Gestern kam mal wieder ein neues Update für WordPress. Wir setzen hier die DE-Edition ein und da gibt es auch eine detaillierte Anleitung zum Upgrade. Dort wird einem verraten, dass es für WordPress 2.6 neue Variablen in der Datei wp-config.php
gibt. Der entsprechende Abschnitt in der wp-config-sample.php
sieht so aus:
// Ändere jeden SECRET_KEY in eine beliebiege, möglichst einzigartige Phrase. Du brauchst dich später // nicht mehr daran erinnern, also mache sie am besten möglichst lang und kompliziert. // Auf der Seite https://www.grc.com/passwords.htm kannst du dir einen Ausdruck generieren lassen. // Bitte trage für jeden SECRET_KEY eine eigene Phrase ein. define('AUTH_KEY', 'put your unique phrase here'); // Trage hier eine beliebige, möglichst zufällige Phrase ein. define('SECURE_AUTH_KEY', 'put your unique phrase here'); // Trage hier eine beliebige, möglichst zufällige Phrase ein. define('LOGGED_IN_KEY', 'put your unique phrase here'); // Trage hier eine beliebige, möglichst zufällige Phrase ein.
Jetzt ist da eine Seite angegeben, auf der man sich diese Keys erzeugen lassen kann. Das ist für den DAU ganz nett, aber schrieb nicht fefe gerade die Tage:
Man sollte denken, niemand könnte je so unglaublich dämlich sein, sich einen Krypto-Schlüssel von jemand anderem generieren zu lassen
Glücklicherweise gibt es ja noch mehr Möglichkeiten zufällige Zeichenketten zu erzeugen. Eine davon habe ich vor einigen Monaten im Beitrag Kleiner Passwortgenerator in Perl vorgestellt. Was der Beitrag verschweigt: Ich hatte wenige Tage später noch eine kleine Anpassung an dem Skript vorgenommen, die es erlaubt, beim Aufruf die Anzahl der zurückzugebenden Zeichen als Parameter zu übergeben. So war es ein leichtes die nötigen Keys für die Konfigurationsdatei von WordPress zu generieren:
perl genpasswd.pl 64
Das veränderte Skript ist jetzt übrigens auch über Penguineering Tools abrufbar.
Man nehme eine Hand und lasse sie mehrmals auf die Tastatur fallen während die andere unrythmisch die Tasten Shift und AltGr bearbeitet
Der Perl-Script hat leider den kleinen Nachteil, dass die Ausgabe nicht direkt in die Config eingefuegt werden kann. Apostrophe und Dollar-Zeichen muessen z.B. noch entwertet werden. Dafuer waere dann ein Kompatibilitaetsmodus mit eingeschraenktem Zeichensatz ganz praktisch. 8-)
Wenn mich nicht alles täuscht, muss man bei Strings in einfachen Anführungsstrichen nur eben diese escapen. Das bedeutet, dass man nur auf dieses eine Zeichen verzichten muss. Wenn man die Strings nicht ständig automatisiert neu generieren will, kann man das Ding auch einfach so oft aufrufen, bis einem die Zeichenfolge gefällt, zumindest mach ich das immer so. ;-)
Jetzt schlagen die das im Blog von wordpress-deutschland.org nochmal neu vor: Sicherheitsschlüssel in der Datei wp-config.php. Auweia!?!
Pingback: WordPress Key-Generator reloaded von antiblau blog