Der Neubau von WordPress ist fast schon fertig. Dazu passend haben die WP-Entwickler heute sozusagen die “Schlüsselübergabe” an die neue WordPress-Version vorgenommen und WordPress einen vierten Geheimschlüssel spendiert.

WordPress 2.5 musste ja noch mit einem Geheimschlüssel auskommen, WordPress 2.6 hat dann schon drei geheime Keys einsetzen können, und in der Version 2.7 kommt noch ein vierter dazu. Der Zweck dieser secret keys ist es, geheime Daten des Blogs wie Passwörter oder Cookies so zu versalzen, dass diese Daten selbst dann nicht dekodierbar sind, wenn der verschlüsselte Wert einmal in falsche Hände gerät.

WordPress 2.7 führt einen geheimen Schlüssel für die Nonces ein, die beispielsweise zum Schutz gegen CSRF eingesetzt werden.

Alle vier Schlüssel sollen möglichst individuell und zufällig sein. Gemäß einer altgewohnten Tradition stelle ich hier einen Generator für die nötigen Zufallsziffern zur Verfügung, die man anschließend einfach in die wp-config.php kopieren kann:

define('AUTH_KEY', 'e5806a498b9b6f58c4f90ebc1f580a83');
define('SECURE_AUTH_KEY', '1c88556b4ca93d55729f6d8ecbc398eb');
define('LOGGED_IN_KEY', '2d1923d593eace98e1856009b8a5aac3');
define('NONCE_KEY', 'd305d77b10791f8d1ac5bfd755c560c2');

Warum das Ganze, fragt man sich? Ich vermute, dass im Zug der Betatests zu WP 2.7 Sicherheitsbedenken aufgetaucht sind, die eine weitere Sicherheitsmaßnahme erfordert haben und zur Einführung dieses vierten Geheimschlüssels führten.

Genaueres werden wir – wenn überhaupt – erst dann erfahren, wenn eine eventuell bestehende Sicherheitslücke öffentlich dokumentiert wurde. Diese Advisories werden von verantwortungsbewussten Sicherheitsexperten üblicherweise erst dann veröffentlicht, wenn der betroffene Softwarehersteller bereits eine fehlerbereinigte Version publiziert hat.

In diesem Fall werden wir demnach also wahrscheinlich nach Erscheinen von WordPress 2.7 mehr wissen.

8. Dezember 2008, 22:08 − Abgelegt in

Kommentare

Ich glaube, dass man es nur für Erweiterungen benötigt. Die Abfrage ist in der pluggable.php zu finden und die steht ja für Erweiterungen in WP.

Frank · 9. Dezember 2008, 10:38 · #

Danke vielmals für deinen Schlüsselersteller. Auch wenn es immer so einfach erscheint vermassele ich es und nehme doch immer einfach Sätze. Natürlich zwischendrin mal n $ oder ? Aber so fühl ich mich direkt wohler.
Viele Grüße

Florian Langer · 10. Dezember 2008, 20:30 · #

Danke vielmals. folgende Fragen habe ich:

  • Wieso nur “Hex-Werte”?
  • Wieso nicht länger?
  • Was passiert, falls man einen Schlüssel wechselt?
  • Wie erfährt man, dass man in einen wp-config.php Schlüssel einfügen sollte, wenn man deinen Blog nicht liest?

Hoffe du kannst die einte oder andere Frage beantworten.

— Frager · 11. Dezember 2008, 14:48 · #

Kann man den Schlüssel auch noch einfügen nachdem man die Version 2.7 schon “installiert” und die Datenbank aktuallisiert hat?

danke vielmals!

— Frager · 11. Dezember 2008, 14:50 · #

@Frager: Ich bin mal so frei zu antworten:

  • Lässt sich vermutlich am einfachsten generieren und sorgt dafür, dass keine Zeichen generiert werden, die “unpraktisch” wären (z.B. Anführungszeichen, Semikola).
  • Macht die Sache wohl kaum sicherer. Die Länge geht voll okay, es ginge sogar kürzer.
  • Du musst dich neu einloggen, falls du aktiviert hast, dass WP dich eingeloggt lassen soll
  • /
  • Ja, kann man.

jottlieb · 11. Dezember 2008, 18:43 · #

Danke für die Tipps. Werde mich nun auch endlich mal an das Update setzen.

Christian · 11. Dezember 2008, 23:46 · #

Kommentarfunktion für diesen Artikel geschlossen.