WordPress ist eines der bekanntesten und beliebtesten Content-Management-Systeme der Welt. Folglich ist WordPress ein häufiges Ziel für Sicherheitslücken wie Brute-Force-Angriffe, SQL-Injection, Malware, Cross-Site-Scripting und DDoS-Angriffe. In der Tat wurde kürzlich eine neue Art von Malware aufgerufen Clipsa startet Brute-Force-Angriffe auf WordPress-Sites und stiehlt Kryptowährungen, indem es die Zwischenablage entführt.
WordPress ist nur so sicher wie der Aufwand, den Sie in die Verbesserung der Sicherheit Ihrer Website investieren. Als Websitebesitzer liegt es in Ihrer Verantwortung, wachsam zu bleiben und eine proaktive Sicherheitsstrategie zu implementieren, um böswillige Angriffe zu verhindern. Die Verwendung schwacher Passwörter und Benutzernamen, das Fehlen einer Aktualisierung des WordPress-Kerns und der Plugins sowie das Hosting von schlechter Qualität gehören zu den häufigsten Sicherheitsfehlern, die Website-Besitzer machen und Hackern den Zugriff erleichtern.
WordPress ist auf seine Weise ein hochsicheres CMS. Unabhängig davon müssen Sie Ihre Sicherheitslage und Ihre Online-Glaubwürdigkeit verbessern, um Ihre WordPress-Site vor Cyberkriminellen zu schützen. Einfache Schritte wie das Aktualisieren des WordPress-Kerns, die Auswahl eines sicheren WordPress-Hosting-Anbieters und die Beachtung Domainname Sicherheit und die Verwendung eines sicheren Passworts können dazu beitragen, böswillige Bots und Angreifer zu blockieren.
In diesem Beitrag konzentrieren wir uns auf WordPress-Salze und Sicherheitsschlüssel und deren Rolle, um sicherzustellen, dass Sie sich nicht mit den Folgen von Malware-Angriffen auseinandersetzen müssen.
Was sind WordPress-Sicherheitsschlüssel und -Salze?
Wenn sich ein Benutzer bei der WordPress-Site anmeldet, werden auf dem Computer verschiedene Cookies erstellt. Diese werden verwendet, um die Identität registrierter Benutzer zu überprüfen. Wenn ein Hacker Ihre Datenbank betritt oder Ihre Cookies findet, kann er möglicherweise Ihr Passwort lesen, wodurch Ihre Website anfällig für Angriffe wird.
WordPress verwendet Sicherheitsschlüssel und -salze, um Ihnen eine kryptische Ausgabe zu geben, die in der Datenbank oder im Cookie gespeichert ist, und fügt Ihrer Website eine Sicherheitsebene hinzu.
Zwei dieser Cookies sind:
- WordPress_ [Hash] Es wird nur auf der Administrationsseite oder im WordPress-Dashboard verwendet.
- WordPress_logged_in_ [Hash] Wird in WordPress verwendet, um festzustellen, ob Sie bei WordPress angemeldet sind.
Die von WordPress in diesen Cookies gespeicherten Authentifizierungsdetails werden mithilfe der in den WordPress-Sicherheitsschlüsseln angegebenen Zufallsmuster gehasht (kryptische Werte zugewiesen).
WordPress-Sicherheitsschlüssel ist ein Passwort, das eine Reihe langer, komplizierter Zufallsvariablen enthält, die die Verschlüsselung verbessern und es nahezu unmöglich machen, Ihr Passwort zu knacken. Die neueste Version von WordPress verwendet vier Sicherheitsschlüssel mit jeweils dem entsprechenden Salz, die die Sicherheit Ihrer WordPress-Website erhöhen können.
Diese sind:
- AUTHENTIFIZIERUNGSSCHLÜSSEL kann verwendet werden, um Änderungen an der Site vorzunehmen. Es hilft Ihnen, das Autorisierungscookie für Nicht-SSL zu signieren.
- SECURE_AUTH_KEY Es wird verwendet, um das Autorisierungscookie für den SSL-Administrator zu signieren und um Änderungen an der Website vorzunehmen.
- LOGGED_IN_KEY Es wird verwendet, um ein Cookie für einen angemeldeten Benutzer zu erstellen. Es kann nicht verwendet werden, um Änderungen an der Site vorzunehmen.
- NONCE_KEY wird verwendet, um die zu unterschreiben Nonce-Schlüssel. Dieser Schlüssel schützt die Nonces vor der Generierung und schützt Ihre Site so vor Angriffen.
Sie finden diese Schlüssel und Authentifizierungssalze in der wp-config.php Datei, befindet sich im WordPress-Stammordner.
WordPress-Verkäufe Hierbei handelt es sich um zufällige Datenzeichenfolgen, die die Sicherheitsschlüssel codieren und der Site und Ihren Anmeldeinformationen eine zusätzliche Schutzschicht hinzufügen.
Wie Sie auf diesem Bild sehen können, verfügt jeder Sicherheitsschlüssel über ein entsprechendes Salt, nämlich AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT und NONCE_SALT.
Warum WordPress-Sicherheitsschlüssel und -Verkäufe verwenden?
WordPress verwendet Cookies, um die Identität der Benutzer zu verfolgen, die sich auf seiner Website anmelden. Diese Cookies werden im Control Panel-Konto Ihrer Website gespeichert, dh auf der Client-Seite. Zur besseren Verschlüsselung werden Authentifizierungsdetails (sowohl Benutzername als auch Kennwort) mit einer Reihe von Zufallswerten verschlüsselt, die in WordPress-Sicherheitsschlüsseln angegeben sind.
Daher ist ein zufällig generiertes verschlüsseltes Passwort wie "65a3ds2873ba27us36sd89s0fc" im Vergleich zu einem unverschlüsselten Passwort äußerst schwer zu knacken. Daher müssen Websitebesitzer WordPress-Sicherheitsschlüssel verwenden, um die Cookies ihrer Website zu schützen und zu verhindern, dass böswillige Hacker auf die Website zugreifen.
So ändern Sie WordPRess-Schlüssel und -Salze manuell
Sie können geheime Schlüssel und Salze manuell oder über ein WordPress-Sicherheits-Plugin konfigurieren. Wenn Sie eine selbst gehostete WordPress-Site haben, müssen Sie die Sicherheitsschlüssel selbst hinzufügen.
Bitte beachten Sie: Wir empfehlen, WordPress-Dateien nur manuell zu bearbeiten, wenn Sie Entwickler sind oder mit Code auf einer mittleren Ebene oder höher arbeiten möchten. Wenn Sie ein Anfänger sind, springen Sie zu den unten empfohlenen Plugins.
Verwenden Sie zuerst den Zufallsgenerator in WordPress, um einen eindeutigen geheimen Schlüssel zu erhalten.
Melden Sie sich dann über Ihr Control Panel oder über FTP beim Dateimanager an. Suchen Sie von hier aus die Datei wp-config.php, um sie zu ändern.
Öffnen Sie die Datei und scrollen Sie zum Abschnitt "Authentifizierungsschlüssel und eindeutige Salze". Hier können Sie die zuvor generierten geheimen Schlüssel hinzufügen.
Sobald Sie die Datei gespeichert haben, werden Sie aufgefordert, sich erneut anzumelden.
Verwenden Sie ein Plugin, um Schlüssel und Verkäufe zu aktualisieren
Wie die meisten Dinge in WordPress müssen Sie dies nicht manuell tun. Verschiedene WordPress-Plugins können verwendet werden, um den Prozess in Ihrem Namen zu automatisieren. Sie sind eine schnelle und einfache Möglichkeit, Ihre Passwörter zu ändern und WordPress zu beenden. Hier sind zwei, die wir empfehlen.
IThemes Sicherheit
Die aktuelle Version von iThemes Security (Free v4.6 + oder iThemes Security Pro v1.14 +) verfügt über eine zeitsparende Sicherheitsfunktion, mit der WordPress-Sicherheitsschlüssel einfach aktualisiert und beendet werden können. Es bietet jeden Monat eine Update-Erinnerung und vermeidet die Notwendigkeit, manuell einen neuen Schlüsselsatz zu generieren oder Ihre wp-config.php-Datei zu bearbeiten.
Um die Schlüssel und Verkäufe zu aktualisieren, gehen Sie zum Abschnitt 'WordPress-Verkäufe' auf der Registerkarte 'Erweitert', klicken Sie auf das Kontrollkästchen neben 'WordPress-Verkäufe ändern' und klicken Sie abschließend auf die Schaltfläche 'Verkäufe ändern' WordPress '.
IThemes Security Pro bietet zusätzliche Funktionen wie die Zwei-Faktor-Authentifizierung, den geplanten Malware-Scan und reCAPTCHA, um schädliche Software zu erkennen und Ihren WordPress-Anmeldeseiten eine zusätzliche Sicherheitsebene hinzuzufügen.
Salzstreuer
In ähnlicher Weise bietet Salt Shaker beeindruckende Funktionen und Einstellungen wie manuelle und sofortige WP-Sicherheitsschlüssel sowie Verkaufsänderungen, um die WordPress-Sicherheit zu verbessern.
Gleichzeitig können Sie nach der Installation des Salt Shaker-Plugins den geplanten Job für den automatischen Salzwechsel konfigurieren. Alles was Sie tun müssen, ist das Kontrollkästchen zu aktivieren und tägliche, wöchentliche oder monatliche Einstellungen zu wählen.
In beiden Fällen ist das Plugin so programmiert, dass automatische Erinnerungen zum Aktualisieren der WordPress-Schlüssel gesendet werden. Infolgedessen werden alle registrierten Benutzer gleichzeitig gezwungen, den Anmeldevorgang erneut durchzuführen. Alle diese Funktionen schützen eine Website vor Brute-Force-Angriffen und anderen Hacking-Versuchen.
Wenn es um den Schutz Ihrer WordPress-Site geht, ist Prävention der richtige Weg, um fortzufahren. Die starke Kombination von Sicherheitsschlüsseln und WordPress-Exits macht es Hackern schwer, Website-Passwörter zu knacken. Auf diese Weise bietet WordPress eine verbesserte Sicherheit für Benutzersitzungen und schützt Daten.
Schließlich sind hier einige Dinge zu beachten, die beim Aktualisieren von Sicherheitsschlüsseln und beim Beenden von WordPress zu beachten sind.
- Ändern Sie nach dem Starten Ihrer WordPress-Site die Sicherheitsschlüssel und die Salze.
- Verwenden Sie immer den WordPress-Salt-Key-Generator, um Sicherheitsschlüssel zu erstellen. Mach es nicht selbst. Alternativ können Sie den Prozess mithilfe eines WordPress-Plugins automatisieren.
- Durch das Aktualisieren der Sicherheitsschlüssel und WordPress-Exits werden alle vorhandenen Cookies ungültig, sodass alle Benutzer sofort getrennt werden. Denken Sie beim Ändern daran, dass einige Benutzer möglicherweise online sind.
- Wenn Sie Anzeichen dafür sehen, dass Ihre Website angegriffen wird, aktualisieren Sie die WordPress-Sicherheitsschlüssel und fordern Sie Ihre Benutzer auf, ihr Kennwort zu ändern.
Haben Sie eine Frage zu Sicherheitsschlüsseln und Salzen? Oder Tipps, die Sie hinzufügen würden? Lass es uns in den Kommentaren wissen!
