Sicherheitshinweise für das Update auf WordPress 2.6
Inzwischen habe ich – mit dem Pottblog und Revier-Derby.de – bereits zwei Blogs auf die neue WordPress-Version 2.6 aktualisiert. Auch beim Revier-Derby.de waren nach dem Update auf WordPress 2.6 alle Kategorien weg, jedoch konnte ich sie recht einfach wiederherstellen.
Wer selber auf WordPress 2.6 updatet, sollte jedoch nicht nur auf das vorherige Datenbank-Update achten (nicht nur, damit man ohne Probleme die Kategorienamen wiederherstellen kann), sondern auch auf eine Änderung bei den neueren WordPress-Versionen.
Schon mit Version 2.5 wurde zur Verbesserung der Cookie-Sicherheit (mit den Cookies können Passwörter lokal gespeichert werden, damit man diese nicht immer wieder eingeben muss) ein sogenannter SECRET_KEY eingeführt, der in der Konfigurationsdatei wp-config.php definiert wird.
Mit Version 2.6 wurde das Konzept noch erweitert, denn nunmehr kann man auch verschlüsselte Verbindungen zu WordPress aufbauen, wozu es notwendig war, das mit den vordefinierten Schlüsseln zu erweitern.
Wie das ganze grundsätzlich funktioniert (sowohl für frische WordPress-Installationen als auch insbesondere bei aktualisierten Installationen) kann man in dem Blog-Beitrag Cookie-Sicherheit durch Secret Key nachlesen. Wichtiger Hinweis: Der vorher verlinkte Text bezieht sich auf WordPress 2.5. Bei WordPress 2.6 wurde das Konzept erweitert und so sollte man den Schlüsselgenerator 1.1 unter http://api.wordpress.org/secret-key/1.1/ verwenden (anstelle von Version 1.0).
[…] Dank an Jens, der mich mit seinem Beitrag darauf gebracht hat, mir das Ganze noch einmal im Detail anzusehen. secret key, sicherheit, […]