Sobald man sich in WordPress einloggt, werden durch Cookies verschiedene Informationen im Browser zwischengelagert. Die Sicherheitsschlüssel spielen bei der Verschlüsselung der Informationen, die in den Cookies abgelegt werden, eine wichtige Rolle. Sie sorgen dafür, dass Manipulationen seitens eines Angreifers erheblich erschwert werden und tragen damit zu einer höheren Sicherheit bei.

Mit Version 2.5 wurde in WordPress erstmals ein Sicherheitsschlüssel (SECRET_KEY) eingeführt. Dieser wurde ab Version 2.6 durch drei andere Schlüssel (AUTH_KEY, SECURE_AUTH_KEY und LOGGED_IN_KEY) ersetzt und mit Version 2.7 kam schlussendlich ein weiterer Schlüssel (NONCE_KEY) hinzu.

Diese Sicherheitsschlüssel müssen in der Konfigurationsdatei wp-config.php eingetragen werden. Bei einer Neuinstallation wird man derzeit noch nicht aufgefordert diese Schlüssel anzugeben – an keiner Stelle des Installationsvorgangs wird man über die Sicherheitsschlüssel informiert und lediglich im Quelltext der Datei wp-config-sample.php (bzw. wp-config.php) gibt es einen Hinweis. Auch bei einer Aktualisierung wird nicht überprüft ob die Sicherheitsschlüssel vorhanden sind.

Wie trägt man die Sicherheitsschlüssel ein?

Die Schlüssel sind schnell eingetragen und wir empfehlen dies allen Anwendern ganz ausdrücklich.

1.) hole Dir via FTP die Datei wp-config.php auf Deinen Rechner und öffne sie mit einem Texteditor.

2.) in der Datei findest Du die folgenden vier Zeilen*:

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');

* Solltest Du schon seit einer frühen Version WordPress installiert haben sind in Deiner wp-config.php-Datei – je nach verwendeter Version – entweder kein, einer oder drei Schlüssel vorhanden.

3.) gehe in Deinem Browser auf die folgende Seite: http://api.wordpress.org/secret-key/1.1/ – dort werden Dir vier zufällige Sicherheitsschlüssel generiert. Diese Schlüssel werden bei jedem Seitenaufruf neu generiert, sind also immer einzigartig. Kopiere diese vier Zeilen und ersetzte die entsprechenden Zeilen in Deiner geöffneten wp-config.php Datei.

4.) lade die Datei via FTP in Dein WordPress-Verzeichnis …und fertig!

In der Version von de.wordpress.org wurde es zum wiederholten Male versäumt in der wp-config-Datei alle Schlüssel vorzubereiten! Für Nutzer dieser Version gilt natürlich auch alles vorher genannte.