Ну, в конце концов, если не хочется напрягать пользователя — вшей ключ для подписи в код CMS. Или генерируй один раз случайным образом при первом обращении к превью, после чего сохраняй в файлик и используй повторно.

Вот только повторюсь, мне кажется, это должна быть не соль, а именно ключ подписи.

Фактически, получается, что требуется подтвердить подлинность запроса превьюшки. Причем обычно, как я понимаю, этот запрос будет генерить сама cms. Ну так возьми и зашифруй MD5(имя файла) любым алгоритмом шифрования. По смыслу — выйдет подпись запроса, которую может сделать только тот, у кого есть ключ (cms).

P.S. А можно пояснить — в чем состоит риск того, что злоумышленник запросит превью любой картинки?