SfN

Wie erstellt man eine sichere Weltnetzseite?

Wenn du eine Weltnetzseite betreiben willst aber nicht möchtest, dass jemand weiss, dass es deine Seite ist, ja dann muss eine gewisse Anonymität gewährleistet sein. Dafür gibt es Anbieter die Server im Ausland betreiben und deine persönlichen Daten verbergen oder gar nicht erst abfragen.

Warum es sowas gibt fragst du dich?

Willst du z.B. frei, ohne Zensur deine Meinung sagen können oder der Arbeitgeber oder Partner soll davon nichts erfahren. Wenn du z.B. eine Kameradschafts- oder Veranstaltungsseite erstellen würdest bekämst du eventuell Probleme mit einer Behörde. Oder willst du dich vielleicht vor teuren Abmahnungen schützen weil du deine Weltnetzseite nicht ständig auf die neuesten Vorschriften und Gesetze anpassen kannst oder willst.

Falls du so eine anonyme Seite einrichten willst musst du darauf achten, dass die Inhalte anonym dahin übertragen werden und das du die dafür anfallenden Kosten möglichst nicht über dein reguläres und offizielles Bankkonto überweist. Es sollte nichts mit dir in Zusammenhang gebracht werden können.

Achte darauf mit welchem Computer und Weltnetzzugang du das alles bewerkstelligst. Eine Lücke kann dich verraten und je nach Brisanz des Inhalts wird man sich bemühen diese Lücke auch zu finden.

Anonyme Weltnetzseite, Webserver, Domains und Hosting

Einrichtung und Wartung eines anonymen Servers um darauf eine anonyme Weltnetzseite abzulegen. Ziel ist es dabei, dass weder der Server-Anbieter, noch irgendein Provider, noch eine Bank oder Kreditkartenfirma oder irgend jemand anderes herausfinden kann, von wem der Server betrieben bzw. gewartet wird.

So bist du relativ sicher vor Abmahnungen, Unterlassungserklärungen, Zensur, politischer Verfolgung usw.

Je nach Inhalt ist ein Hoster im Ausland empfehlenswert. Kostenlos und nicht unbedingt anonym, dafür meistens mit Werbeeinblendung, geht das mit Subdomains bei verschiedenen Anbietern. (Anonym registrieren) Wer hier jedoch über die Stränge schlägt wird schnell gesperrt. Also Gesetzeslage des Landes & AGB studieren und sich daran halten.

Hier ein Blog-Anbieter:

 

Es gibt auch professionelle und somit kostenpflichtige Angebote mit eigener Domain und Webspace. Bei der Wahl des Server-Anbieters sollte man darauf achten, dass dieser:

  • whois-Einträge der Domain anonymisiert oder ersetzt
  • keine Voratsdatenspeicherung durchführt
  • keine Auskünfte will (anonymes hosting)
  • anonymes Bezahlen möglich ist
Der Hoster sollte NIE juristisch für die Verwaltung der Domains zuständig sein. Immer trennen.

Anbieter für anonyme Domains, anonymes Hosting aus unserer politischen Bewegung sind:

Empfohlene Anbieter für anonyme Domains, anonymes Hosting oder beides sind:

Sowohl beim Bestellvorgang, wie auch bei der Wartung und der Pflege (Datenübertragung) sollte man immer einen öffentlichen Zugang bzw. Anonymisierungsdienst verwenden.
Zurückgreifen solltest du auf das Tor Netzwerk oder eine VPN-Verbindung. Natürlich kann das ganze auch kombiniert werden.
Also niemals direkt auf den Server zugreifen, weder pingen (test ob er noch lebt) noch ansurfen oder was auch immer.

Gefahren und Sperren von Domain und oder Webserver

Ein Webauftritt (die Weltnetzseite) besteht aus mehreren Einzelteilen. Die Domain als Adresse die über einen DNS-Eintrag zum Inhalt (Webserver) führt.

Wichtig bei anonymem Webspace und Domains ist auf die anonyme Bezahlbarkeit zu achten (Paypal, Moneybookers etc. sind nicht anonym). Der Firmenstandort und Serverstandort möglichst Offshore wählen um bei juristischen Problemen ein “einknicken” der Firma zu verhindern.

Im einfachsten Fall hat man Domain und Webserver beim gleichen Anbieter. Ist alles bei einem Anbieter, hat es jemand der die Seite sperren lassen möchte leicht und du hast gleich zwei Probleme, denn Domain und Webserver könnten aus vielen Gründen gesperrt werden. Es benötigt meist viel Schreibarbeit und womöglich werden sogar Strafzahlungen verlangt um die Sperren wieder rückgängig zu machen.

Domain und Webspace (Webserver) sollten also besser getrennt verwaltet sein.

Bei den Domains ist folgendes zu beachten: Fast jedes Land (Staat) hat eine Domainendung, (Top Level Domain) tld genannt.

  • Deutschland = .de
  • Schweiz = .ch
  • USA = .us
  • usw.

Jedes Land bzw. die Verwaltungsstelle hat andere Gesetze & Vorschriften bei der Vergabe bzw. Sperrung ihrer Domains. Je nach tld ist man dementsprechend mehr oder weniger abschaltsicher / sperrsicher. Es kommt also immer auf den Inhalt und die Gesetzeslage an. Prüfe deshalb vor der Wahl einer Domain wie die Gesetzeslage sich mit deinem Inhalt verträgt.

Eine kurze Liste der als realtiv sicher angesehenen Domains. (Stand 08.2012) Die in Klammern sind JoinVentures mit US Firmen, also ggf. auch Problematisch.

  • .so
  • .li
  • .gs
  • .to
  • .ph
  • .tw
  • (.mx)
  • (.me)
  • .asia
  • .vn

Jeder kennt die Kino Seiten im Weltnetz. Fast alle setzen auf eine .to tld und das aus gutem Grund. Tonga, dessen tld .to ist, erlaubt es den Nutzer eine Domain vollkommen anonym zu kaufen. Leider ist eine .to Domain aber auch recht teuer.

Manche Domains (tld) können von Haus aus anonym registriert werden, bzw. der Registrar trägt irgendeine Adresse ein.

Als Domaineigentümer solltest nicht du eingetragen sein (whois-Schutz).

Die “Internet Corporation for Assigned Names and Numbers” (ICANN), ist für die Kernressourcen des Internet (Domain Namen, Internet Adressen, Protokolle und den Root Server) zuständig. Die ICANN ist in der Lage fast alle tld abzuschalten. Einzige Ausnahme scheint die .to (Tonga) Domain zu sein.

Wenn du eine für deine Zwecke abmahnsichere und anonyme Domain registriert hast, kannst du diese auf einen beliebigen Webserver (Inhalt, Content) zeigen lassen. Je nach dem kann es sinnvoll sein auch noch Domains in Reserve zu haben. Dies geht mit einem DNS-Eintrag beim Domainregistrar. (Dieser sollte das unterstützen) Deshalb sollte man zensurfreie DNS-Server nutzen.

Auf dem Webserver / Webspace auf einem Weltnetz-Server liegen die Inhalte (Content), die dann jeder zu sehen bekommt. Hier gibt es gleich mehrere mögliche Gründe der Sperrung. Je nach Qualität des Hostingpaketes (Webspace) hast du mehr oder weniger Anspruch auf Serverleistung die du dir mit anderen Kunden teilen musst. Wenn du den Server überlastest bleibt der Server stehen und alle Kunden auf dem Server haben ein Problem. Dein Provider wird dich also deshalb sperren oder verlangen das du etwas hochwertigeres bezahlst.

So eine Serverüberlastung kann auch von Aussen ohne dein zutun kommen, z.b. wenn jemand der etwas gegen dich hat millionen Anfragen an deine Weltnetzseite sendet. So ein Angriff von Aussen nennt sich DDoS-Attacke. Eine DDoS-Attacke ist leider in vielen Fällen sehr gut geeignet um eine Weltnetzseite lahm zu legen.

Man kann auch Webspace und Webserver mit DDoS-Protection buchen. Da werden dann die vielen Serveranfragen mehr oder weniger gut gefiltert und deine Seite wird weniger überlastet. DDoS-Protection kostet aber meist etwas extra.

Wer sich an deinem Inhalt stört kann aber auch deinem Provider eine Abmahnung (Abuse) schicken und behaupten du würdest gegen dieses oder jenes verstossen. Inwieweit dein Provider dieses dann vor einer Sperrung prüft und auch prüfen kann… ? Wenn der Provider eine eigene Rechtsabteilung hat und den Aufwand der Prüfung betreibt wirst du nicht einfach so gesperrt. Hier ist auch der Firmensitz (Gesetzeslage) des Providers und der Standort des Servers maßgeblich. All das um den Kunden zu schützen ist aufwendig und dementsprechen teuer. So kommen die oft hohen Preise zustande.

Nicht jedes Land ist für jeden Content geeignet. So ist z.B. Russland kein geeigneter Standort für Freedom of Speech oder Whistleblowing Seiten, aber für andere Seiten aus dem Grauzonenbereich (Warez) sehr gut geeignet. Spreche am besten den Inhalt deiner Seite zuvor mit dem Hoster ab!

Wie auch immer. Falls dich dein Webspace oder der gemietete Server im Stich lässt, kannst du einfach den DNS-Eintrag für Domain(s) ändern und auf einen anderen Server verknüpfen. Innerhalb von 24 h sollte dann der Inhalt wieder angezeigt werden können. Bei sensiblen Inhalten empfiehlt es sich also einen weiteren oder sogar mehrere Webserver (in verschiedenen Ländern) sowie verschiedene Domains in Reserve zu haben.

Wenn Domainregistrar und Server-Provider irgendwo in Timbuktu ihren Firmensitz haben und der Server auch in einem Land steht wo Beschwerden auf taube Ohren stossen hat es der Beschwerende sehr schwer und scheut evtl. den Aufwand.

Domain <=> DNS <=> Webserver – Wie geht man damit um?

Wer das Ganze (Domain <=> DNS <=> Webserver) für sich kostenlos testen möchte kann folgendes tun.

  1. Suche dir HIER eine kostenlose .co.cc Domain aus.
    Die Registrierung dauert 2-3 Minuten wenn du möchtest anonym mit plausiblen Phantasiedaten.
  2. Suche einen kostenlosen Webspaceanbieter der externe Domains (auch co.cc) zulässt.
  3. Nim das FREE-Paket mit der Option (Use my existing domain) und gebe deine co.cc-Domain an.
    Das geht auch anonym mit plausiblen Phantasiedaten.

Der Anbieter des Webservers teilt dir dann die Zugangsdaten mit. Mit diesen kannst du dich in der Serververwaltung einloggen.

Hier kannst du dann stöbern was man so alles damit tun kann. Irgendwo findest du auch die Angaben zum NameServer NS des Anbieters.

Meist sind es Angaben wie:

  • ns1.anbieter.tld & ns2.anbieter.tld

Nun gehe wieder zur Registerstelle für .co.cc Domains, logge dich ein und gehe dort zur Domainverwaltung. Dort trägst du die zwei verschiedenen Name-Server ein.

Es kann bis zu 48 Stunden dauern bis die Angaben weltweit bekannt sind und das ganze funktioniert. Du kannst natürlich auch mehrere Webserver buchen und dann die Domain auch mal auf einen anderen Webserver (Name-Server) umstellen. Auf jedem der Webserver eine andere Testseite hochladen und du wirst sehen das es funktioniert.

Nach einiger Zeit hast du genug getestet, du weisst jetzt wie es geht und hast verstanden worum es geht.

Kommen wir nun zu einer ernsthaften Weltnetzseite

Unsere Empfehlungen nach aktuellem Kenntnissstand sind folgende. Für einen echten Webauftritt ohne aufwändige, anstössige oder sensible Inhalte, kannst du es beim kostenlosen Testsystem belassen. Kostenlos kann allerdings diverse Nachteile haben. Zum Einarbeiten ist es ausreichend und kann dann ergänzt werden.

Die Grundlage jedes Weltnetzangebotes von der Domain abgesehen, ist der Webspace bzw. Webserver.

  • Webspace – Die günstigen Angebote sind Webspace mit einer Verwaltungsoberfläche. Hierbei hast du keinen direkten Zugriff auf die Grundkonfiguration des Servers. Der Server wird vom Hoster verwaltet und wird hoffentlich durch Updates auf einem sicheren Niveau gehalten.
  • V-Server – Etwas hochwertiger sind virtuelle Server. Das sind mehrere Virtuelle Maschinen auf einem Gerät. Die VMs können vom Hoster oder von dir selbst verwaltet werden. Wenn du vollen Zugriff darauf hast, musst du dich auch selbst um die Sicherheit und Updates kümmern.
  • Webserver – Ist ein Gerät als Hardware. Dort hast du meist Root-Rechte also vollen Zugriff. Deshalb werden die Geräte auch gerne Root-Server genannt.

Anonymes Hosting, anonyme Webserver, anonymer Webspace wo am besten buchen? Du solltest als Anfänger bzw. unerfahrener Webmaster eher bei einem deutschsprachigen Anbieter buchen. Alle diese Server stehen irgendwo in einem Rechnezentrum irgendwo auf der Welt und sind mehr oder weniger gut an das Weltnetz angebunden.

Die Angebote haben alle mehr oder weniger Leistung, Speicherplatz und weitere Zusatzleistungen. Preis-Leistung zu vergleichen ist dabei nicht so einfach. Je nach Inhalt des Angebotes sind verschiedene Zusatzleistungen wie verschlüsselte Festplatten, SSL, Backups, Support usw. wichtig.

Um sich und seine Besucher bei sensiblen Inhalten abzusichern ist folgendes wichtig.

  • Sicherer Serverstandort
  • Verschlüsselte Festplatten
  • SSL-Verschlüsselung bei der Datenübertragung per FTP zum Server (sFTP)
  • SSL-Verschlüsselung bei der Datenübertragung über den Browser (https://)
  • die verwendete Software für Blogs, Forum usw. so abändern, dass sie nichts loggt oder sonst wie plaudert.
  • Server-Logging deaktiviert oder nur für sehr kurze Zeit akzeptieren. (max. 24h)
  • Vorhandene Server-Logs u. Anwendungs-Logs (soweit möglich) regelmässig löschen.

Standarmässig loggt jeder Webserver alle Vorgänge der Besucher und speichert dies statistisch ab.

Serverlogs in falschen Händen können sehr gefährlich für den Betreiber und die Besucher werden.

Achte darauf, dass das Server-Logging deaktiviert ist oder dekativiere es selbst falls du Zugriff auf die Serverkonfiguration (Apache) hast.

 

Apache-Modul removeip:

sudo apt-get install libapache2-mod-removeip
sudo a2enmod removeip
/etc/init.d/apache2 force-reload
Dadurch wird anstatt der richtigen IP für jeden Clienten die IP 127.0.0.1 in die Logs geschrieben

Keine IP Adressen in die access.log schreiben:

/etc/apache2/apache2.conf
In den Zeilen, die mit "LogFormat" beginnen, jedes "%h" löschen, da "%h" die IP Adresse des Clients speichert
/etc/init.d/apache2 force-reload

Gar keine access.log schreiben:

/etc/apache2/sites-available/*
(für JEDE Datei in diesem Ordner)
"CustomLog ${APACHE_LOG_DIR}/access.log combined" ersetzen durch: "CustomLog /dev/null combined"
Dadurch werden die Logs nach /dev/null geschrieben, sprich gelöscht
/etc/init.d/apache2 force-reload

error.log deaktivieren:

Für die error.log gibt es keine Möglichkeit, die IP Adressen vom Logging auszuschließen.
Man muss also die kompletten Logs wieder nach /dev/null schreiben lassen:
/etc/apache2/sites-available/*
(wieder für ALLE Dateien in diesem Ordner)
/etc/apache2/apache2.conf
"ErrorLog ${APACHE_LOG_DIR}/error.log" ersetzen durch: "ErrorLog /dev/null"
/etc/init.d/apache2 force-reload

Man könnte evtl. ein Script in Perl, Python oder so schreiben, dass die IP Adressen aus den error.log`s löscht oder durch 127.0.0.1 ersetzt und per Cronjob ausgeführt wird.

Sechs Wege zur eigenen Weltnetzseite

Eine Weltnetzseite von Hand erstellen

Die ursprünglichste, aber nicht unbedingt einfachste Möglichkeit, eine Weltnetzseite zu erstellen ist, diese von Hand in HTML (Hypertext Markup Language) zu schreiben. HTML ist eine Auszeichnungssprache und bildet die Basis einer jeden Weltnetzseite. Die Erlernung ist nicht besonders schwierig und nicht mit der Erlernung einer Programmiersprache gleichzusetzen, benötigt aber dennoch etwas Zeit. Eine einfache HTML-Seite ist praktisch wartungsfrei und sehr sicher. Auf Grund der starren Struktur können nachträgliche Änderungen am Design bei einer Weltnetzseite mit mehreren Unterseiten aber relativ aufwändig sein. Die Erstellung einer reinen HTML-Seite ohne Zusatztechnologien ist daher nur zur Erstellung einer einfachen Webvisitenkarte mit wenigen oder besser ohne Unterseiten empfehlenswert.

Vorteile

  • Kein Wartungsaufwand
  • Hohe Sicherheit
  • Schnelle Ladezeit

Nachteile

  • Nachträgliche Anpassung des Designs ist aufwändig
  • Einarbeitungszeit

Eine Netzseite mit einem WYSIWYG-Editor erstellen

WYSIWYG ist ein Akronym für “What You See Is What You Get” und bedeutet übersetzt soviel wie: “Was du siehst, ist was du bekommst” und beschreibt ziemlich genau den Zweck von WYSIWYG-Editoren. Die Editoren ermöglichen die Erstellung von statischen Netzseiten ohne Kenntnisse von HTML und zeigen dem Benutzer schon bei der Erstellung an, wie die Netzseite später aussieht.

WYSIWYG-Editoren waren früher sehr beliebt, sind mittlerweile aber etwas aus der Mode gekommen und werden kaum noch eingesetzt. In Verruf geraten ist diese Gruppe der Editoren, da der Quelltext der generierten HTML-Seiten meist von schlechter Qualität ist. Dies kann beispielsweise dazu führen, dass die Netzseite nicht in allen Netzbetrachtern korrekt dargestellt wird oder dass sie nur schlecht in den Suchmaschinen gelistet wird.

Vorteile

  • Geringe Einarbeitungszeit
  • Kein Wartungsaufwand
  • Schnelle Ladezeiten
  • Hohe Sicherheit

Nachteile

  • Meist schlechte Quelltextqualität
  • Teilweise Kompatibilitätsprobleme mit Netzbetrachter
  • Oftmals schlechte Listung in Suchmaschinen

Seitenstellung mit einem Content-Management-System

Content-Mangement-Systeme (CMS) ermöglichen die Erstellung und Verwaltung einer Netzseite über eine grafische Oberfläche und ganz ohne Programmierkenntnisse. Die Inhalte der Seite werden bei einem CMS meist in einer Datenbank gespeichert und die eigentliche Netzseite wird beim Aufruf dynamisch generiert.

Auf Grund der Einfachheit der Installation und Bedienung wird die Komplexität der darunterliegenden Systeme und der mit dem Betrieb verbundene Wartungsaufwand unterschätzt. Für den sicheren Betrieb muss ein CMS richtig konfiguriert werden und sollte immer aktuell gehalten werden. Ansonsten kann es passieren, dass unbefugte Dritte durch Sicherheitslücken die Netzseite übernehmen oder unbefugt manipulieren. Bei größeren Versionssprüngen ist auch oftmals tiefergehendes Wissen für die Aktualisierung notwendig.

Bekannt und weit verbreitet sind beispielsweise die Open-Source-CMS Joomla, Drupal sowie WordPress. WordPress spielt seine Stärken vor allem bei der Erstellung von Blogs aus. Neben den frei verfügbaren Open-Source-CMS gibt es noch eine Vielzahl nichtöffentlicher Systeme, beispielsweise von Webdesign-Agenturen.

Vorteile

  • Einfache Verwaltung der Inhalte
  • Einfache Nachrüstung weiterer Funktionen

Nachteile

  • Hoher Wartungsaufwand
  • Sicherheit ist nur gegeben bei korrekter Konfiguration und Wartung
  • Einarbeitungszeit erforderlich
  • Langsame Ladezeiten
  • Hohe Anforderungen an Webspace

Die wartungsfreie Alternative: Static-Site-Generatoren

Static-Site-Generatoren sind in der Lage aus einer Designvorlage und einfachen Text-Dokumenten statische Weltnetzseiten zu generieren. Die Generierung erfolgt dabei nach jeder Änderung der Text-Dokumente. Durch diese Vorgehensweise kann man von den großen Vorteilen von statischen HTML-Seiten (Ladezeit, Sicherheit und Wartungsfreiheit) profitieren, ohne von den Nachteilen (z.B. Komplexität nachträglicher Design-Änderungen) eingeschränkt zu werden.

Der Einstieg in die Welt der Static-Site-Generatoren erfordert eine gewisse Einarbeitungszeit, sollte für weltnetzaffine Personen aber kein Problem darstellen. Die Einrichtung einer neuen Netzseite ist dabei einfacher als bei einem CMS, die Verwaltung dafür etwas schwieriger. Eine Schwäche der Static-Site-Generatoren sind dynamische Inhalte. Diese lassen sich zwar realisieren, erfordern teilweise aber die Benutzung eines Services eines Drittanbieters.

Die Gruppe der Static-Site-Generatoren erlebt momentan eine Renaissance. Static-Site-Generatoren eignen sich vor allem für kleinere und mittlere Projekte mit wenigen gleichberechtigten mit der Netzseitenbetreuung betrauten Personen als wartungsfreie Alternative zu einem CMS.

Vorteile

  • Schnelle Ladezeiten
  • Wartungsfrei
  • Hohe Sicherheit

Nachteile

  • Einarbeitungszeit erforderlich
  • Dynamische Inhalte sind aufwändig

Eine Netzseite (fast) ohne Eigenverantwortung: Homepagebaukästen

Ein weiterer Weg zur eigenen Weltnetzseite ist die Nutzung eines sogenannten Homepagebaukasten. Bei der Verwendung eines Homepagebaukasten muss sich nur um die Erstellung und Strukturierung der Inhalte der Netzseite gekümmert werden. Die Oberfläche zur Erstellung der NEtzseite und die Infrastruktur zum Betrieb wird vom Anbieter des Baukastens bereit gestellt.

Die Rundum-sorglos-Lösung der Homepagebaukästen ermöglicht einen einfachen Weg zur ersten eigenen Netzseite. Je nach Anforderungen werden einige Anwender jedoch früher oder später an die Grenzen des Systems stossen. Wenn dies passiert, muss über einen Umstieg auf eine flexiblere Alternative nachgedacht werden. Wichtig ist dann unter anderem, ob der Anbieter den Export der eigenen Inhalte in einem maschinenlesbaren Format erlaubt.

Homepagebaukästen bieten einen einfachen Einstieg in die Welt der Weltnetzseiten und sind eine gute Einstiegslösung zum schnellen und kostengünstigen Aufbau einer eigenen Netzseite. Da die Wartung eines Shop-Systems mit einem CMS sehr komplex ist und Static-Site-Generatoren nur bedingt für die Erstellung eines Shops geeignet sind, eignen sich Homepagebaukästen auch gut für Shop-Betreiber mit kleinem Budget.

Vorteile

  • Schneller Einstieg
  • Infrastruktur wird vom Anbieter bereitgestellt

Nachteile

  • Geringe Flexibilität
  • Daten oftmals nicht exportierbar

Hybrid-Lösung: Content-Management-System und Static-Site-Generator kombiniert

Bei einer Hybrid-Lösung aus CMS und Static-Site-Generator werden die Vorteile beider Systeme und Elemente aus den Homepagebaukästen kombiniert. Das Ziel einer Hybrid-Lösungen ist es, wartungsfreie Websites mit sehr hoher Flexibilität zu ermöglichen.

Der Kunde kann die Inhalte bei der Nutzung über ein zentrales CMS bequem verwalten. Aus den Inhalten werden dann statische Netzseiten generiert. Da nur das zentrale CMS gewartet werden muss, bleibt die Verantwortung dafür beim Anbieter. Dynamische Inhalte werden bei Hybrid-Lösungen, wie bei der Nutzung von Static-Site-Generatoren, über externe Schnittstellen realisiert.

Hybrid-Lösungen sind eine gute Alternative zu den oben vorgestellten Wegen, wenn eine in der Bedienung einfache und bequeme Lösung gesucht wird, aber nicht auf individuelle Beratung und Flexibilität verzichtet werden soll.

´

Vorteile

  • Schneller Einstieg
  • Schnelle Ladezeiten
  • Infrastruktur wird vom Anbieter bereitgestellt
  • Hohe Flexibilität

Nachteile

  • Daten nicht immer exportierbar
  • Dynamische Inhalte anbieterabhängig aufwändig

Eine Weltnetzseite mit WordPress auf einem Webspace erstellen

blank

Im Idealfall hast du deine Weltnetzseite fertig erstellt bevor du eine Domain mit dem passenden Webspace mietest. Wir gehen bei diesem Leitfaden aber erstmal vom umgekehrten Fall aus. Du hast also eine Domain und einen Webspace gemietet und nun stehst du vor der Frage wie deine Weltnetzseite aussehen sollte oder mit welchem Werkzeug du eine vernünftige Weltnetzseite erstellen könntest.

Wir greifen hier zum Teil auf einen von Dennis Giemsch verfassten Artikel im Tremonia Blog zurück, jedoch hosten wir die Seite lieber selber. Das ist zwar mit mehr Arbeit und natürlich Kosten verbunden jedoch halten wir es für die bessere Methode. Die Anleitung vom Tremonia Blog könnt ihr aber natürlich nutzen wenn ihr keinen eigenen Webspace/server habt und das WordPress auf z.B. Blogspot oder logr nutzt.

Für diesen Leitfaden benötigst du:

  • Bildbearbeitungssoftware z.B. Gimp für die Header-Gafik
  • deinen eigenen Webspace
  • Filezilla portable
  • Tor Browser Bundle
  • WordPress CMS + Sprachpaket und Plugins

Hast du die Domain mit dem Webspace verknüpft und greifst das erste mal darauf zu (natürlich alles via Tor / VPN) wirst du eine 08/15 – Willkommens Seite sehen die auf jedem neuen Webspace hinterlegt ist. Soweit so gut, dies bedeutet zumindest das du bis hier her alles richtig gemacht hast, d.h. die Domain zeigt auf deinen Webspace.

WordPress herunterladen

Falls dies noch nicht geschehen ist startest du jetzt das Tor Browser Bundle und gehst auf www.de.wordpress.org. Dort lädst du dir unter dem Punkt Download die neueste Version von des WordPress CMS herunter und entpackst die heruntergeladene .zip Datei auf z.B. deinem Desktop.

Jetzt laden wir uns ein Plugin herunter das leider später per WordPress so einfach nicht gefunden werden kann. Lade dir diese Datei herunter. Der Inhalt ist ein Plugin das sich “delete_comment_ip_immediately” nennt und auf dessen Bedeutung wir später noch zu sprechen kommen. Wenn du das .zip Archiv heruntergeladen hast öffnest du es und kopierst die Datei “delete_comment_ip_immediately.php” in deinen WordPress Ordner unter: “wp-content” > “plugins“.

blank

Schutz der wp-config.php

Eine der wichtigsten Datein in dem WordPress Ordner ist die “wp-config.php“. Diese darf auf gar keinen Fall, wenn sie erstmal auf deinem Webspace liegt, zugreifbar sein. Damit erst gar nicht die Chance für Hacker entstehen kann, auf diese wirklich wichtige Datei zugreifen zu können, verbieten wir jetzt per .htaccess den Zugriff von außen. Du öffnest den ganz normalen Texteditor und trägst folgendes ein:

<files wp-config.php>
Order deny,allow
deny from all
</files>

Diese Datei speicherst du unter .htaccess ab und kopierst sie in den WordPress Ordner.

.htaccess und wp-config.php müssen sich im selben Verzeichnis befinden.

cPanel

Jetzt öffnest du im Tor Browser die cPanel Seite deines Webspaces. Die Adresse und die Zugangsdaten müsstest du ja inzwischen von deinem Anbieter bekommen haben.

Hier werden wir jetzt zwei Dinge erledigen. Zum einen legen wir unter dem Punkt “FTP Accounts” einen neuen Login mit sicherem Passwort an.

blank

Dieser Login sollte nicht auf das Root-Verzeichnis zeigen sondern direkt auf den Ordner in dem wir die Weltnetzseite ablegen (public_html) möchten. Im Regelfall reicht es wenn du “Directory” leer lässt. Hast du alle nötigen Daten angegeben, bestätigst du mit Create FTP Account.

Wir gehen wieder auf die Hauptseite des cPanels und suchen uns den Punkt “MySQL Databases“.

blank

Hier legen wir jetzt einen Benutzer für MySQL und eine neue Datenbank für die WordPress Installation an. Du scrollst herunter bis du zum Punkt “MySQL User” gelangst. Hier trägst du einen Benutzernamen und ein sicheres Passwort ein. Der Nutzername kann ruhig etwas ausgefallen sein wie z.B. dein Passwort. Es ist überhaupt nicht schlimm wenn dein Benutzername z.B. “Ha5eM4uS” ist.

Ist das geschafft legen wir eine neue Datenbank an. Unter dem Punkt “Create a New Database” legst du wie schon beim Benutzernamen einen etwas ausgefalleren Namen fest und bestätigst das ganze mit “Create Database“.

Nun sind wir hier auch schon fast fertig. Als letztes müssen wir die Datenbank nur noch mit dem Benutzernamen verknüpfen. Dies machst du ganz unten bei dem Punkt “Add a User to a Database“. Dort nimmst du dir den Benutzer und die Datenbank, klickst auf “ADD” machst einen Haken bei “ALL PRIVILEGES” und bestätigst mit “Make Changes“.

Notiere dir alle erstellten Daten (Benutzername, Datenbankname und Passwort), die werden wir später wieder brauchen

Wir haben jetzt beide Punkte abgearbeitet und du kannst dich vom cPanel ausloggen und die Seite schließen.

FTP-Programm Filezilla

Als nächstes widmen wir uns dem FTP-Programm “Filezilla“. Wir empfehlen immer den Filezilla Portableherunterzuladen. Mit einem Doppelklick auf die Herunterlegadene FileZillaPortable_x.xx.x.x.paf.exeentpackst du das komplette Programm in einen von dir gewählten Ordner. Das heißt, das Programm wird nicht auf deinem Computer installiert sondern in den einen von dir gewählten Ordner und jede Aktion in Filezilla findet ausschließlich innerhalb dieses einen Ordners statt.

Wir wollen die Weltnetzseite so anonym wie möglich auf den Webspace transverieren. Dazu ist es nätürlich notwendig das auch Filezilla über einen sicheren Proxy Server geleitet wird. Dazu öffnest du das FTP Programm, gehst auf “Bearbeiten” > “Einstellungen” und in dem sich öffnenden Fenster auf “Generischer-Proxy” gibst du einen Proxy Server an oder du nutzt auch hier das Tor-Netzwerk. Für das Tor-Netzwerk musst du folgende Eingaben tätigen:

  • Der Typ des Proxys:
    SOCKS4
  • Der Proxy Server:
    127.0.0.1
  • Der Host des Proxys:
    9050
Damit sich Filezilla mit dem Tor-Netzwerk verbinden kann muss natürlich das Tor-Browser-Bundle bzw. der Tor-Browser im Hintergrund laufen

blank
Hast du die Einstellungen mit “OK” beendet wird sich Filezilla über das Tor-Netzwerk mit deinem Webspace verbinden. Da wir aber nicht wollen das jemand unsere Zugangsdaten mitliest müssen wir die Verbindung zusätzlich noch verschlüsseln. Dazu gehst du auf “Datei” > “Servermanager“. Hier trägst du nach einem Klick auf Neuer Server deine Zugangsdaten bis auf das Passwort ein. Zusätzlich klickst du im Punkt “Verschlüsselung” auf “Explizites FTP über TLS erfordern” und bestätigst das Ganze mit einem Klick auf “OK“.

blank

Verbinde dich niemals unverschlüsslt mit deinem Webspace und schon gar nicht wenn sich Filezilla über das Tor-Netzwerk verbindet

Jetzt bist du soweit und kannst dich das erste mal über Filezilla mit deiner Weltnetzseite verbinden. Du klickst rechts auf den Pfeil neben dem Serversymbol und verbindest dich mit deinem eben erstellten Server oder rufst einfach wieder die Serververwaltung auf und drückst dort auf “Verbinden.

Nach wenigen Augenblicken bist du verbunden und du hast gesehen das sich viel getan hat. In dem rechten Fenster wirst du jetzt mindestens den Ordner “cgi-bin” sehen. Diesen Ordner kannst du löschen und nun wird der Inhalt des zuvor heruntergeladenen WordPress CMS hochgeladen. Dazu öffnest du den entpackten WordPress Ordner und ziehst den kompletten Inhalt in das Fenster. Filezilla lädt jetzt nach und nach die Dateien auf deinen Webspace, das kann ein paar Minuten dauern.

blank

WordPress installieren

Sind alle Daten auf deinen Webspace hochgeladen kannst du diesen mit dem Tor Browser sofort öffnen und du erhälst die erste von WordPress generierte Seite. Diese informiert dich darüber welche Daten du für die Installation des CMS benötigst. Lese dir die Seite in aller Ruhe durch und bestätige mit “Los Geht´s“.

blank
Auf der nächsten Seite gibst du deine notierten MySQL Daten ein. Der “Datenbank-Server” ist im Regelfall localhost und schon kommen wir zum “Tabellen-Präfix“. Das Tabellen-Präfix sollte auf keinen Fall auf dem Standard “wp_” gelassen werden. Da dieser Wert nur einmalig zugewiesen wird musst du dir auch nicht merken, was du da eingibst.

Je kryptischer der Wert, desto besser, wichig ist nur das der Unterstrich am Ende erhalten bleibt. Beispiel: woprindigldanum_

Hast du alles eingegeben bestätigst du mit “Senden” und erhälst wenn du alles richtig eingegeben hast die Nachricht das WordPress mit der Datenbank kommunizieren kann. Hier klickst du jetzt auf “Installation ausführen“.

blank

Jetzt dauert es nicht mehr lange und du hast deine eigene WordPress Seite. Du gibst hier jetzt die geforderten Daten ein. Denke daran ein sicheres Passwort zu wählen aber noch wichtiger ist:

Wähle auch hier einen kryptischen Namen der von potenziellen Angreifern wie Antifa-Hackern nicht erraten werden kann. Auf keinen Fall sollte der Name Admin oder Administrator heißen
Mit diesem Administratoren-Konto darf auf gar keinen Fall ein Beitrag oder Kommentar geschrieben werden, da der Name unbedingt geheim gehalten werden muss. Tätige mit diesem Namen nur administrative Aktionen wie Updates o.ä.Richte dir einen für die Beiträge usw. unter dem Reiter “Benutzer” einen neues Benutzer-Konto ein, das die Rechte-Klasse: “Redakteur” bekommt.

Mit einem Klick auf “WordPress installieren” hast du schon das Gröbste geschafft. Die Installation ist fertiggestellt und nun geht es an den Feinschliff der Weltnetzseite.

Sicherheitseinstellungen in der Datei: wp-config.php

Jetzt ist es soweit das wir uns wieder mit der Sicherheit beschäftigen müssen. Du lädst mit Filezilla die Datei wp-config.php herunter und öffnest sie mit einem normalen Text-Editor. Unter keinen Umständen Word einsetzen. Benutze den ganz normalen Editor der bei jeder Windows Installation vorinstalliert ist.

Der Punkt: Sicherheitsschlüssel beschreibt dir was zu tun ist. Du gehst also auf http://api.wordpress.org/secret-key/1.1/salt/, kopierst den kompletten Text der dir angezeigt wird und fügst ihn in die entsprechende Zeile in der wp-config.php ein.

Es ist extrem wichtig für euere WordPress Installation diesen zufällig generierten und einmaligen Sicherheitsschlüssel in die wp-config.php Datei einzugragen.

Jetzt nehmen wir uns noch ein paar kleine Sicherheits- und Performance-Einstellungen vor. Du scrollst in der wp.config.php komplett nach unten. Die Zeilen, die mit “//” anfangen bezeichnen einen Kommentar und dienen als Erklärung was der Code in der nachfolgenden Zeile bewirkt. Kopiere einfach die Bereiche, die du für deine Netzseite verwenden möchtest und füge sie in deine wp-config.php ein.

// Verhindert das Bearbeiten der Dateien im Adminbereich
define('DISALLOW_FILE_EDIT', true);
// Nur 2 Revisionen werden gespeichert
define('WP_POST_REVISIONS', 2);
// Papierkorb alle 3 Tage leeren
define('EMPTY_TRASH_DAYS', 3); // default ist 30 Tage
// Die automatische Speicherfunktion verlängern
define('AUTOSAVE_INTERVAL', 180); // default ist 60 sec

Jetzt kannst du die wp-config.php Datei speichern und schließen. Mit FileZilla lädst du die fertig konfigurierte Datei wieder auf deinen Webspace. Wenn du schon hier bist kannst du jetzt die Dateien: wp-config-sample.phplicense.txt und readme.html aus dem Verzeichnis löschen.

WordPress einstellen

Bevor wir mit der Veranstaltungsseite richtig loslegen können, widmen wir uns kurz einigen allgemeinen Einstellungen. Dafür gehen wir in den Administrationsbereich (Dashboard) von WordPress und klicken im Menü auf “Einstellungen“. Dort kannst du dann unter “Einstellungen” > “Allgemein” den Titel der Seite, die Zeitzone, die Darstellung von Zeitangaben und die Sprache einstellen. Unter “Einstellungen” > “Diskussion” kannst du dann einstellen, wie die Kommentarfunktion der Seite genutzt werden kann. Wer möchte, kann sich auch noch die restlichen Unterseiten für Einstellungen ansehen. Die meisten Einstellungen können aber so beibehalten werden.

blank

Da uns schon die ganze Zeit von WordPress angezeigt wird, dass es gerne ein Plugin aktualisieren möchte, klicken wir jetzt endlich auf “Plugins“. Es gibt hunderte, wenn nicht sogar tausende Plugins für WordPress aber wir installieren jetzt nur die drei, die für unsere Sicherheit benötigt werden und der Rest fliegt raus.

Diese Plugins sollten auf keiner Weltnetzseite die mit WordPress erstellt wurde fehlen
  • antispam-bee
  • delete_comment_ip_immediately
  • limit-login-attempts

Die erste Amtshandlung ist also? … Wir löschen die Plugins “Akismet” und “Hello Dolly“. Ist dies geschehen haben wir noch das von uns heruntergeladene Plugin “Delete Comment IP immediately vor uns. Dieses WordPress-Plugin überschreibt sofort nach der Abgabe eines Kommentars die IP-Adresse des jeweiligen Nutzers mit der IP: “0.0.0.0”. So gelangt keine Nutzer-IP in die WordPress Datenbank. Mit einem Klick auf “Aktivieren” kannst du das Plugin jetzt einschalten.

Nun gehen wir links unter dem Reiter “Plugins” auf “Installieren“.

Blog-Spam bekämpfen ist die Stärke von “Antispam-Bee“. Seit Jahren wird das Plugin darauf trainiert, Spam-Kommentare zuverlässig zu erkennen, blockieren und auf Wunsch auch sofort zu beseitigen. Dabei greift Antispam Bee auf unterschiedliche Techniken zu, die sich zur Identifizierung von Spam-Nachrichten bewährt haben.

Wir tippen “Antispam-Bee” in das Suchformular oben rechts und bestätigen mit der Entertaste. Das gewünschte Plugin sollte an erster Stelle erscheinen. Wir installieren es und klicken auf der neuen Seite auf “Aktiviere dieses Plugin“.

Das Plugin “Limit Login Attempts” bietet gleich mehrere Vorteile. Erstens reduziert es die Anzahl der möglichen Login-Versuche, zweitens ändert es die überdetaillierten Fehlermeldungen (bei nicht-erfolgreichen Loginversuchen) von WordPress ab. Standardmäßig bietet WordPress so viele Loginversuche an, wie du benötigst. Bei einem Login-Fehler zeigt es akribisch auf, ob Benutzername oder Passwort falsch waren. Limit Login Attempts ändert die Fehlermeldung dahingehend, dass nur noch Angezeigt wird, dass die Eingabe fehlerhaft war. Es wird jedoch nicht mehr deutlich, was genau der Fehler war.

Wir tippen also “Limit Login Attempts” in das Suchformular oben rechts und bestätigen mit der Entertaste. Das gewünschte Plugin sollte an erster Stelle erscheinen. Wir installieren es und klicken auf der neuen Seite auf “Aktiviere dieses Plugin“.

blank

WordPress anpassen

Hier muss man sagen das es “Themes” wie Sand am Meer gibt. Sucht euch ein schönes aus und versucht euch daran. Wir übernehmen hier jetzt größtenteils den Leitfaden vom Treamonia Blog der sich mit einer Veranstaltungsseite befasst.

blank

Nachdem wir die wichtigsten Einstellungen vorgenommen haben, können wir nun unter “Design” > “Themes” das Aussehen der Weltnetzseite festlegen. Wir wählen hier das Theme “EventPage” aus, das speziell zur Bewerbung von Veranstaltungen erstellt wurde. Klickt dazu in der Übersicht über alle Themes auf “Anpassen“. Nun erhalten wir auf der linken Seite Felder, über die wir unsere Sonderseite mit Inhalten befüllen können.

Im Abschnitt “Header Image” gibt es die Möglichkeit mit wenigen Klicks eine Grafik hochzuladen, die dann automatisch im Kopfbereich der Seite, sowie in verschwommener Form auch als Hintergrundgrafik eingebunden wird. Die Grafik sollte thematisch passen und mindestens 800x400px groß sein.

Unter “EventPage Optionen” werden die wichtigsten Daten der Veranstaltung eingetragen. Dazu gehören das Motto, die Art der Veranstaltung, die Stadt, eine genaue Adresse, das Datum und die Uhrzeit. Sollte noch kein genauer Treffpunkt bekannt sein, gebt einen öffentlichen Vorabtreffpunkt (z.B. den Hauptbahnhof) an.

Der Reiter “EventPage Contact” bietet die Möglichkeit eure eBrief-Adresse, eine Telefonnummer und die URL zu einer weiterführenden Weltnetzseite (z.B. die Seite eurer Aktionsgruppe) einzutragen. Die Daten werden dann unterhalb der Seite dargestellt. Außerdem erscheint, wenn ihr Kontaktdaten hinterlegt habt, in der Navigation der Menüpunkt “Kontakt”, der den Besucher nach einem Klick direkt zu den Kontaktdaten bringt.

EventPage Social” – Hier kannst du die URL zu einer Facebook Seite (nicht Veranstaltung), einem Twitter Benutzernamen, oder den verwendeten Hashtag für die Veranstaltung eintragen. Nutzer können dann direkt auf der Sonderseite eurer Facebook Seite oder eurem Twitter Konto folgen. Sind keine Daten für die sozialen Netzwerke hinterlegt, so werden die Buttons trotzdem angezeigt und bewerben direkt die Sonderseite.

Dann gibt es noch den Punkt “EventPage Images“. Er bietet Platz für Redner, Musikgruppen, Propagandamaterial oder Fotos. Hier kannst du bis zu sechs Fotos bzw. Grafiken hochladen und diese mit Beschriftungen versehen. Die Fotos werden dann unterhalb des Aufrufes dargestellt. Diese Bilder können z.B. zum Ankündigen der Redner, oder zum Zeigen anderer Demofotos verwenden.

Optional lässt sich sehr leicht ein Aufruf einbinden. Für die meisten Veranstaltungen gibt es einen Aufruf in Textform. Dieser Aufruf kann im Dashboard unter “Seiten” > “Erstellen” hinterlegt und mit Bildern, Verweisen usw. aufgearbeitet werden. Anschließend kannst du unter “Design” > “Anpassen” erneut in den Reiter “EventPage Optionen” und dort unter “Aufruf” die WordPress Seite auswählen, in der du den Text gespeichert hast.

Sobald der Aufruf hinterlegt wurde, wird er auf der Seite angezeigt. Außerdem haben Besucher dann auch die Möglichkeit Kommentare auf der Seite zu hinterlassen. Dazu wird in der Navigation der Punkt “Kommentare” hinzugefügt. Wurde ein neuer Kommentar auf der Veranstaltungsseite hinzugefügt, wird der Besucher durch eine farbige Anzeige in der Navigation auf die neuen Kommentare hingewiesen. Zusätzlich gibt es die Möglichkeit, die Kommentare als RSS Feed zu abonnieren.

WordPress-Installation und Plugins immer zeitnah updaten

Mit der Veröffentlichung einer neuen WordPress-Version steigen auch die Chancen, dass ältere Versionen gehackt werden, denn mit jedem neuen Release werden die Schwachstellen beschrieben, die mit eben diesem Release behoben wurden. Auch Plugins sind immer wieder das Einfalltor für Angriffe. Deswegen achtet bitte darauf, WordPress und alle Plugins immer auf den neuesten Stand zu bringen.

Dereferer für nationale Weltnetzprojekte
Dieser Dienst ist ausschließlich für politische Weltnetzseiten gedacht. Jede Netzseite die den Derefererdienst in Anspruch nehmen möchte muss manuell von uns Freigeschaltet werden. Betreibst du eine politische Weltnetzseite und möchtest das deine URL nicht in den Serverlogs der von dir verlinkten Netzseiten auftaucht kannst du dich gerne über unser Kontaktformular an uns wenden. Wir Prüfen dein Anliegen, schalten deine Netzseite frei und übermitteln dir Informationen wie du den SfN Dereferer benutzt bzw. so in deine Weltnetzseite einbaust das alle ausgehenden Verweise automatisiert anonymisiert werden.

3 Kommentare

  • Übrigens höchste Vorsicht bei der Verwendung von git, und zwar unabhängig davon welcher Webserver verwendet wird (Apache, Nginx, Lighttpd, Microsoft IIS):

    Zitat:”Das Versionierungstool erstellt bei dem ausrollen von Inhalten im Stammverzeichnis des Projektes einen Ordner namens „.git“ in dem eine vollständige Kopie der Repository hinterlegt wird. Das Problem dabei ist, dass die meisten Entwickler ihr Repository einfach kopieren und hochladen. Ein ungeschützter Pfad ins Repository kann Quellcodes, Server-Zugriffsschlüssel, Datenbankpasswörter, gehostete Dateien und andere sensible Informationen offenlegen. Achtung: Da diese Lücke schon seit längerem bekannt ist, finden sich auch entsprechende Tools um diese Verzeichnisse automatisiert zu durchforsten und herunterzuladen.”

    Quelle: http://archive.is/6lfPn

    2

    0

Artikel Update
Der Artikel wurde zuletzt aktualisiert: vor 3 Jahren.
Wenn du Fragen oder Anregungen zum Artikel hast, kannst du uns gerne Kontaktieren.

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in der SfN Hauptseite werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.


blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.