1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

wp-config.php DB_PASSWORD Klartext - Verschlüsseln ?

Dieses Thema im Forum "Konfiguration" wurde erstellt von der-mali, 26. Oktober 2012.

Schlagworte:
  1. der-mali

    der-mali New Member

    Registriert seit:
    28. Mai 2010
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo,



    es gibt viele Tipps, wie man die wp-config-ph schützen kann
    - mit deny in einer .htaccess Datei,
    - die wp-config-php in den Ordner oberhalb des Root-Verzeichnisses verschiebt,
    - mit setzen der File Permission auf 400 (das dürfte das Minimum sein, damit WP noch funktioniert).
    Diese habe ich alle berücksichtigt und auch angewandt, außer dem Verschieben der wp-config.php, da einer meiner Provider das nicht zuläßt.


    ABER:
    In der wp-config.php steht
    define('DB_PASSWORD', 'diesistmeinpasswort');
    im Klartext!

    Ich habe trotz Google nichts gefunden, wie man das verändern könnte.

    Gibt es denn eine Möglichkeit, dieses Paßwort mit einem Generator zu verschlüsseln, damit es nicht mehr im Klartext dasteht?

    Auch in einer .htaccess / .htpasswd Kombination für einen Verzeichnis-Schutz steht das Paßwort verschlüsselt in der . htpasswd Datei und ganz selten im Klartext da.

    Warum scheint das bei einem inzwischen so komplexen CMS wie Wordpress nicht auch möglich zu sein?


    Eine Möglichkeit wäre natürlich ein SSL / https-Zertifikat zu verwenden, da ist mir aber der finanzielle Aufwand auf den ersten Blick etwas zu groß.
    Einen Proxy SSL-Anbieter suche ich noch (nicht so einfach, wie es scheint).



    Verzweifelte Grüße,
    Thomas
     
    #1 der-mali, 26. Oktober 2012
  2. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Bei der .htaccess bzw. .htpasswd handelt es sich ja um die Stelle, wo das Passwort geprüft wird. Da läßt sich sowas verschlüsselt ablegen, weil nicht mit dem eingegebenen Klartext-Passwort, sondern mit dem daraus erzeugten Hash/Crypt-Wert verglichen wird.

    Bei Wordpress/PHP (wp-config.php) ist es aber die andere Seite, als quasi die Stelle, wo das Passwort "eingegeben" wird. Entsprechend kann dort eine Verschlüsselung nicht funktionieren.
    Es ist in etwas so, als würdest Du Dich selbst z.B. per phpMyAdmin bei der Datenbank anmelden. Da mußt Du auch das Passwort im Klartext eintippen.

    Gruß
    Ingo
     
    #2 Putzlowitsch, 26. Oktober 2012
  3. der-mali

    der-mali New Member

    Registriert seit:
    28. Mai 2010
    Beiträge:
    4
    Zustimmungen:
    0
    Ja, das verstehe ich.
    War vielleicht auch ein dummer Vergleich.

    Dein Beitrag hat mir nun die Hoffnung genommen, daß es geht mit der Verschlüsselung und ich werde Ruhe geben und auch nicht mehr weitersuchen.

    Vielleicht gibt es ja in der Zukunft eine sicherer Lösung.

    Vielen Dank an Ingo!
     
    #3 der-mali, 26. Oktober 2012
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden