Germanized speichert in deinen Einstellungen zum Teil sensible Daten. Dazu gehören u.a. Zugangsdaten zu deinem DHL Geschäftskundenportal oder falls du die Pro-Version nutzt z.B. der API-Schlüssel zu Drittanbieter-Services (sevDesk). Mit Germanized 3.4.0 führen wir eine Verschlüsselung dieser Einstellungen in deiner Datenbank ein. Die sensiblen Daten werden mit Hilfe der nun in WordPress, auch für ältere PHP Versionen zur Verfügung stehenden, sodium Funktionen verschlüsselt.
Damit diese Daten verschlüsselt werden können, solltest du dafür einen Key in deiner wp-config.php Datei platzieren. Dafür wird dir im WP-Admin-Bereich ein entsprechender Hinweis angezeigt. Falls du keinen Hinweis erhältst, deutet das daraufhin, dass du (z.B. mit Hilfe eines Plugins) Hinweise im Backend verstecken bzw. entfernen lässt. Das solltest du im Zweifel per Ausschlussprinzip testen.
Wo sollte der Schlüssel konkret platziert werden
Wo du den Schlüssel innerhalb der wp-config.php genau definierst, macht keinen Unterschied. Wir empfehlen den Schlüssel am Ende der Datei zu platzieren, d.h. konkret vor dem Kommentar /* That's all, stop editing! Happy publishing. */
Nutzt du keinen individuellen Schlüssel, verwendet Germanized als Fallback einen abgeleiteten Schlüssel auf Basis der Konstante LOGGED_IN_KEY. Diese Konstante wird ebenfalls in der wp-config.php Datei definiert – dient aber einem ganz anderen Zweck. Zudem kann sich der Wert dieser Konstante unter bestimmten Umständen (z.B. Server-Umzug oder manueller Reset der Konstante) ändern. Das würde dazu führen, dass sich die Einstellungen aus der Datenbank nicht mehr entschlüsseln lassen. Du müsstest also gewisse Einstellungen neu hinterlegen, was ggf. erst zu einem späteren Zeitpunkt auffällt.
Bitte beachte: Solltest du einen Umzug deiner Website planen, stelle bitte sicher, dass du auch den Key für die Verschlüsselung aus deiner wp-config.php Datei in die neue config-Datei einfügst.
Schlüssel nachträglich einfügen
Wenn du den Hinweis zum Schlüssel ausgeblendet oder deaktiviert hast, kannst du deinen zufällig erzeugten Schlüssel nachträglich über WooCommerce > Status > Germanized abrufen. Unter Werkzeuge wird dir dazu ein Hinweistext angezeigt. Für manche Installationen ist auch ein Button verfügbar, der das automatische einfügen des Schlüssels in die wp-config.php Datei ermöglicht.
Sollte dir dort kein Hinweis angezeigt werden, deutet das auf Probleme mit deiner PHP Installation hin. Vermutlich ist deine PHP Installation zu alt oder die PHP Sodium Extension liegt nicht, bzw. in einer nicht aktuellen Version, vor. Das kannst du ebenfalls unter WooCommerce > Status > Germanized unter PHP Sodium Erweiterung prüfen.
Häufige Fragen
Was mache ich, wenn ich den Schlüssel nachträglich ändere oder erst später eingefügt habe?
Für diesen Fall solltest du die relevanten Einstellungen von Germanized neu speichern und im Zweifel deine sensible Daten (z.B. Passwörter) neu eingeben und neu speichern. Dann werden die Daten neu verschlüsselt und in der Datenbank abgelegt. Aktuell werden folgende Daten verschlüsselt: Zugangsdaten zu DHL bzw. Portokasse, API-Schlüssel für die Google Maps Integration der Packstation-Suche, API-Schlüssel für die sevDesk API, Access- bzw. Refresh-Token für die lexoffice API.
Warum verschlüsselt ihr diese Daten? Sind meine Daten damit absolut sicher?
Gewisse, sensible Daten (z.B. Anwendungspasswörter) werden von uns in der Datenbank verschlüsselt abgelegt. Damit die Software aber weiterhin damit arbeiten kann, muss die Software die Daten auch entschlüsseln können. Aus diesem Grund muss der Software der Schlüssel zur Entschlüsselung bekannt sein. Wird also dein kompletter Server übernommen, kann ein potentieller Angreifer mit dem Schlüssel die Daten entschlüsseln. Hat der Angreifer lediglich Zugriff auf die Datenbank, ist das nicht der Fall. Deine Daten sind also durchaus sicherer.