Auf hohem Niveau sind WordPress-Salts eine Möglichkeit, deine WordPress-Seite sicher zu halten, indem sie helfen, die Passwörter der Benutzer auf deiner Seite sicher zu speichern und zu authentifizieren.

In diesem Artikel wirst du folgendes erfahren:

Was Sind WordPress Salts? Genauer Beschrieben

WordPress-Salts sind zusammen mit ihren zugehörigen Sicherheitsschlüsseln ein kryptographisches Werkzeug, das hilft, die Anmeldung deiner WordPress-Seite zu schützen

Insbesondere Salts und Sicherheitsschlüssel schützen Informationen in den Cookies, die WordPress verwendet, um dich anzumelden.

Siehst du, sobald du dich bei WordPress angemeldet hast, hast du die Möglichkeit, eingeloggt zu bleiben, so dass du nicht jedes Mal deinen Benutzernamen und dein Passwort eingeben musst. Um dies zu erreichen, speichert WordPress deine Anmeldeinformationen in Cookies, anstatt PHP-Sitzungen zu verwenden.

Das ist für Benutzer sehr praktisch, eröffnet aber auch das Potenzial für ein Sicherheitsproblem, wenn jemand die Cookies deines Browsers missbrauchen kann.

Um dies zu vermeiden, verwendet WordPress Salts und Sicherheitsschlüssel, um deine Anmeldeinformationen zu schützen, so dass bösartige Personen nichts damit anfangen können. Stelle dir diese wie „zusätzliche“ Passwörter für deine Website vor, die für einen bösartigen Akteur fast unmöglich zu erraten sind.

Aufgrund ihrer Bedeutung solltest du deine WordPress-Salts und Sicherheitsschlüssel niemals mit anderen teilen.

Wo Befinden Sich WordPress Salts?

WordPress wird standardmäßig mit eigenen Salts und Sicherheitsschlüsseln ausgeliefert. Sie befinden sich in der Datei wp-config.php deiner Website. Du solltest acht Schlüssel insgesamt sehen:

  • Die ersten vier Einträge sind deine Sicherheitsschlüssel.
  • Die letzten vier Einträge sind deine WordPress-Salts.
Ein Beispiel der WordPress Salts in der wp-config.php Datei
Ein Beispiel der WordPress Salts in der wp-config.php Datei

Wie Funktionieren WordPress Salts?

Angenommen, dein Passwort für deine WordPress-Seite ist „mypassword“ (dies ist ein schreckliches Passwort, aber es passt zu unseren Zwecken).

Um sich anzumelden, gibst du deinen Benutzernamen und dein Passwort ein. WordPress speichert diese Informationen dann in zwei Browser-Cookies, so dass du eingeloggt bleibst (diese Informationen werden auch in der Datenbank deiner Website gespeichert).

Wenn WordPress dein Passwort jedoch einfach so speichert – „mypassword“ – dann ist es für einen bösartigen Akteur sichtbar. Dies wird als Speicherung des Passworts im Klartext bezeichnet, und es ist ein großes No-No, wenn es um Sicherheit geht.

Sicherheitsschlüssel und -Salts vermeiden dieses Problem, indem sie zusammenarbeiten, um dieses Klartextpasswort kryptografisch in ein zufälliges Durcheinander von Zeichen zu verwandeln, das für jemanden unmöglich ist, ohne Zugang zu deinen Schlüsseln und -Salts zurückzuentwickeln.

Obwohl du also „mypassword“ zum Anmelden eingegeben hast, verwandelt WordPress dein Passwort in so etwas wie „hsd78q34%7832$4jkhkjsfd7878782^^429nsdf“ zum Speichern.

Wenn eine Person keinen Zugriff auf deine Salts und Sicherheitsschlüssel hat, wäre es für sie unmöglich, dieses zufällige Durcheinander von Zeichen in dein tatsächliches Passwort zu übersetzen.

Musst Du Deine WordPress Salts und Sicherheitsschlüssel Ändern?

Standardmäßig werden neue WordPress-Installationen mit einem eigenen Satz von Schlüsseln und Salts ausgeliefert, so dass deine WordPress-Site bereits sicher ist, ohne dass du irgendwelche Maßnahmen ergreifen musst.

Es gibt jedoch einige Gründe, die eine regelmäßige Änderung deiner Salts und Schlüssel in Betracht ziehen.

Das grundlegende Konzept ist, dass du es einem böswilligen Akteur noch schwerer machst, deine Salts in die Finger zu bekommen, indem du deine Schlüssel und Salts regelmäßig wechselst.

Zusätzlich wird das Ändern deiner Salts automatisch alle angemeldeten Benutzer auf deiner Website ausloggen und sie zwingen, sich erneut anzumelden, was ein weiterer potenzieller Vorteil ist. Wenn du dich beispielsweise versehentlich auf einem öffentlichen Computer angemeldet hast und vergessen hast, dich abzumelden, kannst du dich damit zwangsweise von diesem Konto abmelden, um sicherzustellen, dass niemand Zugriff erhält.

Wie man Seine WordPress-Salts Ändert (Zwei Methoden)

Wenn du Salts in WordPress ändern möchtest, hast du zwei Hauptoptionen:

Hier ist, wie man beide Ansätze nutzt:

Wie man WordPress Salts Manuell Ändert

Um die Salts deiner Website manuell zu ändern, musst du dich per FTP mit dem Server deiner Website verbinden und deine Datei wp-config.php bearbeiten. Wenn du dir nicht sicher bist, wie du das machen sollst, lies dir diesen Artikel über die Verwendung von SFTP bei Kinsta durch.

Sobald du verbunden bist, gehe zum offiziellen WordPress.org Saltgenerator. Diese Seite generiert zufällig Salts und Sicherheitsschlüssel für dich, genau wie du es oben gesehen hast. Es sollte die vier Sicherheitsschlüssel plus vier Salts (insgesamt acht) erzeugen:

WordPress.org kann dir helfen neue Keys und Salts zu generieren
WordPress.org kann dir helfen neue Keys und Salts zu generieren

Lösche dann die vorhandenen Schlüssel in deiner wp-config.php-Datei und ersetze sie durch Einfügen der Schlüssel aus dem WordPress.org Saltgenerator:

Wie man die Salts in der wp-config.php Datei ändert
Wie man die Salts in der wp-config.php Datei ändert

Sobald du fertig bist, sollte es genau so aussehen wie vorher – es ist nur so, dass die zufälligen Zeichenketten unterschiedlich sind.

Achte darauf, dass du deine Änderungen speicherst und lade deine wp-config.php-Datei bei Bedarf erneut hoch.

Wie man WordPress Salts mit einem Plugin Ändert

Als Alternative zur manuellen Methode oben kannst du auch ein Plugin verwenden, um die Salts deiner Website zu ändern.

Das Salt Shaker Plugin ist eine beliebte kostenlose Option mit einem Vorteil gegenüber der manuellen Methode:

Du kannst es so einrichten, dass deine Salts automatisch nach einem von dir festgelegten Zeitplan geändert werden. Oder du kannst es auch einfach benutzen, um Salts manuell zu ändern.

Sobald du das Plugin installiert und aktiviert hast, gehe zu Tools Salt Shaker.

Wenn du deine Salts sofort manuell ändern möchtest, klicke einfach auf die Schaltfläche Jetzt ändern.

Oder du kannst auch die Funktion Geplante Änderung verwenden, um deine Salts automatisch in einem der folgenden Zeitpläne zu ändern:

  • Täglich
  • Wöchentlich
  • Monatlich
  • Vierteljährlich (alle drei Monate)
  • Halbjährlich (alle sechs Monate)
Wie man das Salt Shaker Plugin verwendet
Wie man das Salt Shaker Plugin verwendet

Einige WordPress Sicherheits-Plugins, insbesondere iThemes Security, enthalten auch Funktionen, die es einfach machen, deine WordPress-Salts zu ändern.

Zusammenfassung

WordPress-Salts und Sicherheitsschlüssel schützen den Anmeldeprozess deiner Website und die Cookies, die WordPress zur Authentifizierung von Benutzern verwendet.

Deine Website wird standardmäßig mit einem eigenen Satz von Salts und Schlüsseln geliefert, so dass du nichts einrichten musst, um von Salts zu profitieren.

Es gibt jedoch Sicherheitsvorteile, wenn du deine Salts regelmäßig änderst, um es böswilligen Akteuren noch schwerer zu machen, auf sie zuzugreifen.

Um deine Salts zu ändern, kannst du den WordPress.org Saltgenerator verwenden und deine wp-config.php-Datei manuell bearbeiten oder ein kostenloses Plugin wie Salt Shaker verwenden.