1 Trackback(s)
- Apr 20, 2008: Widersprüche bei Wordpress Sicherheit « Nicht spurlos
WordPress Secret_Key [Update]
6. April 2008Seit WordPress 2.5 gibts ja in der wp-config.php die Konstante “SECRET_KEY”.
[Update] Meine Vermutung war falsch. Warum? Hier stehts! [/Update]
ACHTUNG!!!
Eben nicht nur in der wp-config.php sondern auch in der wp-settings.php in Zeile 283 sofern sie unbearbeitet ist.
/**
* Should be exactly the same as the default value of SECRET_KEY in wp-config-sample.php
* @since 2.5
*/
$wp_default_secret_key = 'put your unique phrase here';Nur steht das nirgends. Jedenfalls konnte ich bisher nix dazu finden. Ausser diesen Beitrag.
Daher mein Aufruf an alle, die WordPress 2.5 im Einsatz haben, den SECRET_KEY noch in die wp-settings.php einzutragen. Aber Achtung. Danach muss man sich neu einloggen.
Was genau die Konstante bedeutet, steht bei Ryan Boren. Für die, die des Englischen nicht mächtig sind, hab ich den Link mit Google-Translate verknüpft.
Kommentare/Trackbacks zu “WordPress Secret_Key [Update]”
Dein Hinweis geht leider in eine komplett falsche (und potentiell gefährliche) Richtung.
Sind die Einträge in wp-config.php und wp-settings.php identisch, geht WP davon aus, dass die seit WP 2.5 vorhandene zusätzliche Sicherheit *nicht* verwendet werden soll, weil das Blog ohne *selbstdefinierten* Key betrieben wird.
Richtig ist: Ändere den Key in wp-config.php auf einen, der nur für diese Blog erfunden wurde, und lasse wp-settings.php unverändert.
Wer seine Fantasie nicht anstrengen will, kann sich einen Geheimschlüssel bei TalkPress generieren lassen.
Robert am 20. April 2008 [Link]
Oh.
Danke für den Tipp. Das ist gut zu wissen. Allerdings sollte das ja schon irgendwie/irgendwo erwähnt werden.
Hollii am 20. April 2008 [Link]