1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Bedeutung secret_key

Dieses Thema im Forum "Konfiguration" wurde erstellt von suedkind, 6. April 2008.

  1. suedkind

    suedkind Well-Known Member

    Registriert seit:
    5. Oktober 2004
    Beiträge:
    1.665
    Zustimmungen:
    0
    Hallo zusammen,

    via diesem Thread http://forum.wordpress-deutschland.org/plugins-und-widgets/27115-kein-login-mehr-moeglich-probleme-mit-navt-2.html#post159056 bin ich auf den Secret Key in der wp-config.php aufmerksam geworden.

    Ich hatte die Wordpress-Version mit der schon bestehenden wp-config.php betrieben, daher ist das irgendwie an mir vorbeigegangen.

    Habe mir schon Editing wp-config.php « WordPress Codex durchgelesen. Aber so richtig schlau bin ich nicht draus geworden.

    Was es machen soll, ist klar -> mehr Sicherheit, aber wie? Was hat das für Auswirkungen? Werden die Login-Daten mit dem secret-key verschlüsselt?
     
    #1 suedkind, 6. April 2008
  2. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    #2 jottlieb, 6. April 2008
  3. kroder

    kroder Active Member

    Registriert seit:
    29. Dezember 2007
    Beiträge:
    38
    Zustimmungen:
    0
    Die Frage, die sich mir dabei nun stellt:

    Kann ich den Key nachträglich einfach in wp-config.php eintragen? Merkt das WP und salted die Kennwörter automatisch?

    Oder muß ich danach die Kennwörter ändern?
     
    #3 kroder, 6. April 2008
  4. codestyling

    codestyling WPD-Team

    Registriert seit:
    30. März 2008
    Beiträge:
    1.904
    Zustimmungen:
    0
    Selbst wenn ich den nachträglich ändere, kann ich mich einloggen.
    Aber Achtung, es gibt 2 Stellen im WP, wo man den Key eingeben muß, obwohl nur eine bekannt ist:
    1. wp-config.php (dürfte bekannt sein)
    2. wp-settings.php (ist nirgends dokumentiert)
    in wp-settings.php findet man:

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Der sollte ebenfalls angepasst werden. Risiken und Nebenwirkungen, wenn man's nicht macht, hab ich noch nicht testen können.

    Mod.: Bitte die Code-Auszeichnungen des Forums benutzen! Danke!
     
    #4 codestyling, 6. April 2008
    Zuletzt von einem Moderator bearbeitet: 6. April 2008
  5. H75

    H75 Well-Known Member

    Registriert seit:
    14. November 2005
    Beiträge:
    140
    Zustimmungen:
    0
    Öhm. Tatsächlich. In der wp-settings.php auch nochmal... Ist doch scheisse, wenn das nirgends steht. Ist der denn nicht wichtig? Ich hab den jetzt nachträglich eingetragen und mal mit einem Blog-Eintrag darauf hingewiesen.
     
    #5 H75, 6. April 2008
  6. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Ich würde da keine voreiligen Schlussfolgerungen ziehen...vielleicht wird der Eintrag aus der wp-settings.php garnicht oder nur benutzt, wenn man in der wp-config.php keinen entsprechenden Eintrag hat.
     
    #6 jottlieb, 6. April 2008
  7. suedkind

    suedkind Well-Known Member

    Registriert seit:
    5. Oktober 2004
    Beiträge:
    1.665
    Zustimmungen:
    0
    jedenfalls musste ich mich in meinem blog noch mal neu einloggen, nachdem ich den entsprechenden eintrag in der wp-config.php gemacht hatte, insofern scheint es dort zu reichen
     
    #7 suedkind, 6. April 2008
  8. kroder

    kroder Active Member

    Registriert seit:
    29. Dezember 2007
    Beiträge:
    38
    Zustimmungen:
    0
    stimmt, es tut :)
     
    #8 kroder, 7. April 2008
  9. codestyling

    codestyling WPD-Team

    Registriert seit:
    30. März 2008
    Beiträge:
    1.904
    Zustimmungen:
    0
    Falls der Eintrag in der wp-settings.php nur für den Fall da sein sollte, dass man das nicht in der wp-config.php drinstehen hat, dann wäre das ein potentielles Sicherheitsrisiko für Leute die ihre "alten" Blogs updaten aber ihre alte wp-config.php unverändert behalten !

    Mit dem Wissen, welcher "default string" in WP eingebaut ist, können u.U. Hacker was anfangen und in die Blogs einbrechen!

    Ich hab zwar noch keine konkrete Vorstellung, wie man das ausnutzen könnte, aber es fühlt sich für mich "unsicher" an. Eine Sicherheitsanalyse wäre hilfreich.
     
    #9 codestyling, 7. April 2008
    Zuletzt bearbeitet: 7. April 2008
  10. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Sie konnten schon mit normalen MD5-PW-Hashes ohne salting nicht in den Blog einbrechen.
    Also warum sollte das nun möglich sein?
     
    #10 jottlieb, 7. April 2008
  11. Tari Narmolanya

    Tari Narmolanya Active Member

    Registriert seit:
    5. Februar 2008
    Beiträge:
    41
    Zustimmungen:
    0
    Wenn ich das noch mal aufgreifen darf hier.

    Also ist das was hier beschrieben wird kein April Scherz? Denn in Frank Bültge's Blog konnte man am 1. April etwas ähnliches lesen....:???:
     
    #11 Tari Narmolanya, 22. April 2008
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden