Widersprüche bei WordPress Sicherheit

Über die Sicherheit von WordPress gibt es jede Menge zu lesen. Das kann man beachten, ignorieren oder was auch immer. Das bleibt letztlich jedem selbst überlassen. Ich bin allerdings der Ansicht, dass verschiedene Dinge schon von WordPress selbst besser angesprochen werden sollten.

Gezielt meine ich damit die Angelegenheit mit dem Secret Key. Mehr oder weniger durch Zufall stieß ich auf dieses Thema und will es deswegen hier kurz ansprechen. Seit der WP Version 2.5 gibt es einen Zusatz in der wp-config.php. Unterhalb der Angaben über Name, Passwort und Host der Datenbank steht nun

// Ändere den SECRET_KEY in einen eindeutigen Ausdruck. Du brauchst dich später
// nicht mehr daran erinnern, also mache ihn am besten möglichst lang und kompliziert.
// Auf der Seite https://www.grc.com/passwords.htm kannst du dir einen Ausdruck generieren lassen.
define(‘SECRET_KEY’, ‘put your unique phrase here’smilie; // Trage hier einen eindeutigen Ausdruck ein.

WordPress Deutschland selbst gibt in den Upgrade-Hinweisen den Tipp, die wp-config.php auf gar keinen Fall zu löschen. Der Hinweis auf die neue Option Secret_Key fehlt allerdings gänzlich. Warum? Im Codex von WordPress ist die Funktion Secret_Key als important, als sehr wichtig ausgewiesen. Ein Hinweis zum Löschen der alten wp-config.php und das Einrichten einer neuen php-Datei wäre also viel sinnvoller gewesen. Zumindest aber der Hinweis auf die neuen Codezeilen.

Eine Stellungnahme im WP-Forum seitens des WP-Teams, “…man konnte bisher nicht in den Blog einbrechen, warum sollte es jetzt möglich sein” scheint mir ein wenig blauäugig zu sein. Und selbst der oben verlinkte Codex vergisst einen wichtigen Hinweis. Jener in der wp-config.php eingetragene Secret_Key muss auch in der wp-settings.php eingetragen werden. Denn dort steht in Zeile 283:

* Should be exactly the same as the default value of SECRET_KEY in wp-config-sample.php
* @since 2.5

Also für meinen Geschmack lief läuft da etwas ziemlich quer. Entweder sind die Hinweise kompletter Blödsinn, aber warum stehen sie dann dort? Oder die Option Secret_Key ist wirklich important, allerdings fehlt dann der nachhaltige Hinweis dazu, wie schon im 5-Finger-Blog zu lesen ist. Wenn solche wichtigen Sicherheitshinweise von Haus aus unter den Tisch fallen, da nicht nachhaltig darauf hingewiesen, dann kann man ggf. davon ausgehen, dass auch andere Sicherheitslücken existieren, jedoch nicht richtig publik werden.

Schade eigentlich, ist so ganz bestimmt nicht im Sinne des Erfinders! Eine Verhaltensweise nach dem Motto “nimm Du ihn, ich hab ihn” ist hier absolut nicht angebracht!

Über Thomas Liedl

Ich beschäftigte mich mit gemischten Themen aus Gesellschaft, Politik, Technik und Sport. In meinen Praxistests schreibe ich über eigene Erfahrungen mit Produkten bzw. Dienstleistungen im Netz. | Facebook | Twitter | LinkedIn

19 Kommentare zu Widersprüche bei WordPress Sicherheit

  1. Wolf schrieb:

    Klär mich doch mal auf, was WP mit dem Key anfängt…..

  2. Thomas schrieb:

    Wolf, schau mal hier, da geht man näher darauf ein. Kann sein, dass es vielleicht auch Dein Problem erklärt. Keine Ahnung….?

  3. Wolf schrieb:

    …hatte ich schon gelesen, aber auch dort wir meine Frage nicht erklärt. Was macht, bzw. was schützt WP mit diesem Code? Ich habe ja eben schon ein wenig herum gesucht, aber eine zufriedenstellende Antwort habe ich nicht gefunden.

  4. Thomas schrieb:

    Darin liegt das Problem, das ich im beitrag erwähnt habe. Es gibt dringende Hinweise im Codex, dass dieser Code eingefügt werden muss! Andererseits schreibt aber keiner genau darüber um was es eigentlich geht.

    Die Frage ist natürlich schon, was stellt dieser Code an bzw. was verhindert er? Auf ihn aber zu verzichten trotz des Important-Hinweises im Codex…. ich weiß nicht so recht. Hier mangelt es ganz massiv an Information!

  5. juliaL49 schrieb:

    Hm, warum sollte man den beim Upgrade überhaupt mit der wp-config.php in Berührung kommen?!?! Die bleibt doch immer gleich, weil da die nutzerspezifischen Daten drin stehen und die Datei existiert auch nicht (nur die sample-Datei).

    Grmpf, ich hab jetzt mal die Zeile eingefügt und hoffe, dass es nicht wieder Probleme gibt! (Wolf hatte ja schon gesagt, dass die Angriffe letzte Woche NICHTS mit WP zu tun hatten)

  6. Wolf schrieb:

    Ich habe mich mal durch die Installations- bzw Upgradeanweisungen von WordPress.de und auch .org gelesen. Nirgends ein Hinweis auf diesen String. Das ist eine ziemlich “bedenkliche” Geschichte.

  7. Thomas schrieb:

    Ich halte es angesichts der ganzen Sicherheitsdiskussion schlichtweg für eine unentschuldbare Nachlässigkeit, wenn daraus dann wirklich entsprechende Angriffe erfolgen, die vermeidbar gewesen wären. Denn die Einfügung des Strings ist ja kein Hexenwerk.

  8. Hollii schrieb:

    Der SECRET_KEY ist quasi das Salz in der Suppe, um es mal so zu nennen. Also wird beispielsweise der Benutzername und das Passwort damit verschlüsselt gespeichert.

    In etwa vergleichbar mit einer Passphrase für ein WLAN….

  9. Querdenker schrieb:

    Also ich habe damit so meine Probleme: Beim Updaten des Querdenker-Blog bekomme ich nach dem Einfügen eine Fehlermeldung
    “Warning: array_keys() [function.array-keys]: The first argument should be an array in /srv/…………/wp-includes/widgets.php on line 654

    Warning: Invalid argument supplied for foreach() in /………../wp-includes/widgets.php on line 654″

    Offensichtlich gibt es da ein Problem mit der Widget-Funktion. Muss ich wohl die Sidebar von Hand aufbauen…

    Im anderen Blog, den ich komplett mit 2.5 neu aufgesetzt habe, taucht das Problem nicht auf.

  10. Wolf schrieb:

    Schon mal nachgeschaut, was in “wp-includes/widgets.php on line 654″ steht?

    Ich habe meinen Blog bei Update übrigens auch komplett neu gemacht. Nachdem Wp nun eine vernünftige Ex/Import-Funktion hat ist das kein Problem.

  11. Querdenker schrieb:

    Hier gibt es noch ausführliche Info – in Englisch-…

  12. Pingback: WP2.5 Update- Probleme mit secret_key… » Hier, Widgets, Eingabe, Wordpress, Update, Abhilfe, Zeilen, Problem » QUERDENKER

  13. Marcel schrieb:

    habe bei der neuen wordpress version auch schon imense lecks in der sicherheit gefunden. bin ernsthaft an der überlegen auf serendipity umzusteigen.

  14. Hollii schrieb:

    @ Marcel: Soso. Du hast in der neuen Version imense Sicherheitslecks gefunden?? Welche denn?

  15. Thomas schrieb:

    Sicherheitslücken… die hat jedes System irgendwo. das eine mehr das andere wieder weniger. Deswegen gehe ich doch nicht in die Serengeti smilie .

    Aber Spaß beiseite Marcel, wenn Du neue Erkenntnisse liefern kannst, dann nenne sie hier doch bitte beim Namen, dann können alle dan profitieren…. wenn es so ist!

  16. Sebastian schrieb:

    Ja,dieses Problem mit dem Security-Key. Keine Ahnung was es soll, und vor allem, warum mna nicht darauf hingewiesen wurde.

    Das verstehe ich nicht. Da machen die eine upgrade Anleitung bei WordPress,aber sowas wird vergessen.

    Angeblich kann man jemand im Blog anmelden wenn der Code nicht da ist,aber weiteres weiß ich leider auch nicht. Wüsste ich aber gerne. Warum teilweise informationen von WP verschwiegen werden finde ich merkwürdig.

  17. juliaL49 schrieb:

    ein bisschen Licht ins Dunkel bringt ein Beitrag bei WordPress Deutschland. Dort heißt es, dass der Secret Key die Cookie-Sicherheit erhöht und wie man vorgehen muss, wenn man neu installiert oder updatet.

  18. Wolf schrieb:

    …wäre aber ganz nett gewesen, wenn man diesen Hinweis auch in der ReadMe gefunden hätte. smilie

  19. Thomas schrieb:

    @Julia:
    Vielen Dank für den Hinweis! smilie

    @Wolf:
    Stimmt, der Tipp hätte dringendst in die ReadMe gehört. Bei solchen Dingen plagt mich dann immer das Bauchweh. Wenn sie dies nicht reingeschrieben haben, welche wichtigen Hinweise fehlen wohl noch? Und bis nun diese Stellungnahme kam, dauerte es auch ganz schön lange. Naja…. smilie

Kommentar verfassen

Keine Keywörter als Name und bitte auf die Netiquette achten.