Esencialmente, WordPress necesita conectarse de nuevo al servidor donde realmente se está ejecutando.
Hay varias formas posibles en que WordPress puede usar para escribir archivos y, por lo tanto, "sobrescribirse" durante una actualización. Desde una perspectiva de seguridad, la parte importante de este proceso es que los archivos nuevos deben tener la misma propiedad que los archivos antiguos.
Entonces, WordPress realiza una prueba primero escribiendo un archivo directamente y verificando quién es el propietario resultante. Si el propietario coincide con los archivos PHP, entonces sabe que puede escribir archivos con la propiedad correcta (esto significa que el proceso es "setuid" para el propietario del archivo).
Si el archivo resultante es propiedad de una identificación de usuario diferente (que es probable si Apache / PHP se ejecuta como un usuario diferente, como el usuario "www" o "apache"), entonces WordPress tiene que usar un método diferente para crear archivos con El dueño correcto.
Un enfoque es simple FTP. Si realiza una conexión FTP de vuelta al servidor en el que está, luego escribe archivos sobre eso, los archivos resultantes serán propiedad de quien inicie sesión a través de FTP. Por lo tanto, solicita al usuario información FTP.
Pero FTP no es muy seguro. Entonces, como ha encontrado, otro método es a través de SSH2. Usando la biblioteca SSH para PHP, puede hacer una conexión SSH de regreso al servidor de la misma manera. Y que por ello tiene una clave privada, porque se trata de utilizar que volver a hacer una conexión saliente a sí mismo. Al hacer esa conexión, puede establecer credenciales y escribir archivos como el usuario que tiene esas credenciales.
Si le preocupa que tenga esas claves, genere un nuevo conjunto de claves y utilícelas exclusivamente para este propósito.
Para responder a su pregunta directa, no, WordPress no "da" las claves en ningún lado. Descarga el paquete de actualización, lo descomprime y luego usa esas claves para hacer una conexión de regreso a su propio servidor (loopback, básicamente), y luego copia los archivos a través de esa conexión. Al hacerlo, las credenciales significan que los archivos obtienen la propiedad correcta y evitan los problemas de seguridad de tener los archivos de WordPress propiedad del proceso principal de Apache / www / php.