WordPress Geheimschlüssel-Generator

Der WordPress Geheimschlüssel-Generator erstellt kryptographisch sichere Sicherheitsschlüssel und Salts für Ihre wp-config.php-Datei. Diese 8 einzigartigen Zeichenfolgen schützen Benutzersitzungen, verhindern Cookie-Fälschungen und verteidigen gegen CSRF-Angriffe. Jeder Schlüssel wird mit einem CSPRNG (kryptographisch sicherer Pseudozufallszahlengenerator) generiert und niemals gespeichert oder protokolliert.

Was sind WordPress-Sicherheitsschlüssel und Salts?

WordPress verwendet 8 kryptographische Konstanten in Ihrer wp-config.php-Datei, um die Authentifizierung zu sichern. Vier davon sind Schlüssel (primäre Verschlüsselungsgeheimnisse) und vier sind Salts (zusätzliche Zufälligkeit, die den Hash verstärkt):

Wie Schlüssel und Salts zusammenarbeiten

Wenn sich ein Benutzer bei WordPress anmeldet, erstellt das System ein Authentifizierungs-Cookie. Dieses Cookie wird mit einer Kombination aus dem Sicherheits-Schlüssel und dem entsprechenden Salt verschlüsselt. Der Schlüssel liefert das primäre Verschlüsselungsgeheimnis, während der Salt unvorhersehbare Daten in den Hashing-Algorithmus (HMAC) einbringt, was es für einen Angreifer exponentiell schwieriger macht, den Cookie-Wert per Reverse Engineering zu ermitteln, selbst wenn er ihn abfängt.

Ohne ordnungsgemäße Schlüssel und Salts verwendet WordPress Fallback-Werte, die schwächer und über Installationen hinweg identisch sind, wodurch Ihre Website anfällig für Cookie-basierte Angriffe wird.

So installieren Sie Ihre Sicherheitsschlüssel

1. Generieren Sie Schlüssel mit diesem Tool unter Verwendung Ihrer bevorzugten Einstellungen.
2. Kopieren Sie alle Schlüssel über die Schaltfläche "Alle Schlüssel kopieren".
3. Öffnen Sie die wp-config.php per FTP/SFTP. Diese Datei befindet sich im WordPress-Stammverzeichnis.
4. Suchen Sie den Abschnitt für Schlüssel — halten Sie Ausschau nach dem Kommentar /* Authentication Unique Keys and Salts */.
5. Ersetzen Sie alle 8 define()-Zeilen durch Ihre neu generierten Schlüssel, speichern Sie die Datei und laden Sie sie hoch.

Hinweis: Das Ändern der Sicherheitsschlüssel führt dazu, dass alle aktuell angemeldeten Benutzer abgemeldet werden. Sie müssen sich erneut mit ihrem Passwort anmelden. Dies ist ein erwartetes Verhalten und dient der Sicherheit.

Wann sollten Sie Ihre Sicherheitsschlüssel ändern?

Schlüssellänge und Entropie

Die Entropie misst die Zufälligkeit (Unvorhersehbarkeit) Ihrer Schlüssel in Bits. Höhere Entropie bedeutet mehr mögliche Kombinationen, die ein Angreifer ausprobieren müsste. Zum Vergleich:

• 128 Bits — Empfohlenes Minimum für die meisten kryptographischen Anwendungen
• 256 Bits — Gilt mit aktueller Technologie als unknackbar (AES-256-Niveau)
• 400+ Bits — Der standardmäßige 64-stellige WordPress-Schlüssel mit vollem Zeichensatz bietet ca. 406 Bits Entropie

Selbst der standardmäßige 64-Zeichen-Schlüssel mit dem vollen Zeichensatz übertrifft bei weitem das, was jeder Brute-Force-Angriff knacken könnte.

Sicherheits-Best-Practices

• Teilen Sie Ihre Schlüssel niemals — behandeln Sie sie wie Passwörter
• Verwenden Sie eindeutige Schlüssel für jede WordPress-Installation
• Verwenden Sie Schlüssel nicht wieder über mehrere Websites hinweg
• Halten Sie die wp-config.php sicher — sorgen Sie für korrekte Dateiberechtigungen (normalerweise 440 oder 400)
• Schlüssel allein reichen nicht aus — verwenden Sie auch starke Passwörter, halten Sie WordPress aktuell und nutzen Sie ein Sicherheits-Plugin

Häufig gestellte Fragen (FAQ)

Was sind WordPress-Sicherheitsschlüssel und Salts?

WordPress-Sicherheitsschlüssel und Salts sind kryptographische Zeichenfolgen, die in der wp-config.php gespeichert werden und Daten in Benutzer-Cookies verschlüsseln. Es gibt 4 Schlüssel (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY) und 4 entsprechende Salts. Zusammen machen sie es für Angreifer praktisch unmöglich, Authentifizierungs-Cookies zu fälschen.

Wie füge ich Sicherheitsschlüssel zur wp-config.php hinzu?

Öffnen Sie Ihre wp-config.php-Datei (im WordPress-Stammverzeichnis), suchen Sie den Abschnitt "Authentication Unique Keys and Salts" und ersetzen Sie die vorhandenen define()-Zeilen durch Ihre neu generierten Schlüssel. Speichern Sie die Datei und laden Sie sie per FTP/SFTP wieder hoch. Alle Benutzer müssen sich danach erneut anmelden.

Wann sollte ich meine WordPress-Sicherheitsschlüssel ändern?

Ändern Sie Ihre Sicherheitsschlüssel sofort, wenn Sie vermuten, dass Ihre Website gehackt wurde, wenn Sie unbekannte Admin-Konten finden oder nach dem Entfernen von Malware. Unter normalen Umständen müssen die Schlüssel nicht regelmäßig gewechselt werden. Das Ändern der Schlüssel zwingt alle angemeldeten Benutzer zur erneuten Authentifizierung.

Ist dieser Generator sicher? Werden Schlüssel irgendwo gespeichert?

Ja, dieser Generator verwendet das kryptographisch sichere secrets-Modul von Python (CSPRNG). Die Schlüssel werden bei jeder Anfrage serverseitig generiert und niemals gespeichert, protokolliert oder zwischengespeichert. Die Antwort enthält einen No-Cache-Header, um das Caching im Browser zu verhindern.

Was ist der Unterschied zwischen WordPress-Keys und Salts?

WordPress-Keys verschlüsseln Cookie-Daten, während Salts den Verschlüsselungsprozess um zusätzliche Zufälligkeit ergänzen. Schlüssel fungieren als primäres Verschlüsselungsgeheimnis, und Salts machen Brute-Force-Angriffe exponentiell schwieriger, indem sie zusätzliche unvorhersehbare Daten in die Hash-Funktion einbringen. Beide sind für eine starke WordPress-Sicherheit unerlässlich.

Was passiert, wenn ich meine WordPress-Sicherheitsschlüssel ändere?

Das Ändern Ihrer WordPress-Sicherheitsschlüssel macht alle bestehenden Authentifizierungs-Cookies ungültig. Das bedeutet, dass jeder angemeldete Benutzer (einschließlich Ihnen) abgemeldet wird und sich erneut mit Benutzername und Passwort anmelden muss. Dies ist ein Sicherheitsmerkmal, das nach einer Sicherheitsverletzung nützlich ist.

Zusätzliche Ressourcen

• WordPress Developer Ressourcen - Sicherheitsschlüssel (Englisch)
• Kryptographisch sichere PRNG - Wikipedia