Security Keys
Was sind Security Keys in WordPress?
Security Keys – auch bekannt als WordPress Salts – sind zufällige, lange Zeichenketten, die in der wp-config.php gespeichert werden. Sie dienen dazu, Cookies und gespeicherte Passwörter zu verschlüsseln und Anmeldedaten sicherer zu machen.
Wie funktionieren Security Keys technisch?
Wenn du dich in WordPress einloggst, wird ein Cookie in deinem Browser gesetzt. Dieser Cookie enthält verschlüsselte Informationen über deine Sitzung. Die Security Keys werden dabei als zusätzliche Zufallskomponente in die Verschlüsselung eingemischt – das sogenannte „Salting“. Das macht es für Angreifer extrem schwer, gültige Cookies zu fälschen oder zu erraten.
In der wp-config.php gibt es acht solcher Keys und Salts:
AUTH_KEYSECURE_AUTH_KEYLOGGED_IN_KEYNONCE_KEYAUTH_SALTSECURE_AUTH_SALTLOGGED_IN_SALTNONCE_SALT
Wann solltest du die Security Keys erneuern?
Neue Keys generierst du kostenlos über den offiziellen WordPress-Generator unter api.wordpress.org/secret-key/1.1/salt/. Die generierten Werte trägst du dann in der wp-config.php ein.
Es gibt konkrete Situationen, in denen du die Keys erneuern solltest:
- Nach einem Hack – um alle aktiven Sitzungen sofort zu beenden und Angreifer auszusperren
- Nach einem Datenleck – wenn die
wp-config.phpversehentlich öffentlich zugänglich war - Wenn du einen Verdacht hast, dass jemand unbefugten Zugriff hatte
- Regelmäßig als Vorsichtsmaßnahme – einmal im Jahr ist eine solide Gewohnheit
Wichtig: Das Erneuern der Security Keys meldet alle eingeloggten Nutzer – einschließlich dich selbst – sofort ab. Das ist kein Bug, sondern der gewünschte Effekt.
