Eine Weltnetzseite mit WordPress auf einem Webspace erstellen

Im Idealfall hast du deine Weltnetzseite fertig erstellt bevor du eine Domain mit dem passenden Webspace mietest. Wir gehen bei diesem Leitfaden aber erstmal vom umgekehrten Fall aus. Du hast also eine Domain und einen Webspace gemietet und nun stehst du vor der Frage wie deine Weltnetzseite aussehen sollte oder mit welchem Werkzeug du eine vernünftige Weltnetzseite erstellen könntest.

Wir greifen hier zum Teil auf einen von Dennis Giemsch verfassten Artikel im Tremonia Blog zurück, jedoch hosten wir die Seite lieber selber. Das ist zwar mit mehr Arbeit und natürlich Kosten verbunden jedoch halten wir es für die bessere Methode. Die Anleitung vom Tremonia Blog könnt ihr aber natürlich nutzen wenn ihr keinen eigenen Webspace/server habt und das WordPress auf z.B. Blogspot oder logr nutzt.

Für diesen Leitfaden benötigst du:

  • Bildbearbeitungssoftware z.B. Gimp für die Header-Gafik
  • deinen eigenen Webspace
  • Filezilla portable
  • Tor Browser Bundle
  • WordPress CMS + Sprachpaket und Plugins

Hast du die Domain mit dem Webspace verknüpft und greifst das erste mal darauf zu (natürlich alles via Tor / VPN) wirst du eine 08/15 - Willkommens Seite sehen die auf jedem neuen Webspace hinterlegt ist. Soweit so gut, dies bedeutet zumindest das du bis hier her alles richtig gemacht hast, d.h. die Domain zeigt auf deinen Webspace.

WordPress herunterladen

Falls dies noch nicht geschehen ist startest du jetzt das Tor Browser Bundle und gehst auf www.de.wordpress.org. Dort lädst du dir unter dem Punkt Download die neueste Version von des WordPress CMS herunter und entpackst die heruntergeladene .zip Datei auf z.B. deinem Desktop.

Jetzt laden wir uns ein Plugin herunter das leider später per WordPress so einfach nicht gefunden werden kann. Lade dir diese Datei herunter. Der Inhalt ist ein Plugin das sich "delete_comment_ip_immediately" nennt und auf dessen Bedeutung wir später noch zu sprechen kommen. Wenn du das .zip Archiv heruntergeladen hast öffnest du es und kopierst die Datei "delete_comment_ip_immediately.php" in deinen WordPress Ordner unter: "wp-content" > "plugins".

Schutz der wp-config.php

Eine der wichtigsten Datein in dem WordPress Ordner ist die "wp-config.php". Diese darf auf gar keinen Fall, wenn sie erstmal auf deinem Webspace liegt, zugreifbar sein. Damit erst gar nicht die Chance für Hacker entstehen kann, auf diese wirklich wichtige Datei zugreifen zu können, verbieten wir jetzt per .htaccess den Zugriff von außen. Du öffnest den ganz normalen Texteditor und trägst folgendes ein:

<files wp-config.php>
Order deny,allow
deny from all
</files>

Diese Datei speicherst du unter .htaccess ab und kopierst sie in den WordPress Ordner.

.htaccess und wp-config.php müssen sich im selben Verzeichnis befinden.

cPanel

Jetzt öffnest du im Tor Browser die cPanel Seite deines Webspaces. Die Adresse und die Zugangsdaten müsstest du ja inzwischen von deinem Anbieter bekommen haben.

Hier werden wir jetzt zwei Dinge erledigen. Zum einen legen wir unter dem Punkt "FTP Accounts" einen neuen Login mit sicherem Passwort an.

Dieser Login sollte nicht auf das Root-Verzeichnis zeigen sondern direkt auf den Ordner in dem wir die Weltnetzseite ablegen (public_html) möchten. Im Regelfall reicht es wenn du "Directory" leer lässt. Hast du alle nötigen Daten angegeben, bestätigst du mit Create FTP Account.

Wir gehen wieder auf die Hauptseite des cPanels und suchen uns den Punkt "MySQL Databases".

Hier legen wir jetzt einen Benutzer für MySQL und eine neue Datenbank für die WordPress Installation an. Du scrollst herunter bis du zum Punkt "MySQL User" gelangst. Hier trägst du einen Benutzernamen und ein sicheres Passwort ein. Der Nutzername kann ruhig etwas ausgefallen sein wie z.B. dein Passwort. Es ist überhaupt nicht schlimm wenn dein Benutzername z.B. "Ha5eM4uS" ist.

Ist das geschafft legen wir eine neue Datenbank an. Unter dem Punkt "Create a New Database" legst du wie schon beim Benutzernamen einen etwas ausgefalleren Namen fest und bestätigst das ganze mit "Create Database".

Nun sind wir hier auch schon fast fertig. Als letztes müssen wir die Datenbank nur noch mit dem Benutzernamen verknüpfen. Dies machst du ganz unten bei dem Punkt "Add a User to a Database". Dort nimmst du dir den Benutzer und die Datenbank, klickst auf "ADD" machst einen Haken bei "ALL PRIVILEGES" und bestätigst mit "Make Changes".

Notiere dir alle erstellten Daten (Benutzername, Datenbankname und Passwort), die werden wir später wieder brauchen

Wir haben jetzt beide Punkte abgearbeitet und du kannst dich vom cPanel ausloggen und die Seite schließen.

FTP-Programm Filezilla

Als nächstes widmen wir uns dem FTP-Programm "Filezilla". Wir empfehlen immer den Filezilla Portable herunterzuladen. Mit einem Doppelklick auf die Herunterlegadene FileZillaPortable_x.xx.x.x.paf.exe entpackst du das komplette Programm in einen von dir gewählten Ordner. Das heißt, das Programm wird nicht auf deinem Computer installiert sondern in den einen von dir gewählten Ordner und jede Aktion in Filezilla findet ausschließlich innerhalb dieses einen Ordners statt.

Wir wollen die Weltnetzseite so anonym wie möglich auf den Webspace transverieren. Dazu ist es nätürlich notwendig das auch Filezilla über einen sicheren Proxy Server geleitet wird. Dazu öffnest du das FTP Programm, gehst auf "Bearbeiten" > "Einstellungen" und in dem sich öffnenden Fenster auf "Generischer-Proxy" gibst du einen Proxy Server an oder du nutzt auch hier das Tor-Netzwerk. Für das Tor-Netzwerk musst du folgende Eingaben tätigen:

  • Der Typ des Proxys:
    SOCKS4
  • Der Proxy Server:
    127.0.0.1
  • Der Host des Proxys:
    9050
Damit sich Filezilla mit dem Tor-Netzwerk verbinden kann muss natürlich das Tor-Browser-Bundle bzw. der Tor-Browser im Hintergrund laufen

Hast du die Einstellungen mit "OK" beendet wird sich Filezilla über das Tor-Netzwerk mit deinem Webspace verbinden. Da wir aber nicht wollen das jemand unsere Zugangsdaten mitliest müssen wir die Verbindung zusätzlich noch verschlüsseln. Dazu gehst du auf "Datei" > "Servermanager". Hier trägst du nach einem Klick auf Neuer Server deine Zugangsdaten bis auf das Passwort ein. Zusätzlich klickst du im Punkt "Verschlüsselung" auf "Explizites FTP über TLS erfordern" und bestätigst das Ganze mit einem Klick auf "OK".

Verbinde dich niemals unverschlüsslt mit deinem Webspace und schon gar nicht wenn sich Filezilla über das Tor-Netzwerk verbindet

Jetzt bist du soweit und kannst dich das erste mal über Filezilla mit deiner Weltnetzseite verbinden. Du klickst rechts auf den Pfeil neben dem Serversymbol und verbindest dich mit deinem eben erstellten Server oder rufst einfach wieder die Serververwaltung auf und drückst dort auf "Verbinden.

Nach wenigen Augenblicken bist du verbunden und du hast gesehen das sich viel getan hat. In dem rechten Fenster wirst du jetzt mindestens den Ordner "cgi-bin" sehen. Diesen Ordner kannst du löschen und nun wird der Inhalt des zuvor heruntergeladenen WordPress CMS hochgeladen. Dazu öffnest du den entpackten WordPress Ordner und ziehst den kompletten Inhalt in das Fenster. Filezilla lädt jetzt nach und nach die Dateien auf deinen Webspace, das kann ein paar Minuten dauern.

WordPress installieren

Sind alle Daten auf deinen Webspace hochgeladen kannst du diesen mit dem Tor Browser sofort öffnen und du erhälst die erste von WordPress generierte Seite. Diese informiert dich darüber welche Daten du für die Installation des CMS benötigst. Lese dir die Seite in aller Ruhe durch und bestätige mit "Los Geht´s".

Auf der nächsten Seite gibst du deine notierten MySQL Daten ein. Der "Datenbank-Server" ist im Regelfall localhost und schon kommen wir zum "Tabellen-Präfix". Das Tabellen-Präfix sollte auf keinen Fall auf dem Standard "wp_" gelassen werden. Da dieser Wert nur einmalig zugewiesen wird musst du dir auch nicht merken, was du da eingibst.

Je kryptischer der Wert, desto besser, wichig ist nur das der Unterstrich am Ende erhalten bleibt. Beispiel: woprindigldanum_

Hast du alles eingegeben bestätigst du mit "Senden" und erhälst wenn du alles richtig eingegeben hast die Nachricht das WordPress mit der Datenbank kommunizieren kann. Hier klickst du jetzt auf "Installation ausführen".

Jetzt dauert es nicht mehr lange und du hast deine eigene WordPress Seite. Du gibst hier jetzt die geforderten Daten ein. Denke daran ein sicheres Passwort zu wählen aber noch wichtiger ist:

Wähle auch hier einen kryptischen Namen der von potenziellen Angreifern wie Antifa-Hackern nicht erraten werden kann. Auf keinen Fall sollte der Name Admin oder Administrator heißen
Mit diesem Administratoren-Konto darf auf gar keinen Fall ein Beitrag oder Kommentar geschrieben werden, da der Name unbedingt geheim gehalten werden muss. Tätige mit diesem Namen nur administrative Aktionen wie Updates o.ä.

Richte dir einen für die Beiträge usw. unter dem Reiter "Benutzer" einen neues Benutzer-Konto ein, das die Rechte-Klasse: "Redakteur" bekommt.

Mit einem Klick auf "WordPress installieren" hast du schon das Gröbste geschafft. Die Installation ist fertiggestellt und nun geht es an den Feinschliff der Weltnetzseite.

Wordpress einstellen

Bevor wir mit der Veranstaltungsseite richtig loslegen können, widmen wir uns kurz einigen allgemeinen Einstellungen. Dafür gehen wir in den Administrationsbereich (Dashboard) von WordPress und klicken im Menü auf "Einstellungen". Dort kannst du dann unter "Einstellungen" > "Allgemein" den Titel der Seite, die Zeitzone, die Darstellung von Zeitangaben und die Sprache einstellen. Unter "Einstellungen" > "Diskussion" kannst du dann einstellen, wie die Kommentarfunktion der Seite genutzt werden kann. Wer möchte, kann sich auch noch die restlichen Unterseiten für Einstellungen ansehen. Die meisten Einstellungen können aber so beibehalten werden.

WordPress mit Plugins absichern

Da uns schon die ganze Zeit von WordPress angezeigt wird, dass es gerne ein Plugin aktualisieren möchte, klicken wir jetzt endlich auf "Plugins". Es gibt hunderte, wenn nicht sogar tausende Plugins für WordPress aber wir installieren jetzt nur die drei, die für unsere Sicherheit benötigt werden und der Rest fliegt raus.

Diese Plugins sollten auf keiner Weltnetzseite die mit WordPress erstellt wurde fehlen
  • antispam-bee
  • delete_comment_ip_immediately
  • limit-login-attempts

Die erste Amtshandlung ist also? ... Wir löschen die Plugins "Akismet" und "Hello Dolly". Ist dies geschehen haben wir noch das von uns heruntergeladene Plugin "Delete Comment IP immediately vor uns. Dieses WordPress-Plugin überschreibt sofort nach der Abgabe eines Kommentars die IP-Adresse des jeweiligen Nutzers mit der IP: "0.0.0.0". So gelangt keine Nutzer-IP in die WordPress Datenbank. Mit einem Klick auf "Aktivieren" kannst du das Plugin jetzt einschalten.

Nun gehen wir links unter dem Reiter "Plugins" auf "Installieren".

Blog-Spam bekämpfen ist die Stärke von "Antispam-Bee". Seit Jahren wird das Plugin darauf trainiert, Spam-Kommentare zuverlässig zu erkennen, blockieren und auf Wunsch auch sofort zu beseitigen. Dabei greift Antispam Bee auf unterschiedliche Techniken zu, die sich zur Identifizierung von Spam-Nachrichten bewährt haben.

Wir tippen "Antispam-Bee" in das Suchformular oben rechts und bestätigen mit der Entertaste. Das gewünschte Plugin sollte an erster Stelle erscheinen. Wir installieren es und klicken auf der neuen Seite auf "Aktiviere dieses Plugin".

Das Plugin "Limit Login Attempts" bietet gleich mehrere Vorteile. Erstens reduziert es die Anzahl der möglichen Login-Versuche, zweitens ändert es die überdetaillierten Fehlermeldungen (bei nicht-erfolgreichen Loginversuchen) von WordPress ab. Standardmäßig bietet WordPress so viele Loginversuche an, wie du benötigst. Bei einem Login-Fehler zeigt es akribisch auf, ob Benutzername oder Passwort falsch waren. Limit Login Attempts ändert die Fehlermeldung dahingehend, dass nur noch Angezeigt wird, dass die Eingabe fehlerhaft war. Es wird jedoch nicht mehr deutlich, was genau der Fehler war.

Wir tippen also "Limit Login Attempts" in das Suchformular oben rechts und bestätigen mit der Entertaste. Das gewünschte Plugin sollte an erster Stelle erscheinen. Wir installieren es und klicken auf der neuen Seite auf "Aktiviere dieses Plugin".

WordPress anpassen

Hier muss man sagen das es "Themes" wie Sand am Meer gibt. Sucht euch ein schönes aus und versucht euch daran. Wir übernehmen hier jetzt größtenteils den Leitfaden vom Treamonia Blog der sich mit einer Veranstaltungsseite befasst

Nachdem wir die wichtigsten Einstellungen vorgenommen haben, können wir nun unter "Design" > "Themes" das Aussehen der Weltnetzseite festlegen. Wir wählen hier das Theme "EventPage" aus, das speziell zur Bewerbung von Veranstaltungen erstellt wurde. Klickt dazu in der Übersicht über alle Themes auf "Anpassen". Nun erhalten wir auf der linken Seite Felder, über die wir unsere Sonderseite mit Inhalten befüllen können.

Im Abschnitt "Header Image" gibt es die Möglichkeit mit wenigen Klicks eine Grafik hochzuladen, die dann automatisch im Kopfbereich der Seite, sowie in verschwommener Form auch als Hintergrundgrafik eingebunden wird. Die Grafik sollte thematisch passen und mindestens 800x400px groß sein.

Unter "EventPage Optionen" werden die wichtigsten Daten der Veranstaltung eingetragen. Dazu gehören das Motto, die Art der Veranstaltung, die Stadt, eine genaue Adresse, das Datum und die Uhrzeit. Sollte noch kein genauer Treffpunkt bekannt sein, gebt einen öffentlichen Vorabtreffpunkt (z.B. den Hauptbahnhof) an.

Der Reiter "EventPage Contact" bietet die Möglichkeit eure eBrief-Adresse, eine Telefonnummer und die URL zu einer weiterführenden Weltnetzseite (z.B. die Seite eurer Aktionsgruppe) einzutragen. Die Daten werden dann unterhalb der Seite dargestellt. Außerdem erscheint, wenn ihr Kontaktdaten hinterlegt habt, in der Navigation der Menüpunkt "Kontakt", der den Besucher nach einem Klick direkt zu den Kontaktdaten bringt.

"EventPage Social" - Hier kannst du die URL zu einer Facebook Seite (nicht Veranstaltung), einem Twitter Benutzernamen, oder den verwendeten Hashtag für die Veranstaltung eintragen. Nutzer können dann direkt auf der Sonderseite eurer Facebook Seite oder eurem Twitter Konto folgen. Sind keine Daten für die sozialen Netzwerke hinterlegt, so werden die Buttons trotzdem angezeigt und bewerben direkt die Sonderseite.

Dann gibt es noch den Punkt "EventPage Images". Er bietet Platz für Redner, Musikgruppen, Propagandamaterial oder Fotos. Hier kannst du bis zu sechs Fotos bzw. Grafiken hochladen und diese mit Beschriftungen versehen. Die Fotos werden dann unterhalb des Aufrufes dargestellt. Diese Bilder können z.B. zum Ankündigen der Redner, oder zum Zeigen anderer Demofotos verwenden.

Optional lässt sich sehr leicht ein Aufruf einbinden. Für die meisten Veranstaltungen gibt es einen Aufruf in Textform. Dieser Aufruf kann im Dashboard unter "Seiten" > "Erstellen" hinterlegt und mit Bildern, Verweisen usw. aufgearbeitet werden. Anschließend kannst du unter "Design" > "Anpassen" erneut in den Reiter "EventPage Optionen" und dort unter "Aufruf" die WordPress Seite auswählen, in der du den Text gespeichert hast.

Sobald der Aufruf hinterlegt wurde, wird er auf der Seite angezeigt. Außerdem haben Besucher dann auch die Möglichkeit Kommentare auf der Seite zu hinterlassen. Dazu wird in der Navigation der Punkt "Kommentare" hinzugefügt. Wurde ein neuer Kommentar auf der Veranstaltungsseite hinzugefügt, wird der Besucher durch eine farbige Anzeige in der Navigation auf die neuen Kommentare hingewiesen. Zusätzlich gibt es die Möglichkeit, die Kommentare als RSS Feed zu abonnieren.

WordPress-Installation und Plugins immer zeitnah updaten

Mit der Veröffentlichung einer neuen WordPress-Version steigen auch die Chancen, dass ältere Versionen gehackt werden, denn mit jedem neuen Release werden die Schwachstellen beschrieben, die mit eben diesem Release behoben wurden. Auch Plugins sind immer wieder das Einfalltor für Angriffe. Deswegen achtet bitte darauf, WordPress und alle Plugins immer auf den neuesten Stand zu bringen.