordPress-Website anmelden, werden Ihre Informationen in Cookies auf Ihrem Computer gespeichert. So können Sie weiter an Ihrer Website arbeiten, ohne sich bei jedem Seitenaufruf neu anmelden zu müssen.
Alle Informationen werden in verschlüsselter Form gespeichert, indem sie in eine Zeichenkette aus alphanumerischen und Sonderzeichen umgewandelt werden.
Diese verschlüsselten Daten können mit WordPress-Sicherheitsschlüsseln übersetzt werden. Ohne die Schlüssel ist es nahezu unmöglich, diese Daten zu knacken.
Diese Sicherheitsschlüssel werden automatisch von Ihrer WordPress-Website generiert und in Ihrer WordPress-Konfigurationsdatei (wp-config.php) gespeichert.
Es gibt insgesamt vier Sicherheitsschlüssel:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Neben den WordPress-Sicherheitsschlüsseln finden Sie auch die folgenden SALTs.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Salts fügen Ihren verschlüsselten Informationen zusätzliche Informationen hinzu, die eine weitere Sicherheitsebene für Ihre verschlüsselten Daten darstellen.
Warum WordPress-Sicherheitsschlüssel verwenden?
WordPress-Sicherheitsschlüssel schützen Ihre Website vor Hacking-Versuchen, indem sie Ihre Passwörter sicher machen.
Ein normales Passwort mit mittlerem Schwierigkeitsgrad kann beispielsweise leicht mit Brute-Force-Angriffen geknackt werden.
Andererseits dauert es Jahre, eine Kennwortfolge wie „7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49“ ohne Kenntnis der Sicherheitsschlüssel zu entschlüsseln.
Deshalb sollten Sie die WordPress-Sicherheitsschlüssel niemals an andere weitergeben und sie so schützen, wie Sie normalerweise sensible Informationen online schützen würden.
Werfen wir also einen Blick darauf, wie Sie WordPress-Sicherheitsschlüssel verwenden können, um Ihre WordPress-Website zu schützen.
Wie verwendet man WordPress-Sicherheitsschlüssel?
Normalerweise müssen Sie nichts weiter tun, da WordPress in den meisten Fällen bei jeder neuen WordPress-Installation automatisch Sicherheitsschlüssel und -salze erzeugt und verwendet.
Sie können Ihre WordPress-Sicherheitsschlüssel und -salts mit einem FTP-Client oder der Dateimanager-App in Ihrem WordPress-Hosting-Kontrollpanel anzeigen.
Verbinden Sie sich einfach mit Ihrer Website und öffnen Sie die Datei wp-config.php. Darin sehen Sie Ihre WordPress-Sicherheitsschlüssel definiert.
Je nachdem, wie Sie WordPress ursprünglich installiert haben, kann es jedoch sein, dass auf Ihrer Website überhaupt keine Sicherheitsschlüssel definiert sind.
Wenn Ihre Sicherheitsschlüssel leer sind, dann machen Sie sich keine Sorgen. Sie können sie ganz einfach manuell hinzufügen, indem Sie auf die Seite WordPress Security Key Generator gehen, um einen neuen Satz von Schlüsseln zu generieren.
Kopieren Sie diese Schlüssel und fügen Sie sie in Ihre wp-config.php-Datei ein, und schon sind Sie fertig.
Sie können die gleiche Methode verwenden, um Ihre aktuellen WordPress-Sicherheitsschlüssel zu löschen und durch neue Schlüssel zu ersetzen.
Hinweis: Wenn Sie die Sicherheitsschlüssel ersetzen, sind alle Benutzer gezwungen, sich erneut anzumelden, was der Sicherheit zugute kommt.
WordPress-Sicherheitsschlüssel mit einem Plugin neu generieren
Wenn Sie vermuten, dass Ihre Website gehackt wurde, müssen Sie die WordPress-Sicherheitsschlüssel neu generieren und Ihre Passwörter ändern.
Sie können neue Sicherheitsschlüssel wie oben erwähnt manuell kopieren und einfügen. Eine viel einfachere Methode ist jedoch die Verwendung eines Plugins. Auf diese Weise können Sie auch einen Zeitplan festlegen, um die Sicherheitsschlüssel regelmäßig automatisch zu erneuern.
1. WordPress-Sicherheitsschlüssel mit Sucuri aktualisieren
Der einfachste Weg, WordPress-Sicherheitsschlüssel automatisch zu regenerieren, ist die Verwendung von Sucuri. Es ist eines der besten WordPress-Sicherheits-Plugins auf dem Markt, das Ihre WordPress-Website vor gängigen Bedrohungen schützt.
Installieren und aktivieren Sie einfach das Sucuri Security Plugin. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Nach der Aktivierung müssen Sie die Seite Sucuri Security “ Einstellungen besuchen und auf die Registerkarte Post-Hack wechseln.
Von hier aus klicken Sie einfach auf die Schaltfläche Neue Sicherheitsschlüssel generieren unter dem Abschnitt „Geheime Schlüssel aktualisieren“.
Hinweis: Wenn Sie neue Sicherheitsschlüssel generieren, werden Sie aus dem WordPress-Administrationsbereich ausgeloggt und müssen sich erneut anmelden.
Rufen Sie danach erneut die Seite Sucuri Security “ Einstellungen auf und wechseln Sie erneut auf die Registerkarte Post-Hack.
Aktivieren Sie im Abschnitt Sicherheitsschlüssel die automatische Aktualisierung der Geheimschlüssel, indem Sie eine Häufigkeit (täglich, wöchentlich, monatlich, jährlich) auswählen. Klicken Sie dann auf die Schaltfläche Senden.
Sucuri setzt nun automatisch Ihre WordPress-Sicherheitsschlüssel zurück, je nach der von Ihnen gewählten Häufigkeit.
2. WordPress-Sicherheitsschlüssel mit Salt Shaker aktualisieren
Diese Methode ist für Benutzer gedacht, die Sucuri nicht verwenden und die Regeneration des Sicherheitsschlüssels automatisieren müssen.
Zunächst müssen Sie das Salt Shaker-Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Nach der Aktivierung müssen Sie die Seite Tools “ Salt Shaker besuchen, um die Plugin-Einstellungen zu konfigurieren.
Von hier aus können Sie einen Zeitplan für die automatische Generierung von Sicherheitsschlüsseln festlegen. Sie können auch einfach auf die Schaltfläche „Jetzt ändern“ klicken, um die Sicherheitsschlüssel sofort neu zu generieren.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat zu verstehen, was WordPress-Sicherheitsschlüssel sind und wie man sie verwendet. Vielleicht interessieren Sie sich auch für unseren Leitfaden zur Behebung häufiger WordPress-Fehler oder unsere Expertenauswahl der wichtigsten WordPress-Plugins für Ihre Website.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
Regarding security keys, I encountered an issue when migrating the website to a new database. Even after changing the connection in the wp-config.php file, WordPress refused to connect to the new DB, reporting an ‚establishing error.‘ Eventually, I had to delete the old wp-config.php, upload a new one from the installation package, re-enter the connection to the new database, and then everything worked fine. It seems that the keys in the wp-config.php file were the culprit.
Josh says
How often do you recommend changing the keys? Quarterly as shown in the screenshot?
WPBeginner Support says
We do not have a specific recommended refresh time at the moment other than after a hack on your site at a minimum.
Admin
Bjornen Nilsson says
Hi,
QUESTION »
Will it affect anything besides „extreme“ increased security if one has the web browser set to delete all history, temp, cookies etc. every time it is shut down AND if one changes the SALT in wp-config after logging out each time?
Thanks!
shanderman says
Hi,
I have 2 url product,for 1 product.like this:
example.com/?product=product-name
example.com/product/product-name/
why? how should i fix it? please help me.
WPBeginner Support says
Hi shanderman,
Please visit Settings » Permalinks page to make sure that your WordPress site is using SEO friendly URLs.
After that view your website’s source code and make sure that it is showing the URL format that you like.
The ugly URL structure will still work in WordPress if you typed it in the browser. However, your product’s canonical URL will be the one you choose on the permalinks settings page. This is the URLs that search engines will follow and index.
Admin
sam says
I am a beginner to WordPress , i have a doubt how those keys make the WordPress secure ? i want to know the actual role and working of the keys ?
Kishan Dalsania says
What is the actual benefit of these using the keys in config.php. Can you define how it will work to prevent the hackers?
sam says
Hi , i have used this method and can not log onto my site at all. how do i fix it or remove the issues
WPBeginner Support says
Please take a look at our tutorial on what to do when you are locked out of WordPress admin area.
Admin
kOoLiNuS says
Just a quick question… Why do you suggest to:
Instead of the latter? Have you got some links that dig this approach?
Thank you in advance!
Nick says
In wordpress 3.1 these keys are automatically generated.
MichealKennedy says
Was just gonna ask „why don’t they just automatically generate these for you?“ but you answered it
Riese F says
Appreciate this information and quickly updated my files. My concern is the same as Ricks‘ from April in that if my wp-config.php file is hacked then these keys are available to whomever is looking at them correct? But then I thought that if my wp file is hacked and someone other than me is looking at them I am already in trouble…
Any precaution is better than just hoping for the best though! Thank you for your work and efforts.
Keith Davis says
Hi
Thanks for a short and informative post.
I notice that in your example there are four secret keys.
There appear to be more secret keys in WordPress 3.0 – can these be added to previous versions of WordPress?
Editorial Staff says
Those keys become available with WordPress 3.0
Admin
Dave says
You’ll need to use 3.0 to utilise all eight secret keys, rather than the former four. The new WordPress random key generator can be found at https://api.wordpress.org/secret-key/1.1/salt
Rick says
Um, so does this change your admin password or what? I don’t understand what this does? Maybe that’s because I’m not a hacker. But, if this is just stored in your config.php file, wouldn’t it be way easier for a hacker just to hack into your ftp site and nab this security key out of the config file?
I want my WordPress sites to be more secure, but I just don’t understand what this is preventing?
Jack says
Nicely said. The directions are pretty easy, but I think the security and safety is understated in the documentation. Thanks for spelling it out and making the web a safer place.
gabrielle says
if you develop multiple wordpress sites do you create a security key for each one or use the same one on all of them?
Editorial Staff says
Use a new one
Admin
Konstantin says
While you’re adt it:
Why not define the salt constants and save yourself some database queries?!
It should look like this:
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
This article from Digging into WordPress explains the advantages of this practice.
Tony says
Thanks for sharing!
Editorial Staff says
Good idea, didn’t even think of that.
Admin
maged says
very handy and important thanks for sharing