Mit der Version 2.5 wurde in WordPress ein “Secret Key” eingeführt, der für eine bessere Absicherung der Daten in Cookies sorgen soll. Damit sollen Benutzerdaten stärker gegen Angriffe abgesichert werden. Der “Secret Key” agiert dabei wie ein sog. “Salt”.
Was ist ein Salt?
Ein Salt ist eine (meistens zufällige) Zeichenkette die eine bestehende Zeichenkette (z.B. ein Passwort) um Zufälligkeit erweitert. Das bekannteste Beispiel hierfür sind Passwörter. Diese werden i.d.R. als MD5-Hash-Wert in der Datenbank gespeichert. Wenn sich ein Benutzer anmeldet, wird das eingegebene Passwort “gehasht” und mit dem Wert in der Datenbank verglichen. Da Hash-Werte aber deterministisch sind, lässt sich (bei einem einfachen Passwort) über eine Brute-Force-Attacke ein Passwort “realtiv” einfach ermitteln. Deshalb wird das Passwort mit einem zufälligen Wert (dem Salt) erweitert, danach “gehasht” und dann erst in der Datenbank gespeichert. Somit lässt sich auch ein schwaches Passwort “relativ” sicher in der Datenbank speichern.
Salt in WordPress
Wie bereits erwähnt, wird dieses Verfahren seit WordPress 2.5 auch für Cookie-Daten verwendet. Zunächst wurde nur ein zufälliger Wert verwendet. Ab WordPress 2.6 sind es drei Werte. Diese werden in der Datein wp-config.php (im Root-Ordner der WordPress-Installation) festgelegt. Damit die Werte so zufällig wie möglich sind, gibt es auf den WordPress-Seiten einen Key-Generator, von dem man die Einträge kopieren und direkt in die wp-config.php einfügen kann. Allerdings produziert der Key-Generator für die zufälligen Werte u.U. auch Escape-Zeichen, die zu PHP-Parse-Fehlern führen können (war bei mir zweimal der Fall). Wer ähnliche Probleme hat, sollte deshalb auf alphanumerische Zeichen zurück greifen. Einen entsprechenden Key-Generator findet man z.B. hier.
Es ist sehr wichtig, dass man die “Secret-Keys” nach der Installation mit zufälligen Werten füllt, da man sonst den Standardwert “put your unique phrase here” verwendet.
Vielen Dank an Jens, der mich mit seinem Beitrag darauf gebracht hat, mir das Ganze noch einmal im Detail anzusehen.
gggg
Das gleiche Prinzip kenne ich auch vom PHP Framework “CakePHP”, dort wird man allerdings nach der Installtion darauf hingewiesen, den Salt wert zu ändern.