SfN

Wie erstellt man eine anonyme Netzseite?

In der heutigen digitalen Welt ist der Schutz der Privatsphäre wichtiger denn je. Anonyme Netzseiten bieten Nutzern die Möglichkeit, ihre Identität zu wahren und dennoch sicher im Netz zu kommunizieren. Dieser Leitfaden führt Sie Schritt für Schritt durch den Prozess der Erstellung einer sicheren anonymen Netzseite. Du erfährst, welche Tricks und Technologien erforderlich sind, um deine Daten zu schützen, sowie bewährte Methoden zur Wahrung deiner Anonymität. Ziel ist es, dir die nötigen Kenntnisse zu vermitteln, um eine sichere Online-Präsenz zu schaffen, die den Schutz deiner Privatsphäre gewährleistet.

Der Leitfaden

blank
Beispielseite: TDDZ 2016

Möchtest du eine Netzseite erstellen und betreiben, jedoch darf niemand wissen, dass das deine Seite ist, ja dann muss eine gewisse Anonymität gewährleistet sein. Dafür gibt es Anbieter, die Server im Ausland betreiben und deine persönlichen Daten verbergen oder gar nicht erst abfragen.

Warum es sowas gibt, fragst du dich? Willst du z.B. frei, ohne Zensur deine Meinung sagen können oder der Arbeitgeber oder Partner soll davon nichts erfahren? Eventuell könntest du Probleme mit einer Behörde bekommen, wenn du eine Kameradschafts,- oder Veranstaltungsnetzseite erstellen würdest. Oder vielleicht willst du dich einfach nur vor teuren Abmahnungen schützen, weil du deine Netzseite nicht ständig auf die neuesten wirren EU-Vorschriften und Gesetze anpassen kannst oder willst.

Falls du so eine anonyme Seite einrichten willst, musst du darauf achten, dass die Inhalte anonym dahin übertragen werden und dass du die dafür anfallenden Kosten möglichst nicht über dein reguläres und offizielles Bankkonto überweist. Es sollte nichts mit dir in Zusammenhang gebracht werden können.

Achte darauf, mit welchem Computer und Netzzugang du das alles bewerkstelligst. Eine Lücke kann dich verraten und je nach Brisanz des Inhalts wird man sich bemühen diese Lücke auch zu finden!

Das Ziel bei der Einrichtung und Wartung eines anonymen Servers um darauf eine anonyme Netzseite abzulegen ist, dass weder der Server-Anbieter, noch irgendein Provider, noch eine Bank oder Kreditkartenfirma oder irgendjemand anderes herausfinden kann, von wem der Server betrieben bzw. gewartet wird. So bist du relativ sicher vor Abmahnungen, Unterlassungserklärungen, Zensur und politischer Verfolgung.

Je nach Inhalt ist ein Hoster im Ausland empfehlenswert. Kostenlos und nicht unbedingt anonym, dafür meistens mit Werbeeinblendung, geht das mit Subdomains bei verschiedenen Anbietern (Anonym registrieren). Wer hier jedoch über die Stränge schlägt, wird schnell gesperrt. Also Gesetzeslage des Landes & AGB studieren und sich daran halten.

Es gibt auch professionelle und somit kostenpflichtige Angebote mit eigener Domain und Webspace. Bei der Wahl des Server-Anbieters sollte man darauf achten, dass dieser:

  • whois-Einträge der Domain anonymisiert oder ersetzt
  • keine Voratsdatenspeicherung durchführt
  • keine Auskünfte will (anonymes hosting)
  • anonymes Bezahlen möglich ist

Sowohl beim Bestellvorgang, als auch bei der Wartung und der Pflege (Datenübertragung) sollte man immer einen öffentlichen Zugang bzw. Anonymisierungsdienst verwenden. Zurückgreifen solltest du auf das Tor Netzwerk oder eine VPN-Verbindung. Natürlich kann das ganze auch kombiniert werden.

Niemals direkt auf den Server zugreifen, weder pingen (Test ob er noch lebt) noch ansurfen oder was auch immer.

Ein Webauftritt (die Netzseite) besteht aus mehreren Einzelteilen. Die Domain als Adresse, die über einen DNS-Eintrag zum Inhalt, dem Webserver führt. Wichtig bei anonymem Webspace und Domains ist auf die anonyme Bezahlbarkeit zu achten (Paypal ist nicht anonym!). Der Firmenstandort und Serverstandort möglichst Offshore wählen, um bei juristischen Problemen ein „einknicken“ der Firma zu verhindern.

Im einfachsten Fall hat man Domain und Webserver beim gleichen Anbieter. Ist alles bei einem Anbieter, hat es jemand, der die Seite sperren lassen möchte, leicht und du hast gleich zwei Probleme, denn Domain und Webserver könnten aus vielen Gründen gesperrt werden. Es benötigt meist viel Schreibarbeit und womöglich werden sogar Strafzahlungen verlangt, um die Sperren wieder rückgängig zu machen.

Domain und Webspace (Webserver) sollten also besser getrennt verwaltet sein.

Bei den Domains ist Folgendes zu beachten: Fast jedes Land (Staat) hat eine Domainendung, (Top-Level-Domain) TLD genannt.

  • Deutschland = .de
  • Schweiz = .ch
  • USA = .us
  • usw.

Jedes Land bzw. die Verwaltungsstelle hat andere Gesetze & Vorschriften bei der Vergabe bzw. Sperrung ihrer Domains. Je nach TLD ist man dementsprechend mehr oder weniger abschaltsicher / sperrsicher. Es kommt also immer auf den Inhalt und die Gesetzeslage an. Prüfe deshalb vor der Wahl einer Domain, wie die Gesetzeslage sich mit deinem Inhalt verträgt.

Jeder kennt die berüchtigten Kino Seiten im Netz. Fast alle setzen auf eine .to TLD und das aus gutem Grund. Tonga, dessen TLD .to ist, erlaubt es dem Nutzer eine Domain vollkommen anonym zu kaufen. Leider ist eine .to Domain aber auch recht teuer.

Als Domaineigentümer solltest nicht du eingetragen sein (whois-Schutz).

Wenn du eine für deine Zwecke abmahnsichere und anonyme Domain registriert hast, kannst du diese auf einen beliebigen Webserver zeigen lassen. Je nachdem kann es sinnvoll sein auch noch Domains in Reserve zu haben. Dies geht mit einem DNS-Eintrag beim Domainregistrar. Dieser sollte das natürlich unterstützen, deshalb sollte man immer zensurfreie DNS-Server nutzen.

Auf dem Webserver / Webspace auf einem Weltnetz-Server liegen die Inhalte, die dann jeder zu sehen bekommt. Hier gibt es gleich mehrere mögliche Gründe der Sperrung. Je nach Qualität des Hostingpaketes (Webspace) hast du mehr oder weniger Anspruch auf Serverleistung, die du dir mit anderen Kunden teilen musst. Solltest du den Server überlasten, bleibt der Server stehen und alle Kunden auf dem Server haben ein Problem. Dein Provider wird dich deshalb sperren oder verlangen, dass du etwas bezahlst, um ein hochwertigeres Hosting-Paket zu erhalten.

So eine Serverüberlastung kann auch von Außen ohne dein Zutun kommen, z.b., wenn jemand, der etwas gegen dich hat, Millionen Anfragen an deine Netzseite sendet. So ein Angriff von Außen nennt sich DDoS-Attacke. Eine DDoS-Attacke ist leider in vielen Fällen sehr gut geeignet, um eine Netzseite temporär lahm zu legen. Man kann jedoch auch Webspace und Webserver mit DDoS-Protektion buchen. Da werden dann die vielen Serveranfragen mehr oder weniger gut gefiltert und deine Seite wird weniger überlastet. DDoS-Protektion kostet aber meist etwas extra.

Wer sich an deinem Inhalt stört, kann aber auch deinem Provider eine Abmahnung (Abuse) schicken und behaupten du würdest gegen dieses oder jenes verstoßen. Inwieweit dein Provider dieses dann vor einer Sperrung prüft und auch prüfen kann ... ? Wenn der Provider eine eigene Rechtsabteilung hat und den Aufwand der Prüfung betreibt, wirst du nicht einfach so gesperrt. Hier ist auch der Firmensitz (Gesetzeslage) des Providers und der Standort des Servers maßgeblich. All das um den Kunden zu schützen ist aufwendig und dementsprechend teuer. So kommen die oft hohen Preise zustande.

Nicht jedes Land ist für jeden Content geeignet. So ist z.B. Russland kein geeigneter Standort für Meinungsfreiheits,- oder Whistleblowing Seiten, aber für andere Seiten aus dem Grauzonenbereich (Warez) sehr gut geeignet. Spreche am besten den Inhalt deiner Seite zuvor mit dem Hoster ab!

Falls dich dein Webspace oder der gemietete Server im Stich lässt, kannst du einfach den DNS-Eintrag für die Domain(s) ändern und auf einen anderen Server verknüpfen. Innerhalb von 24 Stunden, jedoch meist nach wenigen Minuten sollte dann der Inhalt wieder angezeigt werden können. Bei sensiblen Inhalten empfiehlt es sich also einen weiteren oder sogar mehrere Webserver (in verschiedenen Ländern) sowie verschiedene Domains in Reserve zu haben.

Sollte der Domainregistrar und Server-Provider irgendwo in Timbuktu ihren Firmensitz haben und der Server auch in einem Land stehen, wo Beschwerden auf taube Ohren stoßen, hat es der Beschwerende sehr schwer und scheut evtl. den Aufwand.

Unsere Empfehlungen nach aktuellem Kenntnisstand sind folgende. Für einen echten Webauftritt ohne aufwändige, anstößige oder sensible Inhalte, kannst du es beim kostenlosen Testsystem belassen. Kostenlos kann allerdings diverse Nachteile haben. Zum Einarbeiten ist es ausreichend und kann dann ergänzt werden. Die Grundlage jedes Netzangebotes von der Domain abgesehen, ist der Webspace bzw. Webserver.

  • Webspace - Die günstigen Angebote sind Webspace mit einer Verwaltungsoberfläche. Hierbei hast du keinen direkten Zugriff auf die Grundkonfiguration des Servers. Der Server wird vom Hoster verwaltet und wird hoffentlich durch Updates auf einem sicheren Niveau gehalten.
  • V-Server - Etwas hochwertiger sind virtuelle Server. Das sind mehrere Virtuelle Maschinen auf einem Gerät. Die VMs können vom Hoster oder von dir selbst verwaltet werden. Wenn du vollen Zugriff darauf hast, musst du dich auch selbst um die Sicherheit und Updates kümmern.
  • Webserver - Ist ein Gerät als Hardware. Dort hast du meist Root-Rechte also vollen Zugriff. Deshalb werden die Geräte auch gerne Root-Server genannt.

Anonymes Hosting, anonyme Webserver, anonymer Webspace wo am besten buchen? Du solltest als Anfänger bzw. unerfahrener Webmaster eher bei einem deutschsprachigen Anbieter buchen. Alle diese Server stehen irgendwo in einem Rechenzentrum irgendwo auf der Welt und sind mehr oder weniger gut an das Weltnetz angebunden.

Die Angebote haben alle mehr oder weniger Leistung, Speicherplatz und weitere Zusatzleistungen. Preis-Leistung zu vergleichen, ist dabei nicht so einfach. Je nach Inhalt des Angebotes sind verschiedene Zusatzleistungen wie verschlüsselte Festplatten, SSL, Backups, Support usw. wichtig.

Um sich und seine Besucher bei sensiblen Inhalten abzusichern, ist Folgendes wichtig.

  • Sicherer Serverstandort
  • Verschlüsselte Festplatten
  • SSL-Verschlüsselung bei der Datenübertragung per FTP zum Server (sFTP)
  • SSL-Verschlüsselung bei der Datenübertragung über den Browser (https://)
  • die verwendete Software für Blogs, Forum usw. so abändern, dass sie nichts loggt oder sonst wie plaudert.
  • Server-Logging deaktiviert oder nur für sehr kurze Zeit akzeptieren. (max. 24h)
  • Vorhandene Server-Logs u. Anwendungs-Logs (soweit möglich) regelmässig löschen.

Standarmässig loggt jeder Webserver alle Vorgänge der Besucher und speichert dies statistisch ab.

Serverlogs in falschen Händen können sehr gefährlich für den Betreiber und die Besucher werden.

Achte darauf, dass das Server-Logging deaktiviert ist oder dekativiere es selbst falls du Zugriff auf die Serverkonfiguration (Apache) hast.

Eine statische Netzseite von Hand erstellen

Die ursprünglichste, aber nicht unbedingt einfachste Möglichkeit, eine Netzseite zu erstellen ist, diese von Hand in HTML (Hypertext Markup Language) zu schreiben. HTML ist eine Auszeichnungssprache und bildet die Basis einer jeden Netzseite. Die Erlernung ist nicht besonders schwierig und nicht mit der Erlernung einer Programmiersprache gleichzusetzen, benötigt aber dennoch etwas Zeit. Eine einfache HTML-Seite ist praktisch wartungsfrei und sehr sicher. Auf Grund der starren Struktur können nachträgliche Änderungen am Design bei einer Weltnetzseite mit mehreren Unterseiten aber relativ aufwändig sein. Die Erstellung einer reinen HTML-Seite ohne Zusatztechnologien ist daher nur zur Erstellung einer einfachen Webvisitenkarte mit wenigen oder besser ohne Unterseiten empfehlenswert.

Vorteile

  • Kein Wartungsaufwand
  • Hohe Sicherheit
  • Schnelle Ladezeit

Nachteile

  • Nachträgliche Anpassung des Designs ist aufwändig
  • Einarbeitungszeit

Eine Netzseite mit einem WYSIWYG-Editor erstellen

WYSIWYG ist ein Akronym für "What You See Is What You Get" und bedeutet übersetzt soviel wie: "Was du siehst, ist was du bekommst" und beschreibt ziemlich genau den Zweck von WYSIWYG-Editoren. Die Editoren ermöglichen die Erstellung von statischen Netzseiten ohne Kenntnisse von HTML und zeigen dem Benutzer schon bei der Erstellung an, wie die Netzseite später aussieht

WYSIWYG-Editoren waren früher sehr beliebt, sind mittlerweile aber etwas aus der Mode gekommen und werden kaum noch eingesetzt. In Verruf geraten ist diese Gruppe der Editoren, da der Quelltext der generierten HTML-Seiten meist von schlechter Qualität ist. Dies kann beispielsweise dazu führen, dass die Netzseite nicht in allen Netzbetrachtern korrekt dargestellt wird oder dass sie nur schlecht in den Suchmaschinen gelistet wird.

Vorteile

  • Geringe Einarbeitungszeit
  • Kein Wartungsaufwand
  • Schnelle Ladezeiten
  • Hohe Sicherheit

Nachteile

  • Meist schlechte Quelltextqualität
  • Teilweise Kompatibilitätsprobleme mit Netzbetrachter
  • Oftmals schlechte Listung in Suchmaschinen

Seitenstellung mit einem Content-Management-System

Content-Mangement-Systeme (CMS) ermöglichen die Erstellung und Verwaltung einer Netzseite über eine grafische Oberfläche und ganz ohne Programmierkenntnisse. Die Inhalte der Seite werden bei einem CMS meist in einer Datenbank gespeichert und die eigentliche Netzseite wird beim Aufruf dynamisch generiert.

Auf Grund der Einfachheit der Installation und Bedienung wird die Komplexität der darunterliegenden Systeme und der mit dem Betrieb verbundene Wartungsaufwand unterschätzt. Für den sicheren Betrieb muss ein CMS richtig konfiguriert werden und sollte immer aktuell gehalten werden. Ansonsten kann es passieren, dass unbefugte Dritte durch Sicherheitslücken die Netzseite übernehmen oder unbefugt manipulieren. Bei größeren Versionssprüngen ist auch oftmals tiefergehendes Wissen für die Aktualisierung notwendig.

Bekannt und weit verbreitet sind beispielsweise die Open-Source-CMS Joomla, Drupal sowie Wordpress. WordPress spielt seine Stärken vor allem bei der Erstellung von Blogs aus. Neben den frei verfügbaren Open-Source-CMS gibt es noch eine Vielzahl nichtöffentlicher Systeme, beispielsweise von Webdesign-Agenturen.

Vorteile

  • Einfache Verwaltung der Inhalte
  • Einfache Nachrüstung weiterer Funktionen

Nachteile

  • Hoher Wartungsaufwand
  • Sicherheit ist nur gegeben bei korrekter Konfiguration und Wartung
  • Einarbeitungszeit erforderlich
  • Langsame Ladezeiten
  • Hohe Anforderungen an Webspace

Die wartungsfreie Alternative: Static-Site-Generatoren

Static-Site-Generatoren sind in der Lage aus einer Designvorlage und einfachen Text-Dokumenten statische Weltnetzseiten zu generieren. Die Generierung erfolgt dabei nach jeder Änderung der Text-Dokumente. Durch diese Vorgehensweise kann man von den großen Vorteilen von statischen HTML-Seiten (Ladezeit, Sicherheit und Wartungsfreiheit) profitieren, ohne von den Nachteilen (z.B. Komplexität nachträglicher Design-Änderungen) eingeschränkt zu werden.

Der Einstieg in die Welt der Static-Site-Generatoren erfordert eine gewisse Einarbeitungszeit, sollte für weltnetzaffine Personen aber kein Problem darstellen. Die Einrichtung einer neuen Netzseite ist dabei einfacher als bei einem CMS, die Verwaltung dafür etwas schwieriger. Eine Schwäche der Static-Site-Generatoren sind dynamische Inhalte. Diese lassen sich zwar realisieren, erfordern teilweise aber die Benutzung eines Services eines Drittanbieters.

Die Gruppe der Static-Site-Generatoren erlebt momentan eine Renaissance. Static-Site-Generatoren eignen sich vor allem für kleinere und mittlere Projekte mit wenigen gleichberechtigten mit der Netzseitenbetreuung betrauten Personen als wartungsfreie Alternative zu einem CMS.

Vorteile

  • Schnelle Ladezeiten
  • Wartungsfrei
  • Hohe Sicherheit

Nachteile

  • Einarbeitungszeit erforderlich
  • Dynamische Inhalte sind aufwändig

Eine Netzseite (fast) ohne Eigenverantwortung: Homepagebaukästen

Ein weiterer Weg zur eigenen Weltnetzseite ist die Nutzung eines sogenannten Homepagebaukasten. Bei der Verwendung eines Homepagebaukasten muss sich nur um die Erstellung und Strukturierung der Inhalte der Netzseite gekümmert werden. Die Oberfläche zur Erstellung der NEtzseite und die Infrastruktur zum Betrieb wird vom Anbieter des Baukastens bereit gestellt.

Die Rundum-sorglos-Lösung der Homepagebaukästen ermöglicht einen einfachen Weg zur ersten eigenen Netzseite. Je nach Anforderungen werden einige Anwender jedoch früher oder später an die Grenzen des Systems stossen. Wenn dies passiert, muss über einen Umstieg auf eine flexiblere Alternative nachgedacht werden. Wichtig ist dann unter anderem, ob der Anbieter den Export der eigenen Inhalte in einem maschinenlesbaren Format erlaubt.

Homepagebaukästen bieten einen einfachen Einstieg in die Welt der Weltnetzseiten und sind eine gute Einstiegslösung zum schnellen und kostengünstigen Aufbau einer eigenen Netzseite. Da die Wartung eines Shop-Systems mit einem CMS sehr komplex ist und Static-Site-Generatoren nur bedingt für die Erstellung eines Shops geeignet sind, eignen sich Homepagebaukästen auch gut für Shop-Betreiber mit kleinem Budget.

Vorteile

  • Schneller Einstieg
  • Infrastruktur wird vom Anbieter bereitgestellt

Nachteile

  • Geringe Flexibilität
  • Daten oftmals nicht exportierbar

Content-Management-System und Static-Site-Generator kombiniert

Bei einer Hybrid-Lösung aus CMS und Static-Site-Generator werden die Vorteile beider Systeme und Elemente aus den Homepagebaukästen kombiniert. Das Ziel einer Hybrid-Lösungen ist es, wartungsfreie Websites mit sehr hoher Flexibilität zu ermöglichen.

Der Kunde kann die Inhalte bei der Nutzung über ein zentrales CMS bequem verwalten. Aus den Inhalten werden dann statische Netzseiten generiert. Da nur das zentrale CMS gewartet werden muss, bleibt die Verantwortung dafür beim Anbieter. Dynamische Inhalte werden bei Hybrid-Lösungen, wie bei der Nutzung von Static-Site-Generatoren, über externe Schnittstellen realisiert.

Hybrid-Lösungen sind eine gute Alternative zu den oben vorgestellten Wegen, wenn eine in der Bedienung einfache und bequeme Lösung gesucht wird, aber nicht auf individuelle Beratung und Flexibilität verzichtet werden soll.

Vorteile

  • Schneller Einstieg
  • Schnelle Ladezeiten
  • Infrastruktur wird vom Anbieter bereitgestellt
  • Hohe Flexibilität

Nachteile

  • Daten nicht immer exportierbar
  • Dynamische Inhalte anbieterabhängig aufwändig
blank

Im Idealfall hast du deine Netzseite fertig erstellt bevor du eine Domain mit dem passenden Webspace mietest. Wir gehen bei diesem Leitfaden aber erstmal vom umgekehrten Fall aus. Du hast also eine Domain und einen Webspace gemietet und nun stehst du vor der Frage wie deine Netzseite aussehen sollte oder mit welchem Werkzeug du eine vernünftige Netzseite erstellen könntest.

Wir greifen hier zum Ende des Leitfadens teilweise auf einen von Dennis G. verfassten Artikel im Tremonia Blog zurück, jedoch hosten wir die Seite lieber selber. Das ist zwar mit mehr Arbeit und natürlich Kosten verbunden jedoch halten wir es für die bessere Methode. Die Anleitung vom Tremonia Blog könnt ihr aber natürlich nutzen wenn ihr keinen eigenen Webspace/server habt und das WordPress auf z.B. Blogspot oder logr nutzt.

Für diesen Leitfaden benötigst du:

  • Bildbearbeitungssoftware z.B. Gimp für die Header-Gafik
  • deinen eigenen Webspace
  • Filezilla portable
  • Tor Browser Bundle
  • WordPress CMS + Sprachpaket und Plugins

Hast du die Domain mit dem Webspace verknüpft und greifst das erste mal darauf zu (natürlich alles via Tor / VPN) wirst du eine 08/15 - Willkommens Seite sehen die auf jedem neuen Webspace hinterlegt ist. Soweit so gut, dies bedeutet zumindest das du bis hier her alles richtig gemacht hast, d.h. die Domain zeigt auf deinen Webspace.

WordPress herunterladen

Falls dies noch nicht geschehen ist startest du jetzt das Tor Browser Bundle und gehst auf www.de.wordpress.org. Dort lädst du dir unter dem Punkt Download die neueste Version von des WordPress CMS herunter und entpackst die heruntergeladene .zip Datei auf z.B. deinem Desktop.

Jetzt laden wir uns ein Plugin herunter das leider später per WordPress so einfach nicht gefunden werden kann. Lade dir diese Datei herunter. Der Inhalt ist ein Plugin das sich "delete_comment_ip_immediately" nennt und auf dessen Bedeutung wir später noch zu sprechen kommen. Wenn du das .zip Archiv heruntergeladen hast öffnest du es und kopierst die Datei "delete_comment_ip_immediately.php" in deinen WordPress Ordner unter: "wp-content" > "plugins".

blank

Schutz der wp-config.php

Eine der wichtigsten Datein in dem WordPress Ordner ist die "wp-config.php". Diese darf auf gar keinen Fall, wenn sie erstmal auf deinem Webspace liegt, zugreifbar sein. Damit erst gar nicht die Chance für Hacker entstehen kann, auf diese wirklich wichtige Datei zugreifen zu können, verbieten wir jetzt per .htaccess den Zugriff von außen. Du öffnest den ganz normalen Texteditor und trägst folgendes ein:

Order deny,allow deny from all

Diese Datei speicherst du unter .htaccess ab und kopierst sie in den WordPress Ordner.

.htaccess und wp-config.php müssen sich im selben Verzeichnis befinden.

cPanel

Jetzt öffnest du im Tor Browser die cPanel Seite deines Webspaces. Die Adresse und die Zugangsdaten müsstest du ja inzwischen von deinem Anbieter bekommen haben. Hier werden wir jetzt zwei Dinge erledigen. Zum einen legen wir unter dem Punkt "FTP Accounts" einen neuen Login mit sicherem Passwort an.

blank

Dieser Login sollte nicht auf das Root-Verzeichnis zeigen sondern direkt auf den Ordner in dem wir die Weltnetzseite ablegen (public_html) möchten. Im Regelfall reicht es wenn du "Directory" leer lässt. Hast du alle nötigen Daten angegeben, bestätigst du mit Create FTP Account.

Wir gehen wieder auf die Hauptseite des cPanels und suchen uns den Punkt "MySQL Databases".

blank

Hier legen wir jetzt einen Benutzer für MySQL und eine neue Datenbank für die WordPress Installation an. Du scrollst herunter bis du zum Punkt "MySQL User" gelangst. Hier trägst du einen Benutzernamen und ein sicheres Passwort ein. Der Nutzername kann ruhig etwas ausgefallen sein wie z.B. dein Passwort. Es ist überhaupt nicht schlimm wenn dein Benutzername z.B. "Ha5eM4uS" ist.

Ist das geschafft legen wir eine neue Datenbank an. Unter dem Punkt "Create a New Database" legst du wie schon beim Benutzernamen einen etwas ausgefalleren Namen fest und bestätigst das ganze mit "Create Database".

Nun sind wir hier auch schon fast fertig. Als letztes müssen wir die Datenbank nur noch mit dem Benutzernamen verknüpfen. Dies machst du ganz unten bei dem Punkt "Add a User to a Database". Dort nimmst du dir den Benutzer und die Datenbank, klickst auf "ADD" machst einen Haken bei "ALL PRIVILEGES" und bestätigst mit "Make Changes".

Notiere dir alle erstellten Daten (Benutzername, Datenbankname und Passwort), die werden wir später wieder brauchen

Wir haben jetzt beide Punkte abgearbeitet und du kannst dich vom cPanel ausloggen und die Seite schließen.

FTP-Programm Filezilla

Als nächstes widmen wir uns dem FTP-Programm "Filezilla". Wir empfehlen immer den Filezilla Portable herunterzuladen. Mit einem Doppelklick auf die herunterlegadene FileZillaPortable_x.xx.x.x.paf.exe entpackst du das komplette Programm in einen von dir gewählten Ordner. Das heißt, das Programm wird nicht auf deinem Computer installiert sondern in den einen von dir gewählten Ordner und jede Aktion in Filezilla findet ausschließlich innerhalb dieses einen Ordners statt.

Natürlich wollen wir die Netzseite so anonym wie möglich auf den Webspace transverieren. Dazu ist es notwendig das auch Filezilla über einen sicheren Proxy Server geleitet wird. Dazu öffnest du das FTP Programm, gehst auf "Bearbeiten" > "Einstellungen" und in dem sich öffnenden Fenster auf "Generischer-Proxy" gibst du einen Proxy Server an oder du nutzt auch hier das Tor-Netzwerk. Für das Tor-Netzwerk musst du folgende Eingaben tätigen:

  • Der Typ des Proxys: SOCKS4
  • Der Proxy Server: 127.0.0.1
  • Der Host des Proxys: 9050
Damit sich Filezilla mit dem Tor-Netzwerk verbinden kann muss natürlich das Tor-Browser-Bundle bzw. der Tor-Browser im Hintergrund laufen!
blank

Hast du die Einstellungen mit "OK" beendet wird sich Filezilla über das Tor-Netzwerk mit deinem Webspace verbinden. Da wir aber nicht wollen das jemand unsere Zugangsdaten mitliest müssen wir die Verbindung zusätzlich noch verschlüsseln. Dazu gehst du auf "Datei" > "Servermanager". Hier trägst du nach einem Klick auf Neuer Server deine Zugangsdaten bis auf das Passwort ein. Zusätzlich klickst du im Punkt "Verschlüsselung" auf "Explizites FTP über TLS erfordern" und bestätigst das Ganze mit einem Klick auf "OK".

blank
Verbinde dich niemals unverschlüsslt mit deinem Webspace und schon gar nicht wenn sich Filezilla über das Tor-Netzwerk verbindet

Jetzt bist du soweit und kannst dich das erste mal über Filezilla mit deiner Weltnetzseite verbinden. Du klickst rechts auf den Pfeil neben dem Serversymbol und verbindest dich mit deinem eben erstellten Server oder rufst einfach wieder die Serververwaltung auf und drückst dort auf "Verbinden.

Nach wenigen Augenblicken bist du verbunden und du hast gesehen das sich viel getan hat. In dem rechten Fenster wirst du jetzt mindestens den Ordner "cgi-bin" sehen. Diesen Ordner kannst du löschen und nun wird der Inhalt des zuvor heruntergeladenen WordPress CMS hochgeladen. Dazu öffnest du den entpackten WordPress Ordner und ziehst den kompletten Inhalt in das Fenster. Filezilla lädt jetzt nach und nach die Dateien auf deinen Webspace, das kann ein paar Minuten dauern.

blank

WordPress installieren

Sind alle Daten auf deinen Webspace hochgeladen kannst du diesen mit dem Tor Browser sofort öffnen und du erhälst die erste von WordPress generierte Seite. Diese informiert dich darüber welche Daten du für die Installation des CMS benötigst. Lese dir die Seite in aller Ruhe durch und bestätige mit "Los Geht´s".

blank

Auf der nächsten Seite gibst du deine notierten MySQL Daten ein. Der "Datenbank-Server" ist im Regelfall localhost und schon kommen wir zum "Tabellen-Präfix". Das Tabellen-Präfix sollte auf keinen Fall auf dem Standard "wp_" gelassen werden. Da dieser Wert nur einmalig zugewiesen wird musst du dir auch nicht merken, was du da eingibst.

Je kryptischer der Wert, desto besser, wichig ist nur das der Unterstrich am Ende erhalten bleibt. Beispiel: woprindigldanum_

Hast du alles eingegeben bestätigst du mit "Senden" und erhälst wenn du alles richtig eingegeben hast die Nachricht das WordPress mit der Datenbank kommunizieren kann. Hier klickst du jetzt auf "Installation ausführen".

blank

Jetzt dauert es nicht mehr lange und du hast deine eigene WordPress Seite. Du gibst hier jetzt die geforderten Daten ein. Denke daran ein sicheres Passwort zu wählen aber noch wichtiger ist:

Wähle auch hier einen kryptischen Namen der von potenziellen Angreifern wie Antifa-Hackern nicht erraten werden kann. Auf keinen Fall sollte der Name Admin oder Administrator heißen Mit diesem Administratoren-Konto darf auf gar keinen Fall ein Beitrag oder Kommentar geschrieben werden, da der Name unbedingt geheim gehalten werden muss. Tätige mit diesem Namen nur administrative Aktionen wie Updates o.ä.Richte dir einen für die Beiträge usw. unter dem Reiter "Benutzer" einen neues Benutzer-Konto ein, das die Rechte-Klasse: "Redakteur" bekommt.

Mit einem Klick auf "WordPress installieren" hast du schon das Gröbste geschafft. Die Installation ist fertiggestellt und nun geht es an den Feinschliff der Weltnetzseite.

Sicherheitseinstellungen in der Datei: wp-config.php

Jetzt ist es soweit das wir uns wieder mit der Sicherheit beschäftigen müssen. Du lädst mit Filezilla die Datei wp-config.php herunter und öffnest sie mit einem normalen Text-Editor. Unter keinen Umständen Word einsetzen. Benutze den ganz normalen Editor der bei jeder Windows Installation vorinstalliert ist.

Der Punkt: Sicherheitsschlüssel beschreibt dir was zu tun ist. Du gehst also auf http://api.wordpress.org/secret-key/1.1/salt/, kopierst den kompletten Text der dir angezeigt wird und fügst ihn in die entsprechende Zeile in der wp-config.php ein.

Es ist extrem wichtig für euere Wordpress Installation diesen zufällig generierten und einmaligen Sicherheitsschlüssel in die wp-config.php Datei einzugragen.

Jetzt nehmen wir uns noch ein paar kleine Sicherheits- und Performance-Einstellungen vor. Du scrollst in der wp.config.php komplett nach unten. Die Zeilen, die mit "//" anfangen bezeichnen einen Kommentar und dienen als Erklärung was der Code in der nachfolgenden Zeile bewirkt. Kopiere einfach die Bereiche, die du für deine Netzseite verwenden möchtest und füge sie in deine wp-config.php ein.

// Verhindert das Bearbeiten der Dateien im Adminbereich define('DISALLOW_FILE_EDIT', true); // Nur 2 Revisionen werden gespeichert define('WP_POST_REVISIONS', 2); // Papierkorb alle 3 Tage leeren define('EMPTY_TRASH_DAYS', 3); // default ist 30 Tage // Die automatische Speicherfunktion verlängern define('AUTOSAVE_INTERVAL', 180); // default ist 60 sec

Jetzt kannst du die wp-config.php Datei speichern und schließen. Mit FileZilla lädst du die fertig konfigurierte Datei wieder auf deinen Webspace. Wenn du schon hier bist kannst du jetzt die Dateien: wp-config-sample.phplicense.txt und readme.html aus dem Verzeichnis löschen.

Wordpress einstellen

Bevor wir mit der Veranstaltungsseite richtig loslegen können, widmen wir uns kurz einigen allgemeinen Einstellungen. Dafür gehen wir in den Administrationsbereich (Dashboard) von WordPress und klicken im Menü auf "Einstellungen". Dort kannst du dann unter "Einstellungen" > "Allgemein" den Titel der Seite, die Zeitzone, die Darstellung von Zeitangaben und die Sprache einstellen. Unter "Einstellungen" > "Diskussion" kannst du dann einstellen, wie die Kommentarfunktion der Seite genutzt werden kann. Wer möchte, kann sich auch noch die restlichen Unterseiten für Einstellungen ansehen. Die meisten Einstellungen können aber so beibehalten werden.

blank

Da uns schon die ganze Zeit von WordPress angezeigt wird, dass es gerne ein Plugin aktualisieren möchte, klicken wir jetzt endlich auf "Plugins". Es gibt hunderte, wenn nicht sogar tausende Plugins für WordPress aber wir installieren jetzt nur die drei, die für unsere Sicherheit benötigt werden und der Rest fliegt raus.

Diese Plugins sollten auf keiner Weltnetzseite die mit WordPress erstellt wurde fehlen
  • antispam-bee
  • delete_comment_ip_immediately
  • limit-login-attempts

Die erste Amtshandlung ist also? ... Wir löschen die Plugins "Akismet" und "Hello Dolly". Ist dies geschehen haben wir noch das von uns heruntergeladene Plugin "Delete Comment IP immediately vor uns. Dieses WordPress-Plugin überschreibt sofort nach der Abgabe eines Kommentars die IP-Adresse des jeweiligen Nutzers mit der IP: "0.0.0.0". So gelangt keine Nutzer-IP in die WordPress Datenbank. Mit einem Klick auf "Aktivieren" kannst du das Plugin jetzt einschalten.

Nun gehen wir links unter dem Reiter "Plugins" auf "Installieren".

Blog-Spam bekämpfen ist die Stärke von "Antispam-Bee". Seit Jahren wird das Plugin darauf trainiert, Spam-Kommentare zuverlässig zu erkennen, blockieren und auf Wunsch auch sofort zu beseitigen. Dabei greift Antispam Bee auf unterschiedliche Techniken zu, die sich zur Identifizierung von Spam-Nachrichten bewährt haben.

Wir tippen "Antispam-Bee" in das Suchformular oben rechts und bestätigen mit der Entertaste. Das gewünschte Plugin sollte an erster Stelle erscheinen. Wir installieren es und klicken auf der neuen Seite auf "Aktiviere dieses Plugin".

Das Plugin "Limit Login Attempts" bietet gleich mehrere Vorteile. Erstens reduziert es die Anzahl der möglichen Login-Versuche, zweitens ändert es die überdetaillierten Fehlermeldungen (bei nicht-erfolgreichen Loginversuchen) von WordPress ab. Standardmäßig bietet WordPress so viele Loginversuche an, wie du benötigst. Bei einem Login-Fehler zeigt es akribisch auf, ob Benutzername oder Passwort falsch waren. Limit Login Attempts ändert die Fehlermeldung dahingehend, dass nur noch Angezeigt wird, dass die Eingabe fehlerhaft war. Es wird jedoch nicht mehr deutlich, was genau der Fehler war.

Wir tippen also "Limit Login Attempts" in das Suchformular oben rechts und bestätigen mit der Entertaste. Das gewünschte Plugin sollte an erster Stelle erscheinen. Wir installieren es und klicken auf der neuen Seite auf "Aktiviere dieses Plugin".

blank

WordPress anpassen

Hier muss man sagen das es "Themes" wie Sand am Meer gibt. Sucht euch ein schönes aus und versucht euch daran. Wir übernehmen hier jetzt größtenteils den Leitfaden vom Treamonia Blog der sich mit einer Veranstaltungsseite befasst.
blank

Nachdem wir die wichtigsten Einstellungen vorgenommen haben, können wir nun unter "Design" > "Themes" das Aussehen der Weltnetzseite festlegen. Wir wählen hier das Theme "EventPage" aus, das speziell zur Bewerbung von Veranstaltungen erstellt wurde. Klickt dazu in der Übersicht über alle Themes auf "Anpassen". Nun erhalten wir auf der linken Seite Felder, über die wir unsere Sonderseite mit Inhalten befüllen können.

Im Abschnitt "Header Image" gibt es die Möglichkeit mit wenigen Klicks eine Grafik hochzuladen, die dann automatisch im Kopfbereich der Seite, sowie in verschwommener Form auch als Hintergrundgrafik eingebunden wird. Die Grafik sollte thematisch passen und mindestens 800x400px groß sein.

Unter "EventPage Optionen" werden die wichtigsten Daten der Veranstaltung eingetragen. Dazu gehören das Motto, die Art der Veranstaltung, die Stadt, eine genaue Adresse, das Datum und die Uhrzeit. Sollte noch kein genauer Treffpunkt bekannt sein, gebt einen öffentlichen Vorabtreffpunkt (z.B. den Hauptbahnhof) an.

Der Reiter "EventPage Contact" bietet die Möglichkeit eure eBrief-Adresse, eine Telefonnummer und die URL zu einer weiterführenden Weltnetzseite (z.B. die Seite eurer Aktionsgruppe) einzutragen. Die Daten werden dann unterhalb der Seite dargestellt. Außerdem erscheint, wenn ihr Kontaktdaten hinterlegt habt, in der Navigation der Menüpunkt "Kontakt", der den Besucher nach einem Klick direkt zu den Kontaktdaten bringt.

"EventPage Social" - Hier kannst du die URL zu einer Facebook Seite (nicht Veranstaltung), einem Twitter Benutzernamen, oder den verwendeten Hashtag für die Veranstaltung eintragen. Nutzer können dann direkt auf der Sonderseite eurer Facebook Seite oder eurem Twitter Konto folgen. Sind keine Daten für die sozialen Netzwerke hinterlegt, so werden die Buttons trotzdem angezeigt und bewerben direkt die Sonderseite.

Dann gibt es noch den Punkt "EventPage Images". Er bietet Platz für Redner, Musikgruppen, Propagandamaterial oder Fotos. Hier kannst du bis zu sechs Fotos bzw. Grafiken hochladen und diese mit Beschriftungen versehen. Die Fotos werden dann unterhalb des Aufrufes dargestellt. Diese Bilder können z.B. zum Ankündigen der Redner, oder zum Zeigen anderer Demofotos verwenden.

Optional lässt sich sehr leicht ein Aufruf einbinden. Für die meisten Veranstaltungen gibt es einen Aufruf in Textform. Dieser Aufruf kann im Dashboard unter "Seiten" > "Erstellen" hinterlegt und mit Bildern, Verweisen usw. aufgearbeitet werden. Anschließend kannst du unter "Design" > "Anpassen" erneut in den Reiter "EventPage Optionen" und dort unter "Aufruf" die WordPress Seite auswählen, in der du den Text gespeichert hast.

Sobald der Aufruf hinterlegt wurde, wird er auf der Seite angezeigt. Außerdem haben Besucher dann auch die Möglichkeit Kommentare auf der Seite zu hinterlassen. Dazu wird in der Navigation der Punkt "Kommentare" hinzugefügt. Wurde ein neuer Kommentar auf der Veranstaltungsseite hinzugefügt, wird der Besucher durch eine farbige Anzeige in der Navigation auf die neuen Kommentare hingewiesen. Zusätzlich gibt es die Möglichkeit, die Kommentare als RSS Feed zu abonnieren.

Mit der Veröffentlichung einer neuen Version von WordPress steigen leider auch die Risiken, dass ältere Versionen anfällig für Hacks werden. Denn mit jedem Update werden nicht nur neue Funktionen eingeführt, sondern auch Schwachstellen identifiziert und behoben, die in der aktuellen Version gelöst wurden. Ältere Versionen bleiben daher ungeschützt und bieten Angreifern eine potenzielle Angriffsfläche.

Auch Plugins und Themes stellen immer wieder ein Einfallstor für Cyberkriminelle dar, wenn sie nicht regelmäßig aktualisiert werden. Diese Erweiterungen können Schwachstellen enthalten, die gezielt ausgenutzt werden, wenn sie veraltet sind.

Um das Risiko eines Angriffs zu minimieren, ist es daher entscheidend, sowohl WordPress als auch alle Plugins und Themes stets auf dem neuesten Stand zu halten. So schützt du deine Netzseite vor unerwünschten Zugriffen und sorgst dafür, dass sie sicher und stabil läuft.

Wenn du Anregungen oder Fragen zum Leitfaden hast, tritt gerne unserer Diskussionsgruppe auf Telegram bei oder kontaktiere uns über das Kontaktformular.
Diese Seite wurde zuletzt am 11.10.2024 aktualisiert.

Unterstützen

Jede Unterstützung, ob groß oder klein, hilft uns, unsere Arbeit fortzusetzen und langfristig unabhängige, parteilose Projekte zu ermöglichen. Dein Beitrag trägt direkt dazu bei, dass wir unsere Inhalte kostenfrei anbieten können und unser Engagement nachhaltig gestärkt wird. Vielen Dank für deine Unterstützung!
Bitcoin
bc1per9vee5kfflruqutwlev0tkm80wgfjmg04x2hd7ga3y94at6z0fs77tpjw
Ethereum
0x67f6498F194BC257DB06D78E8b0E9f6074aE4433
Monero
4Ahy234zByKFtnDy9X4hJ7eqp4Wxvaqht7eeDMVQTBfcUPJWmrCMvttZkxzXStFJEpQfnDszeDhnGQm8minYEZySBLbruA2
Unabhängig davon, ob du Bitcoin Cash, Litecoin, Solana oder eine andere Kryptowährung bevorzugst – wir freuen uns über jede Form der Unterstützung für unsere Arbeit. Wenn du uns finanziell unterstützen möchtest, kontaktiere uns einfach über das Kontaktformular. Nach deiner Nachricht werden wir dir die passende Wallet-Adresse für deine gewünschte Kryptowährung zukommen lassen.

blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.