Der Neubau von WordPress ist fast schon fertig. Dazu passend haben die WP-Entwickler heute sozusagen die “Schlüsselübergabe” an die neue WordPress-Version vorgenommen und WordPress einen vierten Geheimschlüssel spendiert.
WordPress 2.5 musste ja noch mit einem Geheimschlüssel auskommen, WordPress 2.6 hat dann schon drei geheime Keys einsetzen können, und in der Version 2.7 kommt noch ein vierter dazu. Der Zweck dieser secret keys ist es, geheime Daten des Blogs wie Passwörter oder Cookies so zu versalzen, dass diese Daten selbst dann nicht dekodierbar sind, wenn der verschlüsselte Wert einmal in falsche Hände gerät.
WordPress 2.7 führt einen geheimen Schlüssel für die Nonces ein, die beispielsweise zum Schutz gegen CSRF eingesetzt werden.
Alle vier Schlüssel sollen möglichst individuell und zufällig sein. Gemäß einer altgewohnten Tradition stelle ich hier einen Generator für die nötigen Zufallsziffern zur Verfügung, die man anschließend einfach in die wp-config.php
kopieren kann:
Warum das Ganze, fragt man sich? Ich vermute, dass im Zug der Betatests zu WP 2.7 Sicherheitsbedenken aufgetaucht sind, die eine weitere Sicherheitsmaßnahme erfordert haben und zur Einführung dieses vierten Geheimschlüssels führten.
Genaueres werden wir – wenn überhaupt – erst dann erfahren, wenn eine eventuell bestehende Sicherheitslücke öffentlich dokumentiert wurde. Diese Advisories werden von verantwortungsbewussten Sicherheitsexperten üblicherweise erst dann veröffentlicht, wenn der betroffene Softwarehersteller bereits eine fehlerbereinigte Version publiziert hat.
In diesem Fall werden wir demnach also wahrscheinlich nach Erscheinen von WordPress 2.7 mehr wissen.
8. December 2008, 22:08 − Abgelegt in Sicherheit WordPress 2.x
Kommentare
Kommentarfunktion für diesen Artikel geschlossen.
Ich glaube, dass man es nur für Erweiterungen benötigt. Die Abfrage ist in der pluggable.php zu finden und die steht ja für Erweiterungen in WP.
— Frank · 9. December 2008, 10:38 · #
Danke vielmals für deinen Schlüsselersteller. Auch wenn es immer so einfach erscheint vermassele ich es und nehme doch immer einfach Sätze. Natürlich zwischendrin mal n $ oder ? Aber so fühl ich mich direkt wohler.
Viele Grüße
— Florian Langer · 10. December 2008, 20:30 · #
Danke vielmals. folgende Fragen habe ich:
Hoffe du kannst die einte oder andere Frage beantworten.
— Frager · 11. December 2008, 14:48 · #
Kann man den Schlüssel auch noch einfügen nachdem man die Version 2.7 schon “installiert” und die Datenbank aktuallisiert hat?
danke vielmals!
— Frager · 11. December 2008, 14:50 · #
@Frager: Ich bin mal so frei zu antworten:
— jottlieb · 11. December 2008, 18:43 · #
Danke für die Tipps. Werde mich nun auch endlich mal an das Update setzen.
— Christian · 11. December 2008, 23:46 · #
Hallo! An dieser Stelle ein dickes Lob für diesen genialen Keygenerator. Astrein!!! :-)
— IK 2005 · 12. April 2012, 12:42 · #
Hallo! Irgendwie scheint der Schlüsselgenerator defekt zu sein, oder? Wenn ich auf “Gib mir noch mehr Schlüssel” klicke, passiert irgendwie nicht – zumindest bekomme ich keine neuen angezeigt.
— Patrick · 19. June 2012, 08:22 · #
Patrick, da war ein übereifriger Cache im Spiel. Der Fehler ist behoben.
— Robert · 19. June 2012, 08:45 · #
@ Robert: Super, Danke! :-)
— Patrick · 20. June 2012, 08:12 · #