Bedeutung secret_key

suedkind · 06.04.2008, 11:45

Hallo zusammen,

via diesem Thread http://forum.wordpress-deutschland.o...tml#post159056 bin ich auf den Secret Key in der wp-config.php aufmerksam geworden.

Ich hatte die Wordpress-Version mit der schon bestehenden wp-config.php betrieben, daher ist das irgendwie an mir vorbeigegangen.

Habe mir schon Editing wp-config.php « WordPress Codex durchgelesen. Aber so richtig schlau bin ich nicht draus geworden.

Was es machen soll, ist klar -> mehr Sicherheit, aber wie? Was hat das für Auswirkungen? Werden die Login-Daten mit dem secret-key verschlüsselt?

jottlieb · 06.04.2008, 11:47

» Secure Cookies and Passwords boren.nu

kroder · 06.04.2008, 15:34

Die Frage, die sich mir dabei nun stellt:

Kann ich den Key nachträglich einfach in wp-config.php eintragen? Merkt das WP und salted die Kennwörter automatisch?

Oder muß ich danach die Kennwörter ändern?

codestyling · 06.04.2008, 16:25

Selbst wenn ich den nachträglich ändere, kann ich mich einloggen.
Aber Achtung, es gibt 2 Stellen im WP, wo man den Key eingeben muß, obwohl nur eine bekannt ist:

wp-config.php (dürfte bekannt sein)
wp-settings.php (ist nirgends dokumentiert)

in wp-settings.php findet man:

PHP-Code:

  /**
 * Should be exactly the same as the default value of SECRET_KEY in wp-config-sample.php
 * @since 2.5
 */
$wp_default_secret_key = 'bla bla...';

Der sollte ebenfalls angepasst werden. Risiken und Nebenwirkungen, wenn man's nicht macht, hab ich noch nicht testen können.

Mod.: Bitte die Code-Auszeichnungen des Forums benutzen! Danke!

H75 · 06.04.2008, 17:42

Öhm. Tatsächlich. In der wp-settings.php auch nochmal... Ist doch scheisse, wenn das nirgends steht. Ist der denn nicht wichtig? Ich hab den jetzt nachträglich eingetragen und mal mit einem Blog-Eintrag darauf hingewiesen.

jottlieb · 06.04.2008, 20:56

Ich würde da keine voreiligen Schlussfolgerungen ziehen...vielleicht wird der Eintrag aus der wp-settings.php garnicht oder nur benutzt, wenn man in der wp-config.php keinen entsprechenden Eintrag hat.

suedkind · 06.04.2008, 21:18

jedenfalls musste ich mich in meinem blog noch mal neu einloggen, nachdem ich den entsprechenden eintrag in der wp-config.php gemacht hatte, insofern scheint es dort zu reichen

kroder · 07.04.2008, 00:33

stimmt, es tut

codestyling · 07.04.2008, 00:52

Falls der Eintrag in der wp-settings.php nur für den Fall da sein sollte, dass man das nicht in der wp-config.php drinstehen hat, dann wäre das ein potentielles Sicherheitsrisiko für Leute die ihre "alten" Blogs updaten aber ihre alte wp-config.php unverändert behalten !

Mit dem Wissen, welcher "default string" in WP eingebaut ist, können u.U. Hacker was anfangen und in die Blogs einbrechen!

Ich hab zwar noch keine konkrete Vorstellung, wie man das ausnutzen könnte, aber es fühlt sich für mich "unsicher" an. Eine Sicherheitsanalyse wäre hilfreich.

jottlieb · 07.04.2008, 09:20

Zitat:

Mit dem Wissen, welcher "default string" in WP eingebaut ist, können u.U. Hacker was anfangen und in die Blogs einbrechen!

Sie konnten schon mit normalen MD5-PW-Hashes ohne salting nicht in den Blog einbrechen.
Also warum sollte das nun möglich sein?