Bei dem ein oder anderen Blogger liegt die Erstinstallation von WordPress ja schon eine Weile zurück und wer hat in der Zwischenzeit daran gedacht, die Sicherheitsschlüssel in der wp-config.php zu erweitern, also die neu hinzugekommenen Sicherheitsschlüssel nachzurüsten? Wer WordPress bereits vor der Version 2.5 im Einsatz hatte, könnte sogar über keinen dieser Sicherheitsschlüssel verfügen, falls er diese nicht händisch nachgepflegt hat. Bei der ein oder anderen WordPress Installation habe ich das tatsächlich gemacht, aber auch nicht immer und auch nicht bei allen.
Also gleich als ersten Schritt die aktuelle wp-config.php öffnen und nachsehen, ob sich die insgesamt 4 aktuellen Sicherheitsschlüssel darin befinden: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY.
Wer keinen oder nicht alle 4 Sicherheitsschlüssel in seiner wp-config.php stehen hat, sollte die fehlenden nachrüsten, denn diese Sicherheitsschlüssel sind auch dafür verantwortlich, WordPress sicherer zu machen.
Damit wir uns nicht selbst Phrasen für diese Sicherheitsschlüssel überlegen müssen, hilft uns WordPress unter diesem Link dabei, eindeutige und sichere Schlüssel zu generieren.
Das Ganze muss natürlich in die Datei wp-config.php eingetragen werden, also sollte z.B. so aussehen (Kopie aus der aktuellen config-sample.php von WordPress):
/**#@+
* Sicherheitsschlüssel.
*
* Ändere jeden KEY in eine beliebiege, möglichst einzigartige Phrase. Du brauchst dich später
* nicht mehr daran erinnern, also mache sie am besten möglichst lang und kompliziert.
* Auf der Seite https://api.wordpress.org/secret-key/1.1/ kannst du dir alle KEYS generieren lassen.
* Bitte trage für jeden KEY eine eigene Phrase ein.
*
* @seit 2.6.0
*/
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
Ab WordPress 3.0 gibt es 4 weitere Sicherheitsschlüssel (AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT und NONCE_SALT). Die entsprechende Generierung für die kompletten 8 Sicherheitsschlüssel für WordPress 3.0 kann unter diesem Link erfolgen.
Datei wp-config.php schützen
Weiter finde ich es noch wichtig die Datei wp-config.php vor Zugriffen zu schützen. Dafür ist folgender Eintrag in der htaccess Datei zuständig:
# Datei wp-config Schutz
<files wp-config.php>
Order deny,allow
deny from all
</files>Dies sind zwei wirklich kleine Schritte und doch sind sie in ihrer Wirkung WordPress wieder einen Schritt sicherer zu machen, sehr effektiv.
- Einträge in die wp-config.php um WordPress etwas schneller zu machen - Wie ja bereits vor Kurzem erwähnt, gibt es ein paar Konstanten, die man in die wp-config.php eintragen kann, um WordPress etwas schneller zu machen. Ein kleiner Aufwand, der...
- WordPress sicher machen – Datenbank Sicherheit - Damit WordPress von außen nicht oder nur schwer gehackt werden kann, gibt es ja so einige Tricks und Kniffe, um WordPress sicherer zu machen. Die Sicherheit geht vor,...
- .htaccess Passwortschutz für wp-admin - Der ein oder andere von Euch, der sich das neue Feature der Google Webmastertools – Website Leistung – zu Gemüte geführt hat, mag sich vielleicht schon gefragt haben:...
- WordPress More Tag Sprungmarke entfernen - Etwas was ich vor längerem bereits bei Jeffrey gefunden hatte und bei mir bis dato immer über einen Core-Eingriff lief, habe ich nun endlich auf all meinen Blogs...
- WP-Memory-Usage – Plugin für den PHP Speicherverbrauch - Mit den neueren WordPress Versionen kann es hin und wieder schon mal bei einigen Webhostern vorkommen, dass das Memory Limit, also der vom Webhoster einem Paket zugewiesene maximale...
- PHP Cache Script für einzelne WordPress Datenbank Abfragen - Ein einfaches PHP Script, welches den Cache für einzelne WordPress Datenbank Abfragen ermöglicht, und zudem manuell an diversen Stellen des Themes einzupflegen ist, stellt die Lösung zur Reduzierung...
- WordPress Blog auf eine neue Domain umziehen - Da ich genau das ja gerade erst für Michaela gemacht habe und mir der neue Artikel von Andreas ToDo Liste – Umzug eines WordPress Blogs auf eine neue...
- Bilder, Banner oder Text in den WordPress RSS Feed einfügen - Hin und wieder wäre es schön, wenn die Möglichkeit bestünde einige Bilder, einen Banner oder auch etwas Text in den WordPress RSS Feed einzufügen. Etwas generelles, das in...
Ich würde aber damit warten bis WordPress 3.0 kommt. Diese soll am 15 Juni erscheinen und selbst wer ein wenig wartet wird wohl zum Beginn von Juli auf WP 3.0 Updaten. Dann kann alles in ein Abwasch passieren.
Nochmal vier schlüssel? Wow…
Werde ich direkt mal eintragen. Die RC’s liefen auf meinem Testsystem bisher super, werde vermutlich recht zügig das Update auf die 3.0 machen.
Die Farben im neuen Backend finde ich noch etwas… trostlos, aber was soll’s!
Mit der Sicherheit sollte man nie warten, sonst hast Du viel Spass eine verseuchte Datenbank auf WP3 zu updaten und merkst es vielleicht zunächst nicht einmal.
@Peter: Wenn dann vielleicht alles in einem Aufwasch, das ist sicher besser. Wobei ich nicht weiß wann ich auf 3.0 upgraden werde, bei mir zieht sich das immer etwas.
@Marc: Aber nicht gleich, aber 2.9.2 laufen die 4 zusätzlichen 3.0er Schlüssel nicht
@Jan: Sorry, aber mit einer verseuchten Datenbank hat das ja nun nix zu tun…
Doch hat es. Ich bezog mich auf den kompletten Artikel und der .htaccess-Schutz der config-Datei dient genauso wie die Keys dazu, die Installation weniger angreifbar zu machen. Bei einer angreifbaren Installation würde im Normalfall zunächst externer PHP-Code eingebunden und wenn dieser was taugt, würde der Hack über Datenbankveränderungen dafür sorgen, daß er bei einer Neuinstallation mit den alten Datenbankinhalten wieder eingebunden würde. Somit sollte man jetzt für maximale Sicherheit sorgen, um nicht im Falle eines Falles nachher die Daten manuell bereinigen zu dürfen.
Sicherste Möglichkeit ist immer noch die wp-config in ein Verzeichnis zu legen, das über das www nicht zu erreichen ist. Leider funktionieren heutzutage immer noch viele Plugins dann nicht mehr, da diese immer noch nicht an den Standards orientiert sind
Was haben denn diese Schlüssel zu sagen?
Außerdem würde mich interessieren, was der htaccess-Schutz der wp-config.php bringen sollte? Ich meine wenn man versucht, die wp-config.php über den Browser aufzurufen, erscheint eh eine leere Seite…
Ich hab auch die WP-Ordner in der .htaccess geschützt, allerdings sollte man bei wp-content aufpassen, dass man wichtige plugins und scripte durch allow freischaltet, so z.B. den tinyeditor.
Sag mal Tanja, wenn du htaccess verwenden kannst, warum hast du dann damals dein php-Speicher-Limit nicht selbstständig hochgesetzt? Hat das bei dir nicht funktioniert? Ich gebe dafür folgenden Befehl in die .htaccess ein:
php_value memory_limit 64M
Aber bitte Leute nicht den wp-content-Ordner schützen, wenn ihr noch jemanden auf Euren Blog begrüßen wollte. Ich meinte selbstverständlich, wp-includes. Oh und hinsichtlich der wp-admin lasse ich nur eine begrenzte IP-Auswahl zu. Andere empfehlen auch hier das komplette deny. Dies kann ich allerdings nicht so ganz nachvollziehen, da ich mich ohne Freischaltung meiner IP auch aus dem Admin-Bereich blocke.
So, Tanja, damit ich dich nicht noch weiter spamme, werde ich mich die nächsten Tagen, während der WM ein wenig zurückziehen. Schlafdefizit wirkt sich nicht so vorteilhaft auf meine geistige Zurechnungsfähigkeit aus.
Natürlich kann man das Limit auch erhöhen und verringern. Generell sollt man, an dem Wert aber nicht unbedacht, dran rumspielen, wenn man kein höheres Speicherlimit benötigt.
Da ich wirklich nicht gut erklären kann, hier nochmal meine allows in den einzelnen htaccess, ansonsten deny from all
htaccess für den wp-includes:
allow from Eurer IP z.B.
für diese dateiformate allow from all css,jpe?g,png,gif,js
auch allow zumind. von eurer IP tiny_mce_config.php
htaccess für den wp-admin.
allow from Eurer IP
und für den wp-content-Ordner würde ich eine htaccess nur empfehlen, wenn Ihr Euch wirklich komfortabel damit fühlt, da ihr wissen müsst, welche Plugins zum Content gehören und bei deny zur Verzehrung des Inhalts führen. Sprich nicht angezeigt werden:
allow from Eurer IP selbstverständlich
allow from all für diese Datei-Formate css,jpe?g,png,gif,js
und für Plugins, die angezeigt werden müssen!
@Jan: Okay, so rum hat es schon was damit zu tun. Hatte es falsch aufgefasst
@Markus: Ja, das wäre am sichersten aber wegen den von Dir genannten Gründen auch eben oft nicht wirklich durchführbar.
@Top Ding: Hier (http://blog.wordpress-deutschland.org/2009/06/19/sicherheitsschluessel-in-der-datei-wp-configphp.html) findest Du eine Erklärung über die Sicherheitsschlüssel.
In der wp-config Datei hat außer einem selbst niemand etwas zu suchen, weswegen man sie über die htaccess sperren sollte.
@Anne: Ich habe Deine Kommentare zu einem zusammengefügt, ich hoffe das ist ok?
Über die htaccess kann ich bei mir das Limit nicht hochsetzen, da es von meinem Server so nicht aktzeptiert wird. Die 64M, die ich als Standard habe, habe ich in die wp-config eingetragen, da WordPress sie sonst auch gar nicht nutzt. Alles was mehr als 32M ist, solllte da eingetragen werden, denn sonst greifen nur die 32M (siehe wp-settings).
Da ich selbst wechselnde IPs verwende, kann ich mit der IP Version in der htaccess nur wenig machen, außer mich selbst aussperren
Ja, völlig, ich hätte mich nicht gewundert, wenn du sie gänzlich gelöscht hättest, ich war ja so durch den Wind. Wie sagt man so schön, nachdenken, dann schreiben, ich hab geschrieben und dann gedacht
Das mit dem IP-Aussperren hab ich auch schon trotz fixer geschafft
Hab nicht daran gedacht, dass man auch mal von der Arbeit, gern was verändern möchte 
Ich glaub, für mich wäre es auch gut, wenn ich die Hände gänzlich von der htaccess nehmen würde. Du kannst sicher sein, dass wann immer du meinen Blog besuchst und statt der Startseite eine Error_Meldung bekommst, ich wieder einmal mit meiner htaccess rumspiele. 
Ich weiß aber auch nicht, wie ich mich anders durchtesten sollte. Die meisten Herren, die die htaccess und ihre Funktionen erklären, erklären es in “hoch-nerd”. Das verstehe ich dann nicht, und versuche dann durch Fehler zu lernen 
Was mich beim Speicherlimit mal interessieren würde, wozu ich aber bisher immer noch keine genau Aussage gefunden hab, ist, warum man es möglichst gering halten sollte. Alle sagen, möglichst nicht zu hoch gehen und wenn dann nur auf Dateien oder Ordner beschränkt. Aber scheinbar fühlt sich niemand in der Lage, dies genau zu erklären. Hast du da eine Idee?
Ich hab nämlich derzeit 35.8 erreicht, mein Standardlimit ist auch 64 und ich bin wirklich neugierig, was passieren würde, wenn ich es etwas drossele? Natürlich möchte ich auch nicht deinen Fehler hervorrufen, daher suche ich immer noch nach Aussagen im Netz, bevor ich wieder für “Try and Error” plädiere
@Anne: Mit der htaccess hatte ich auch schon so einiges veranstaltet und mir immer wieder gesagt, dass ich davon lieber meine Finger lassen sollte. Das Problem ist mir also durchaus bekannt und mir gehts genauso wie Dir. Letztens hatte ich erst beim Umzug meines Shops via htaccess den gesamten SSL Bereich ausgesperrt (hätte ihn als exclude Regel aufnehmen sollen). Tja…
Wenn Du das Limit drosselst, dann kann öfters der berühmtberüchtigte memory exhausted Fehler auftauchen, also anstatt der Seite sieht man dann nur noch diese Fatal Error Meldung. Beispiel: Ich hatte letztens mal versucht WordPress auf einem Server mit 8M zu installieren, da kam diese Fehlermeldung bereits für die Installationsroutine. Bei einem 16M Server kam die Fehlermeldung mit dem Aktivieren des ersten Plugins bzw. beim Versuch einen Artikel oder eine Seite zu erstellen bzw. im Adminbereich hin und herzuklicken, bei einem 32M Server erst nach ein paar Plugins
Ich denke für “nicht zu hoch setzen” spricht, dass sonst mit automatisierten Prozessen auch mal der Server lahm gelegt werden kann.
Dank dir! Ok, ich sehe, lieber nicht drosseln. Was hätte es auch für einen Zweck … als meine Neugier zu befriedigen
@Anne: Du kannst es ja versuchen, darfst Dich dann aber nicht wundern, wenn nix mehr wirklich rund läuft
Nein, dann doch lieber nicht, mit meinem Glück trägt der Blog bleibende Schäden davon oder mein Hoster zeigt mir die Tür
Und testen könnte man es wirklich nur online, oder sehe ich das falsch?
@Anne: Nö, Du kannst Dir auch nen Testblog ziehen auf einer Subdomain oder so und dann dort rumspielen. Das mache ich meistens wenn größere Änderungen etc. anstehen, schließlich will ich meine Besucher hier nicht gleich für Stunden vor geschlossene Türen stellen.
Hab ich gemacht! Danke für den Tipp. Hab mal wieder im Wald gestanden und den direkten Baum vor mir nicht gesehen!
Apropos, könntest du mal die Tage meinen Feed auschecken, ich glaub, diesmal hab ich ihn wirklich zerschossen. Beim google-reader werden zwar die alten Posts immer noch vollständig angezeigt, aber bei feedburner und beim “puren xml” ist alles gekürzt. Die Einstellung steht aber immer noch auf “vollständiger Text”. Ich weiß, wirklich nicht, was ich gemacht habe. Es ist mir aufgefallen, als ich ein copyright eingespielt habe. Daran liegt es aber nicht. Ansonsten hatte ich die Tage nur meine revisions gelöscht und in die wp-config den Befehl eingebaut, dass diese zukünftig nicht mehr gespeichert werden sollen. Könnte ich dabei etwas zerschossen haben?
@Anne: Ich steh jetzt total auf dem Schlauch. Dein Feed ist definitiv gekürzt und auch etwas ‘vermurxt’, denn das Datum des letzten Artikels fehlt (kuck mal hier (http://www.crazytoast.de/rocking-blogroll-mit-den-neuesten-artikeln-und.html#comment-20306) und meine Antwort darauf).
Soweit ich letztens mal gelesen hatte, hat Feedburner hin und wieder Probleme mit der Einstellung der letzten 10 Artikel im Feed und zeigt sie, wie wenn es ihm dann zuviel an Info wäre, dann einfach gekürzt an. Reduzier mal die Anzahl auf 6 anzuzeigender Artikel. Ansonsten schau bitte im Feedburner Account selbst nach den Einstellungen, dort kann man nämlich auch den gekürzten Feed wählen.
Was ich aber definitiv nicht verstehe ist der Grund, warum das Datum des jeweiligen Artikels im Feed bei Dir fehlt. Was hast Du nur angestellt? Irgendein Plugin für das Copyright, das solche Sachen macht? (Revisions löschen und wp-config können es nicht sein).
Hallo Anne,
kannst du mal zwei Einstellungen für uns (Tanja und ich) vornehmen?
1) Suche mal in Feedburner eine Einstellung, mit deren Hilfe du den Feed kürzen kannst und schaue, ob sie aktiviert ist. Wenn ja, dann deaktiviere sie bitte und geb uns Bescheid, denn ich werde versuchen deinen Feed wieder hochzuladen. Solltest du bei der Einstellung Fragen haben, einfach eine kurze Mail an mich!
2) Das Plugin, für das Copyright rausholen. Da müsste irgendwo in deinen Plugins ein Programm stehen, dass mit dem Copyright zu tun hat. Kannst du da was sehen und wenn ja, deaktiviere es mal bitte.
erfolgreiche Grüsse
Matthias
Danke Ihr beiden. Erleichterung, dass es die wp-config nicht ist. Das hätte ja auch ohne weiteres Schlimmeres bedeuten können. Vermutlich habe ich es aber trotzdem ganz schön “versaut”.
Wo ihr Feedburner sagt, ich hab meinen kompletten Feed am Wochenende dort versehentlich gelöscht und mußte ihn neu aufsetzen.
Beim copyright hatte ich nur eine kleine Funktion in die function.php eingesetzt, die lediglich die Copyright-Info anfügt. Hatte sie schon mal wieder rausgenommen, hat aber nichts an der Kurzfassung geändert.
Ok, Matthias, die Mail kommt, ich weiß nicht, wo ich Feedburner irgendwas finde.
LG und viele Dank
Anne
@Anne: Ich hoffe Matthias kann Dir helfen. Ich bin nämlich auch eine ziemliche Niete bei Feedburner
Nochmals danke für die Vermittlung, Tanja! Ich glaub, er hat es geschafft. Hab seine Anregungen bereits umgesetzt und auch den Tipp von Dir mit der Anzahl der Feeds. Und es scheint alles wieder beim Alten zu sein. Jetzt muss ich nur noch herausfinden, ob es durch die falsche Feed-Url, die Copyright-Funktion oder die Zahl der Feeds ausgelöst wurde. Aber das mache ich lieber, wenn ich etwas mehr Zeit hab. Ansonsten zerhacke ich den Feed nur wieder
Liebe Grüße
Anne
Hallo ihr zwei,
so es scheint in meinen Augen jetzt zu funktionieren.
@Tanja, könntest du den Feed vielleicht mal testen, ob der Feedburner auch in deiner Blogroll funktioniert.
Danke!
Gruß
Matthias
@Anne und Matthias: Sieht alles bestens aus. Im IE wird er schön mit allem angezeigt (den nehme ich immer um Feeds anzusehen) und in der Blogroll funktioniert die Feedburner Adresse jetzt auch. Alles was es braucht wird ausgelesen
Super freut mich zu hören! Appropo Leidenschaft vs. Obsession? Ist es normal, wenn man an einem Samstagmorgen, an dem man jetzt endlich mal ausschlafen könnte, schon um 8.30 Uhr am Rechner sitzt?
Es ist so heiß, kann Petrus nicht mal ein wenig nach unten regulieren?
Ja ich weiß im Winter habe ich gemeckert, dass es zu kalt sei! Wie bin ich den bloß auf diesen Schwachsinn gekommen?
@Matthias: Ich schlafe täglich aus und stehe zwischen 5 und 6 Uhr meistens auf
Nie kann man es uns recht machen, immer müssen wir uns über irgendwas beschweren, anstatt vielleicht mal die schönen Dinge zu sehen: Die Sonne strahlt, die Vöglein zwitschern… unser Nachbar jagt die Planierraupe über den Hof
Ist klar!
Was du so alles als schön empfindest! 
Matthias, tu mir bitte den Gefallen und achte darauf, was Du als URL eingibst. Ich bessere die ständig nach, weil sie falsch, bzw. eine Weiterleitung ist
Sorry, ja das stimmt! Ich habe mir eine KURZURL gesichert, aber du hast Recht, macht nicht wirklich Sinn die Geschichte, wenn ich es mir jetzt so genau überlege!
Oh Mann, okay, mal wieder geschlafen! Es ist halt noch früh, aber danke für den Hinweis!
Jetzt muss ich mal wieder in den Erinnerungen kramen… solltest Du nicht wissen was für Auswirkungen das ausschließliche Verlinken auf Weiterleitungen haben kann? Wenn sie dann zudem noch falsch weitergeleitet werden (hab ich nicht geprüft) kann es fatal werden.
Aber macht nix, manchmal hat man so Ideen, die sich dann nach einiger Zeit als “Quatsch” herausstellen. “Shit happens”… oder so.
Hallo Tanja,
danke für das Mitdenken!
Und ja du hast Recht, das war so eine “shit happens” – Geschichte!
Gruß
Matthias
Darf man auch nicht überbewerten, also mach Dir keinen Kopf. Ein lässiges”shit happens” reicht da vollkommen aus
Wir sind ja schließlich alles Menschen und keiner von uns ist unfehlbar.
“shit happens”
Danke!
Gruß
Matthias