Widersprüche bei WordPress Sicherheit

Über die Sicherheit von WordPress gibt es jede Menge zu lesen. Das kann man beachten, ignorieren oder was auch immer. Das bleibt letztlich jedem selbst überlassen. Ich bin allerdings der Ansicht, dass verschiedene Dinge schon von WordPress selbst besser angesprochen werden sollten.

Gezielt meine ich damit die Angelegenheit mit dem Secret Key. Mehr oder weniger durch Zufall stieß ich auf dieses Thema und will es deswegen hier kurz ansprechen. Seit der WP Version 2.5 gibt es einen Zusatz in der wp-config.php. Unterhalb der Angaben über Name, Passwort und Host der Datenbank steht nun

// Ändere den SECRET_KEY in einen eindeutigen Ausdruck. Du brauchst dich später
// nicht mehr daran erinnern, also mache ihn am besten möglichst lang und kompliziert.
// Auf der Seite https://www.grc.com/passwords.htm kannst du dir einen Ausdruck generieren lassen.
define(‘SECRET_KEY’, ‘put your unique phrase here’smilie; // Trage hier einen eindeutigen Ausdruck ein.

WordPress Deutschland selbst gibt in den Upgrade-Hinweisen den Tipp, die wp-config.php auf gar keinen Fall zu löschen. Der Hinweis auf die neue Option Secret_Key fehlt allerdings gänzlich. Warum? Im Codex von WordPress ist die Funktion Secret_Key als important, als sehr wichtig ausgewiesen. Ein Hinweis zum Löschen der alten wp-config.php und das Einrichten einer neuen php-Datei wäre also viel sinnvoller gewesen. Zumindest aber der Hinweis auf die neuen Codezeilen.

Eine Stellungnahme im WP-Forum seitens des WP-Teams, “…man konnte bisher nicht in den Blog einbrechen, warum sollte es jetzt möglich sein” scheint mir ein wenig blauäugig zu sein. Und selbst der oben verlinkte Codex vergisst einen wichtigen Hinweis. Jener in der wp-config.php eingetragene Secret_Key muss auch in der wp-settings.php eingetragen werden. Denn dort steht in Zeile 283:

* Should be exactly the same as the default value of SECRET_KEY in wp-config-sample.php
* @since 2.5

Also für meinen Geschmack lief läuft da etwas ziemlich quer. Entweder sind die Hinweise kompletter Blödsinn, aber warum stehen sie dann dort? Oder die Option Secret_Key ist wirklich important, allerdings fehlt dann der nachhaltige Hinweis dazu, wie schon im 5-Finger-Blog zu lesen ist. Wenn solche wichtigen Sicherheitshinweise von Haus aus unter den Tisch fallen, da nicht nachhaltig darauf hingewiesen, dann kann man ggf. davon ausgehen, dass auch andere Sicherheitslücken existieren, jedoch nicht richtig publik werden.

Schade eigentlich, ist so ganz bestimmt nicht im Sinne des Erfinders! Eine Verhaltensweise nach dem Motto “nimm Du ihn, ich hab ihn” ist hier absolut nicht angebracht!

Autor  ⁄ Thomas Liedl

Meine digitale Vergangenheit reicht fast bis zur Geburtsstunde des Internets zurück. Nach zahlreichen anderen Webseiten bin ich letztlich im März 2007 in die Welt des Bloggens eingestiegen. Ich beschäftigte mich mit gemischten Themen aus Gesellschaft, Politik, Technik und Sport. In meinen Praxistests schreibe ich über eigene Erfahrungen mit Produkten bzw. Dienstleistungen im Netz.

19 Kommentare

  • Antworten
    Wolf
    20. April 2008

    Klär mich doch mal auf, was WP mit dem Key anfängt…..

  • Antworten
    Thomas Autor
    20. April 2008

    Wolf, schau mal hier, da geht man näher darauf ein. Kann sein, dass es vielleicht auch Dein Problem erklärt. Keine Ahnung….?

  • Antworten
    Wolf
    20. April 2008

    …hatte ich schon gelesen, aber auch dort wir meine Frage nicht erklärt. Was macht, bzw. was schützt WP mit diesem Code? Ich habe ja eben schon ein wenig herum gesucht, aber eine zufriedenstellende Antwort habe ich nicht gefunden.

  • Antworten
    Thomas Autor
    20. April 2008

    Darin liegt das Problem, das ich im beitrag erwähnt habe. Es gibt dringende Hinweise im Codex, dass dieser Code eingefügt werden muss! Andererseits schreibt aber keiner genau darüber um was es eigentlich geht.

    Die Frage ist natürlich schon, was stellt dieser Code an bzw. was verhindert er? Auf ihn aber zu verzichten trotz des Important-Hinweises im Codex…. ich weiß nicht so recht. Hier mangelt es ganz massiv an Information!

  • Antworten
    20. April 2008

    Hm, warum sollte man den beim Upgrade überhaupt mit der wp-config.php in Berührung kommen?!?! Die bleibt doch immer gleich, weil da die nutzerspezifischen Daten drin stehen und die Datei existiert auch nicht (nur die sample-Datei).

    Grmpf, ich hab jetzt mal die Zeile eingefügt und hoffe, dass es nicht wieder Probleme gibt! (Wolf hatte ja schon gesagt, dass die Angriffe letzte Woche NICHTS mit WP zu tun hatten)

  • Antworten
    Wolf
    20. April 2008

    Ich habe mich mal durch die Installations- bzw Upgradeanweisungen von WordPress.de und auch .org gelesen. Nirgends ein Hinweis auf diesen String. Das ist eine ziemlich “bedenkliche” Geschichte.

  • Antworten
    Thomas Autor
    20. April 2008

    Ich halte es angesichts der ganzen Sicherheitsdiskussion schlichtweg für eine unentschuldbare Nachlässigkeit, wenn daraus dann wirklich entsprechende Angriffe erfolgen, die vermeidbar gewesen wären. Denn die Einfügung des Strings ist ja kein Hexenwerk.

  • Antworten
    20. April 2008

    Der SECRET_KEY ist quasi das Salz in der Suppe, um es mal so zu nennen. Also wird beispielsweise der Benutzername und das Passwort damit verschlüsselt gespeichert.

    In etwa vergleichbar mit einer Passphrase für ein WLAN….

  • Antworten
    20. April 2008

    Also ich habe damit so meine Probleme: Beim Updaten des Querdenker-Blog bekomme ich nach dem Einfügen eine Fehlermeldung
    “Warning: array_keys() [function.array-keys]: The first argument should be an array in /srv/…………/wp-includes/widgets.php on line 654

    Warning: Invalid argument supplied for foreach() in /………../wp-includes/widgets.php on line 654″

    Offensichtlich gibt es da ein Problem mit der Widget-Funktion. Muss ich wohl die Sidebar von Hand aufbauen…

    Im anderen Blog, den ich komplett mit 2.5 neu aufgesetzt habe, taucht das Problem nicht auf.

  • Antworten
    Wolf
    20. April 2008

    Schon mal nachgeschaut, was in “wp-includes/widgets.php on line 654″ steht?

    Ich habe meinen Blog bei Update übrigens auch komplett neu gemacht. Nachdem Wp nun eine vernünftige Ex/Import-Funktion hat ist das kein Problem.

  • Antworten
    20. April 2008

    Hier gibt es noch ausführliche Info – in Englisch-…

  • Antworten
    22. April 2008

    habe bei der neuen wordpress version auch schon imense lecks in der sicherheit gefunden. bin ernsthaft an der überlegen auf serendipity umzusteigen.

  • Antworten
    22. April 2008

    @ Marcel: Soso. Du hast in der neuen Version imense Sicherheitslecks gefunden?? Welche denn?

  • Antworten
    Thomas Autor
    22. April 2008

    Sicherheitslücken… die hat jedes System irgendwo. das eine mehr das andere wieder weniger. Deswegen gehe ich doch nicht in die Serengeti smilie .

    Aber Spaß beiseite Marcel, wenn Du neue Erkenntnisse liefern kannst, dann nenne sie hier doch bitte beim Namen, dann können alle dan profitieren…. wenn es so ist!

  • Antworten
    22. April 2008

    Ja,dieses Problem mit dem Security-Key. Keine Ahnung was es soll, und vor allem, warum mna nicht darauf hingewiesen wurde.

    Das verstehe ich nicht. Da machen die eine upgrade Anleitung bei WordPress,aber sowas wird vergessen.

    Angeblich kann man jemand im Blog anmelden wenn der Code nicht da ist,aber weiteres weiß ich leider auch nicht. Wüsste ich aber gerne. Warum teilweise informationen von WP verschwiegen werden finde ich merkwürdig.

  • Antworten
    25. April 2008

    ein bisschen Licht ins Dunkel bringt ein Beitrag bei WordPress Deutschland. Dort heißt es, dass der Secret Key die Cookie-Sicherheit erhöht und wie man vorgehen muss, wenn man neu installiert oder updatet.

  • Antworten
    Wolf
    25. April 2008

    …wäre aber ganz nett gewesen, wenn man diesen Hinweis auch in der ReadMe gefunden hätte. smilie

  • Antworten
    Thomas Autor
    25. April 2008

    @Julia:
    Vielen Dank für den Hinweis! smilie

    @Wolf:
    Stimmt, der Tipp hätte dringendst in die ReadMe gehört. Bei solchen Dingen plagt mich dann immer das Bauchweh. Wenn sie dies nicht reingeschrieben haben, welche wichtigen Hinweise fehlen wohl noch? Und bis nun diese Stellungnahme kam, dauerte es auch ganz schön lange. Naja…. smilie