Kommen wir nun zu einer ernsthaften Weltnetzseite

Unsere Empfehlungen nach aktuellem Kenntnissstand sind folgende. Für einen echten Webauftritt ohne aufwändige, anstössige oder sensible Inhalte, kannst du es beim kostenlosen Testsystem belassen. Kostenlos kann allerdings diverse Nachteile haben. Zum Einarbeiten ist es ausreichend und kann dann ergänzt werden.

Die Grundlage jedes Weltnetzangebotes von der Domain abgesehen, ist der Webspace bzw. Webserver.

  • Webspace - Die günstigen Angebote sind Webspace mit einer Verwaltungsoberfläche. Hierbei hast du keinen direkten Zugriff auf die Grundkonfiguration des Servers. Der Server wird vom Hoster verwaltet und wird hoffentlich durch Updates auf einem sicheren Niveau gehalten.
  • V-Server - Etwas hochwertiger sind virtuelle Server. Das sind mehrere Virtuelle Maschinen auf einem Gerät. Die VMs können vom Hoster oder von dir selbst verwaltet werden. Wenn du vollen Zugriff darauf hast, musst du dich auch selbst um die Sicherheit und Updates kümmern.
  • Webserver - Ist ein Gerät als Hardware. Dort hast du meist Root-Rechte also vollen Zugriff. Deshalb werden die Geräte auch gerne Root-Server genannt.

Anonymes Hosting, anonyme Webserver, anonymer Webspace wo am besten buchen? Du solltest als Anfänger bzw. unerfahrener Webmaster eher bei einem deutschsprachigen Anbieter buchen. Alle diese Server stehen irgendwo in einem Rechnezentrum irgendwo auf der Welt und sind mehr oder weniger gut an das Weltnetz angebunden.

Die Angebote haben alle mehr oder weniger Leistung, Speicherplatz und weitere Zusatzleistungen. Preis-Leistung zu vergleichen ist dabei nicht so einfach. Je nach Inhalt des Angebotes sind verschiedene Zusatzleistungen wie verschlüsselte Festplatten, SSL, Backups, Support usw. wichtig.

Um sich und seine Besucher bei sensiblen Inhalten abzusichern ist folgendes wichtig.

  • Sicherer Serverstandort
  • Verschlüsselte Festplatten
  • SSL-Verschlüsselung bei der Datenübertragung per FTP zum Server (sFTP)
  • SSL-Verschlüsselung bei der Datenübertragung über den Browser (https://)
  • die verwendete Software für Blogs, Forum usw. so abändern, dass sie nichts loggt oder sonst wie plaudert.
  • Server-Logging deaktiviert oder nur für sehr kurze Zeit akzeptieren. (max. 24h)
  • Vorhandene Server-Logs u. Anwendungs-Logs (soweit möglich) regelmässig löschen.

Standarmässig loggt jeder Webserver alle Vorgänge der Besucher und speichert dies statistisch ab.

Serverlogs in falschen Händen können sehr gefährlich für den Betreiber und die Besucher werden.

Achte darauf, dass das Server-Logging deaktiviert ist oder dekativiere es selbst falls du Zugriff auf die Serverkonfiguration (Apache) hast.


Apache-Modul removeip:

    sudo apt-get install libapache2-mod-removeip
    sudo a2enmod removeip
    /etc/init.d/apache2 force-reload
    Dadurch wird anstatt der richtigen IP für jeden Clienten die IP 127.0.0.1 in die Logs geschrieben

Keine IP Adressen in die access.log schreiben:

    /etc/apache2/apache2.conf
    In den Zeilen, die mit "LogFormat" beginnen, jedes "%h" löschen, da "%h" die IP Adresse des Clients speichert
    /etc/init.d/apache2 force-reload

Gar keine access.log schreiben:

    /etc/apache2/sites-available/*
    (für JEDE Datei in diesem Ordner)
    "CustomLog ${APACHE_LOG_DIR}/access.log combined" ersetzen durch: "CustomLog /dev/null combined"
    Dadurch werden die Logs nach /dev/null geschrieben, sprich gelöscht
    /etc/init.d/apache2 force-reload

error.log deaktivieren:

    Für die error.log gibt es keine Möglichkeit, die IP Adressen vom Logging auszuschließen.
    Man muss also die kompletten Logs wieder nach /dev/null schreiben lassen:
    /etc/apache2/sites-available/*
    (wieder für ALLE Dateien in diesem Ordner)
    /etc/apache2/apache2.conf
    "ErrorLog ${APACHE_LOG_DIR}/error.log" ersetzen durch: "ErrorLog /dev/null"
    /etc/init.d/apache2 force-reload

Man könnte evtl. ein Script in Perl, Python oder so schreiben, dass die IP Adressen aus den error.log`s löscht oder durch 127.0.0.1 ersetzt und per Cronjob ausgeführt wird.