WordPress-Sicherheitsschlüssel sind Verschlüsselungsprotokolle, die deine Anmeldedaten schützen. Sie machen es Hackern schwerer, Zugang zu deiner Website zu erhalten. Obwohl du deine Website sicherer machen kannst, indem du die Sicherheitsschlüssel regelmäßig änderst, kann es schwierig sein, dies zu tun.

Zum Glück gibt es drei einfache Methoden, mit denen du deine WordPress-Sicherheitsschlüssel ändern kannst. Und das Beste ist, dass es für jede Benutzerstufe eine Methode gibt, vom WordPress-Anfänger bis zum kompletten Experten. Wenn du diese Anleitung befolgst, kannst du deine Website widerstandsfähiger gegen Sicherheitsbedrohungen machen.

In diesem Beitrag werfen wir einen genaueren Blick auf die WordPress-Sicherheitsschlüssel. Außerdem erklären wir dir, warum du deine Sicherheitsschlüssel aktualisieren solltest und zeigen dir drei einfache Möglichkeiten, wie du das tun kannst. Los geht’s!

Eine Einführung in WordPress-Sicherheitsschlüssel

WordPress-Sicherheitsschlüssel sind Verschlüsselungswerkzeuge, die deine Anmeldedaten schützen. Sie sperren und entsperren deine Passwörter und andere Details. Auf diese Weise sind deine Daten für Hacker schwer zu entschlüsseln und du kannst Betrug und anderen Betrug auf deiner Website verhindern.

Wenn du dich bei deiner WordPress-Website anmeldest, speichern Cookies deine Anmeldeinformationen auf deinem Computer. Deshalb musst du dich nicht jedes Mal anmelden, wenn du die Seite neu lädst oder deine Seite erneut besuchst.

All diese Informationen werden in einer verschlüsselten Form (die von WordPress generiert wird) mit zufälligen Zeichenketten gespeichert. Dadurch sind deine Anmeldedaten nicht von den Zeichen zu unterscheiden, was es schwer macht, sie zu stehlen.

Die Schlüssel werden automatisch von WordPress generiert und in deiner wp-config.php Datei gespeichert. Es gibt insgesamt vier Sicherheitsschlüssel:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONE_KEY

Jeder Sicherheitsschlüssel hat ein entsprechendes WordPress-Salt. Salts sind kryptografische Werkzeuge, die helfen, Informationen in deinen Cookies zu sichern. Wie die Schlüssel werden auch die Salts in der Datei wp-config.php gespeichert:

  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONE_SALT

Zusammen speichern WordPress-Sicherheitsschlüssel und Salts deine Daten sicher und authentifizieren Passwörter auf deiner Website.

Der Unterschied zwischen WordPress-Sicherheitsschlüsseln und Salts

WordPress-Sicherheitsschlüssel sind fast gleichwertig mit Passwörtern. Sie können eine Nachricht mit alphanumerischen Zeichen und Sonderzeichen verschlüsseln. Anschließend verwendest du denselben Schlüssel, um die Informationen wieder in Klartext zu entschlüsseln.

Der Verschlüsselung wird ein Salt hinzugefügt, damit das Passwort nicht so leicht entschlüsselt werden kann. Daher bieten sie eine zusätzliche Sicherheitsebene.

Insgesamt sind Salts und WordPress-Sicherheitsschlüssel ähnlich, da beide Protokolle deine Website weniger anfällig für Sicherheitsbedrohungen machen. Es ist nicht ungewöhnlich, dass WordPress-Websites gehackt werden, besonders wenn sie normale Passwörter mit mittlerem Schwierigkeitsgrad verwenden. Eine zufällige Zeichenfolge ist jedoch fast unmöglich zu knacken.

Wann du deine WordPress-Sicherheitsschlüssel ändern solltest

Da die WordPress-Sicherheitsschlüssel von WordPress generiert werden, musst du dir in der Regel keine Sorgen um sie machen. Es gibt jedoch einige Situationen, in denen es sinnvoll ist, deine Sicherheitsschlüssel zu ändern:

  • Ein böswilliger Akteur hat möglicherweise die Datei wp-config.php deiner Website eingesehen oder darauf zugegriffen (auch auf ein lokales Backup).
  • Deine Website wurde mit Malware infiziert.
  • Du solltest deine Passwörter regelmäßig ändern, um es Hackern zu erschweren, in deine Website einzudringen. Du kannst dies etwa alle sechs Monate tun.

Wenn du Malware auf deiner Website findest, ist der erste Schritt, deine Website zu scannen, um die Malware zu beseitigen. Idealerweise hast du jedoch ein Tool, das Probleme erkennt und behebt, bevor sie zu problematisch werden.

Kinsta APM ist ein Tool zur Leistungsüberwachung, das speziell für WordPress entwickelt wurde. Es ermöglicht es dir, Probleme auf deiner Website zu erkennen und sie schnell zu beheben:

Kinsta APM für die Leistungsüberwachung
Kinsta APM

So erhältst du zum Beispiel mit Zeitstempel versehene Informationen über Probleme wie lange API-Aufrufe, langsame Datenbankabfragen und nicht optimierten Code. Und das Beste: Kinsta APM ist bei allen unseren Hosting-Angeboten kostenlos dabei.

So änderst du WordPress-Sicherheitsschlüssel (3 Methoden)

Jetzt, wo du mehr über WordPress-Sicherheitsschlüssel weißt, schauen wir uns drei einfache Methoden an, um sie zu ändern!

1. Verwende ein spezielles Plugin

Der einfachste Weg, deine WordPress-Sicherheitsschlüssel zu ändern, ist die Verwendung eines hochwertigen Plugins. Das Salt Shaker Plugin wurde genau für diesen Zweck entwickelt:

Salzstreuer-Plugin
Salt Shaker

Außerdem kannst du mit Salt Shaker automatische Zeitpläne für Schlüssel- und Salzwechsel einrichten. Außerdem kannst du ganz einfach Passwörter festlegen und vergessen, weil du weißt, dass das Tool sich um den Rest kümmert.

Um loszulegen, musst du nur das Plugin in WordPress installieren und aktivieren. Dann navigierst du zu Tools > Salt Shaker:

Ändern von WordPress-Sicherheitsschlüsseln mit dem Salt Shaker Plugin
Salt Shaker plugin settings

Hier kannst du einen Zeitplan festlegen, um deine Sicherheitsschlüssel und Salts regelmäßig zu ändern. Du kannst auch auf Jetzt ändern klicken, um die Werte sofort zu aktualisieren.

2. Verwende ein allgemeines Sicherheits-Plugin

Sicherheits-Plugins sind hilfreich, da sie in der Regel viele Sicherheitsaufgaben automatisieren, z. B. Backups und Updates. Je nach Anbieter kannst du außerdem von zusätzlichen Sicherheitsmaßnahmen wie Firewalls und Malware-Scans profitieren.

Sucuri Security ist eine ausgezeichnete Wahl und hat sich auf die Sicherheit von WordPress spezialisiert. Es ist kostenlos und bietet eine Reihe von Sicherheitsfunktionen, darunter Malware-Scans aus der Ferne, die Überprüfung von Sicherheitsaktivitäten und Sicherheitsmaßnahmen nach einem Hack:

Sucuri Sicherheits-Plugin
Sucuri Security

Eine weitere gute Option ist Wordfence Security, das über vier Millionen Installationen hat und sich auf Firewall- und Malware-Scans spezialisiert hat. Wenn du dir nicht sicher bist, welches WordPress-Sicherheitsplugin du verwenden sollst, kannst du dir unseren Beitrag ansehen: Sucuri vs. Wordfence.

Wir zeigen dir, wie du deine WordPress-Sicherheitsschlüssel mit Sucuri ändern kannst. Installiere und aktiviere zunächst das Plugin. Dann gehst du zu Sucuri Security > Einstellungen und wechselst auf den Reiter Post-Hack:

Sucuri Sicherheits-Plugin für WordPress
Sucuri Security

Als nächstes scrollst du nach unten und klickst auf Neue Sicherheitsschlüssel generieren:

Generiere neue Sicherheitsschlüssel mit Sucuri Security
Generiere neue Sicherheitsschlüssel mit Sucuri Security

Du kannst auch einen Zeitplan für die Aktualisierung deiner Schlüssel festlegen. Verwende einfach das Dropdown-Menü, um den für deine Website am besten geeigneten Zeitrahmen auszuwählen. Klicke dann auf Senden.

3. Manuelles Ändern der WordPress-Sicherheitsschlüssel

Es ist möglich, deine Sicherheitsschlüssel manuell zu ändern. Dazu musst du jedoch auf die Dateien deiner Website zugreifen. Da du eine wichtige Kerndatei bearbeiten musst, ist es wichtig, dass du dich dabei sicher fühlst. Die beiden vorangegangenen Methoden sind vielleicht besser geeignet, wenn du ein Anfänger bist.

Um diese Methode anzuwenden, musst du neue Sicherheitsschlüssel und Salt-Werte vom WordPress-Generator für geheime Schlüssel erhalten:

Ein Screenshot des neuen WordPress Sicherheitsschlüssel-Generators
WordPress neuer Sicherheitsschlüssel-Generator

Dann erstelle ein Backup deiner Website, falls etwas schief geht. Es kann auch nützlich sein, eine Staging-Umgebung einzurichten. Das kannst du mit unserem Premium Add-on für Staging-Umgebungen tun. Damit wird eine Kopie deiner Website erstellt, in der du neue Software testen und Updates sicher ausführen kannst, ohne dir Sorgen machen zu müssen, dass deine Website kaputt geht.

Als nächstes musst du die Datei wp-config.php finden und bearbeiten. Du kannst die Datei per FTP herunterladen, um sie zu bearbeiten und wieder in WordPress hochzuladen. Alternativ kannst du auch den Dateimanager verwenden, um die Datei direkt zu bearbeiten.

Du findest die Datei in deinem Ordner public_html. Unten auf dem Screenshot siehst du die Datei wp-config.php:

Auffinden der Datei wp-config.php
Locatie the wp-config.php file

Öffne die Datei und scrolle nach unten, bis du Authentication Unique Keys and Salts siehst:

Ändern der Sicherheitsschlüssel in der Datei wp-config.php
Ändern der Sicherheitsschlüssel in der Datei wp-config.php

Ersetze dann einfach die Salts und Keys durch die neuen, von WordPress generierten Codes. Alle eingeloggten Benutzer/innen müssen sich danach wieder auf deiner Website anmelden. Ihre Benutzernamen und Passwörter bleiben jedoch dieselben.

Wenn du fertig bist, klicke auf Speichern. Du brauchst dir die neuen Werte nicht aufzuschreiben, denn du brauchst sie nicht mehr zu wissen.

6 Andere Möglichkeiten, deine WordPress-Logins zu schützen

Das Ändern der WordPress-Sicherheitsschlüssel ist zwar eine gute Möglichkeit, die Sicherheit deiner Website zu erhöhen, aber es gibt noch andere Möglichkeiten, deine Anmeldedaten zu schützen. Hier sind sechs unserer wichtigsten Tipps!

1. Ermutige zu starken, einzigartigen Passwörtern

Es ist schön und gut, wenn du dein eigenes sicheres Passwort einrichtest. Es ist aber auch wichtig, dass sich alle anderen Nutzer/innen deiner Website an die gleichen Standards halten.

Nur 4 % der Nutzer/innen verwenden einen Passwortgenerator, um ein Firmenpasswort zu erstellen. 76 % der Nutzer/innen wählen ihre Passwörter selbst.

Das kann zu schwachen, wiederverwendeten Passwörtern führen, die leicht zu erraten sind. Auch heute noch sind die häufigsten Passwörter, die in Leaks gefunden werden, „Passwort“ und „123456“. Deshalb solltest du einzigartige, sichere Passwörter erstellen, um deine Website zu schützen.

Wenn du keinen Passwortmanager verwendest, solltest du bedenken, dass die sichersten Passwörter aus Klein- und Großbuchstaben bestehen. Außerdem solltest du Sonderzeichen und Zahlen verwenden und darauf achten, dass deine Passwörter so lang wie möglich sind. Wir empfehlen, Wörter aus dem Wörterbuch oder Passwörter, die du schon einmal benutzt hast, nicht zu verwenden.

2. Verwende die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung erfordert zwei Authentifizierungsmethoden für den Zugang zu deiner Website. In der Regel ist der erste Schlüssel ein Passwort (wie du es normalerweise verwenden würdest) und der zweite kann ein Echtzeitcode sein, der per Nachricht oder E-Mail verschickt wird. Da Bots den zweiten Schlüssel nicht erstellen können, ist die Zwei-Faktor-Authentifizierung eine gute Möglichkeit, die Cloud-Sicherheit zu verbessern.

Du kannst diese Authentifizierungsmethode mit einem Plugin wie WP 2FA auf deiner Website einrichten:

WP 2FA Zwei-Faktor-Authentifizierung WordPress-Plugin
WP 2FA

WP 2FA ist ein flexibles Tool, das mehrere Authentifizierungsmethoden unterstützt, z. B. E-Mail-OTP, E-Mail-Links, Push-Benachrichtigungen, Sprachauthentifizierung, Whatsapp und mehr. Mit einer einfachen Installation kannst du diese Funktion sofort auf deiner Website aktivieren, egal ob du einen WooCommerce-Shop oder eine Mitglieder-Website betreibst.

3. Login-Versuche begrenzen

Auch wenn Hacker deine Passwörter nicht kennen, können sie bekannte Kombinationen aus Passwort und Benutzername verwenden, um sich Zugang zu deiner Website zu verschaffen. Diese Bedrohungen sind als Brute-Force-Angriffe bekannt und werden immer beliebter.

Deshalb ist es eine gute Idee, ein Plugin zu installieren, das die Anmeldeversuche begrenzt. Limit Login Attempts Reloaded ist eine hervorragende Option:

Limit Login Attempts Reloaded Plugin
Limit Login Attempts Reloaded

Dieses Plugin kann Brute-Force-Angriffe verhindern und die Leistung deiner Website optimieren, indem es die Anmeldeversuche für WordPress, WooCommerce und benutzerdefinierte Anmeldeseiten begrenzt. Für zusätzliche Sicherheit kannst du auch deine WordPress-Anmeldeseite ändern, um es Hackern zu erschweren, die Kontrolle über deine Website zu übernehmen.

4. Aktiviere Auto-Logouts

Je nach deinen Einstellungen meldet WordPress die Nutzer/innen nach einer bestimmten Zeit (normalerweise zwischen 48 Stunden und 14 Tagen) automatisch von deiner Website ab. Wenn du deine Sitzung jedoch in einem Tab offen lässt, können Hacker über die Cookies in deinem Browser die Kontrolle über deine Seite übernehmen.

Deshalb kann es hilfreich sein, ein Plugin zu installieren, das Nutzer/innen nach einer bestimmten Zeit von deiner Website abmeldet. Inactive Logout beendet automatisch inaktive Benutzersitzungen:

Inaktives Logout-Plugin
Inactive Logout Plugin

Du kannst die Leerlaufzeit festlegen und einen Countdown von zehn Sekunden aktivieren, um die Nutzer/innen auf die Abmeldung hinzuweisen. Du kannst auch eine benutzerdefinierte Popup-Meldung erstellen, um die Nutzer/innen zu benachrichtigen oder sie auf eine Timeout-Seite umzuleiten. Das Plugin bietet eine einfache Benutzeroberfläche (UI) und lässt sich schnell und einfach einrichten.

5. Überprüfe die Benutzerrollen

Es ist wichtig, sicherzustellen, dass die Nutzer/innen deiner Website die richtigen Rechte haben. Es kann zum Beispiel vorkommen, dass du einen Redakteur für einen bestimmten Zweck in eine Administratorrolle umwandelst. Wenn du jedoch vergisst, diese Berechtigung wieder aufzuheben, ist deine Website anfälliger für Angriffe, da ein Hacker mit dem Administratorenkonto auf alles zugreifen kann.

Deshalb empfehlen wir, die Berechtigungen zu entziehen, sobald die Aufgaben erledigt sind. Es kann auch eine gute Idee sein, deine Benutzerrollen regelmäßig zu überprüfen und sicherzustellen, dass die Benutzer/innen die richtigen Zugriffsrechte haben. Wenn du feststellst, dass einige Nutzer/innen unzulässige Rechte haben, kannst du sie ganz einfach ändern, indem du in deinem WordPress-Dashboard auf Nutzer/innen gehst.

6. Deaktiviere XML-RPC

XML-RPC ist eine WordPress-Funktion, mit der du Inhalte aus der Ferne veröffentlichen kannst. Diese Funktion ist zwar sicher, kann aber auch von Hackern genutzt werden, um sich mit roher Gewalt Zugang zu deiner Website zu verschaffen.

Wenn du die Funktion nicht brauchst, ist es daher am besten, XML-RPC zu deaktivieren, um deine Website sicherer zu machen. Das kannst du mit einem Plugin tun oder indem du deine .htaccess-Datei bearbeitest.

Zusammenfassung

Das Ändern deiner WordPress-Sicherheitsschlüssel ist eine gute Möglichkeit, um deine Anmeldedaten zu schützen. Zum Glück ist das ganz einfach, indem du ein Plugin verwendest oder die Dateien deiner Website änderst. So kannst du es Hackern fast unmöglich machen, auf deine Website zuzugreifen.

Der einfachste Weg, deine Sicherheitsschlüssel zu ändern, ist ein spezielles Plugin wie Salt Shaker. Du kannst aber auch ein allgemeines Sicherheits-Plugin wie Sucuri verwenden. Dieses Tool enthält weitere nützliche Funktionen wie Malware-Scans und Firewalls. Schließlich kannst du deine Schlüssel auch manuell ändern, indem du deine wp-config.php-Datei bearbeitest.

Du kannst die Sicherheit deiner Website auch verbessern, indem du ein sicheres WordPress-Hosting wählst. Bei Kinsta setzen wir zwei leistungsstarke Firewalls ein, um deine Website zu schützen. Außerdem bieten wir einen kostenlosen SSH-Zugang, die Installation von SSL-Zertifikaten mit nur einem Klick und ein spezielles Malware-Team. Schau dir noch heute unsere Tarife an und fang an!