Wordpress ist mittlerweile die beliebteste Blog-Plattform und wird auch auf zahlreichen Seiten als Content-Management-System eingesetzt. Viele Nutzer kümmern sich aber kaum um die Sicherheit der Software. Aufgrund der hohen Popularität von Wordpress ist dies aber unabdingbar. Außerdem ist es mit geringem Zeiteinsatz möglich, die Sicherheit von Wordpress deutlich zu erhöhen.

1. Wordpress aktuell halten
   Genau wie jede andere Software auch, muss Wordpress ständig aktuell gehalten werden. Mit neuen Versionen werden häufig Sicherheitsprobleme behoben. Immer die aktuellste Version installiert zu haben ist der wichtigste Punkt dieser Liste.
   Einige Webhosting Provider wie z.B. 1&1 sorgen bei ihren 1-Click-Installationen sogar selbst für die Software-Updates.
2. Datenbank-Präfix ändern
   Standardmäßig benutzt Wordpress das Datenbank-Präfix wp_. Wer hier eine individuelle Kombination aus Buchstaben und Zahlen gefolgt von einem Unterstrich (z.B. k4Tr8iPo_) verwendet, macht es Angreifern schwerer, Lücken im Zugriff auf die Datenbank auszunutzen.
3. Admin-Benutzername
   In früheren Wordpress-Versionen war der Benutzername des Admins immer „admin“. Mittlerweile kann bei der Installation ein eigener Benutzername ausgewählt werden. Dies sollte auch auf jeden Fall getan werden.
   Allerdings reicht dies immer noch nicht aus. Auch bei neuen Wordpress-Installationen bekommt der erste Nutzer (logischerweise) die ID 1 zugewiesen. Daher sollte besser auch nicht der zweite Account als Admin-Account genutzt werden.
   Wer sicher gehen will, sollte also einige Nutzer erstellen, und dann einen neuen Admin-Account erstellen. Dieser sollte natürlich nicht „admin“ heißen.
4. Ein sicheres Passwort wählen
   Ein sicheres Passwort ist das A und O. Ein sicheres Passwort sollte aus 8 oder mehr Buchstaben, Zahlen und ggf. auch Sonderzeichen bestehen.
   Zwei Vorgehensweise haben sich hier bewährt, um sich die Passwörter auch merken zu können:
   Variante 1: man verwendet ein oder zwei möglichst ungewöhnliche Worte und ersetzt einige Buchstaben durch Zahlen: Avok27d8Se1fe
   Variante 2: man verwendet die Anfangsbuchstaben eines Satzes, den man nur selbst kennt. Beispiel: „Ich mag 8 grüne oder 12 rote Seifenkisten“ ergibt das Passwort Im8go12r. Je ungewöhnlicher der gewählte Satz, desto sicherer ist das Passwort und desto besser kann man sich den Satz merken.
5. Den Benutzernamen nicht öffentlich anzeigen lassen
   Leider zeigt Wordpress den Benutzernamen öffentlich z.B. als Autor an. Sinnvoller ist hier den realen Namen oder ein frei gewähltes Pseudonym anzuzeigen
6. Admin- und Autoren-Account trennen
   Der Admin-Account ist für Aufgaben da, die unbedingt administrative Rechte erfordern. Alles andere (Beiträge schreiben, Kommentare freischalten, usw.) sollte mit einem Autoren-Account mit begrenzten Rechten erledigt werden.
7. Wenn möglich den Login über SSL realisieren
   Sicher ist der Login nur über SSL, ansonsten können die Anmeldeinformationen u.U. mitgelesen werden. Viele Webhosting Provider bieten einen SSL-Proxy an, den man für den Login nutzen kann. Dieser ist meist unter Adressen wie https://ssl-proxy.xx/meinedomain.xx/ oder https://ssl-account.xx/meinedomain.xx/ erreichbar. Ob der eigene Webhosting Provider und Tarif dies ermöglicht, erfährt man in den FAQ oder beim Support.
   Ist mod_rewrite aktiviert, kann man mit folgender .htaccess-Datei eine Weiterleitung erzeugen:
   # Weiterleitung zum SSL-Login
   RewriteEngine on
   RewriteRule admin$ https://ssl-proxy-adresse-laut-faq/wp-login.php
8. Config-Datei und Admin-Bereich per .htaccess sichern
   Die Datei config.php benötigt nur Wordpress. Benutzer benötigen keinen Zugriff auf die Datei (und können ihre Inhalte bei ungestörtem Betrieb auch nicht sehen). Wer sich zusätzlich absichern will, kann per .htaccess den Zugriff auf die Datei verweigern:
   Hierzu fügt man in die im Regelfall bereits bestehende .htaccess-Datei folgende Zeilen ein:
   # Zugriffsschutz wpconfig.php
   Order deny,allow
   deny from allZusätzlich sollte auch der Admin-Bereich per .htaccess abgesichert werden. Die meisten Webhosting Provider bieten Generatoren an, mit denen man das Verzeichnis wp-admin absichern kann. Eine andere Vorgehensweise ist den Zugriff auf die wp-login.php direkt zu beschränken. Man kann entweder allen Nutzern einen eigenen .htaccess Benutzernamen und ein Passwort zuweisen, oder verwendet nur einen .htaccess-Benutzer und Passwort (bei Mehrbenutzerblogs muss dieser dann nach Ausscheiden eines Autors dann aber geändert werden).

Befolgt man die obigen Punkte, ist die eigene Wordpress-Installation sehr viel sicherer geworden. Zu erwähnen wäre noch das Thema Plugins: möglichst nur Plugins mit aktuellen Versionen einsetzen, die von anderen getestet wurden, um vor bösen Überraschungen oder Sicherheitslücken besser geschützt zu sein. Alle Plugins, die nicht (mehr) benötigt werden, sollten deaktiviert und deinstalliert werden.

Sind noch Fragen zum Thema Wordpress-Sicherheit offen geblieben? Hinterlassen Sie einen Kommentar und wir bemühen uns, Ihre Frage zu beantworten.

Die Blog-Software Wordpress hat einen weiten Weg hinter sich. Mittlerweile liegt das Open Source-Projekt in der Version 3.0 vor.

Als im Jahr 2003 die erste Wordpress-Version vorgestellt wurde, war der Erfolg noch nicht abzusehen. Mittlerweile sind über 200 Millionen Installationen von Wordpress im Einsatz auf eigenen Homepages.

Mit den Jahren erweiterte die Software auch ihr Einsatzspektrum. Mit erweiterter Funktion wurde Wordpress immer häufiger auch als Content-Management-System eingesetzt. Mittlerweile bietet sich Wordpress als System an, um die eigene Homepage zu erstellen sowie für Webseiten von kleineren bis mittleren Vereinen oder Organisationen. Aber auch Unternehmen realisieren ihren eigene Homepage mittels Wordpress.

Wordpress kommt hierbei der nach eigener Bezeichnung „famous 5 minute install“, die „berühmte Installationen innerhalb von 5 Minuten“ zu Gute. Um mit der Seite zu beginnen, genügt es die entpackten Wordpress-Dateien per FTP auf den eigenen Webhosting Server zu übertragen. Anschließend ruft man im eigenen Browser die Installationsdatei auf dem Server auf. Wenn Wordpress in das Stammverzeichnis der eigenen Homepage geladen wurde, wäre dies z.B. www.domain.de/install.php.

Bei den meisten Webhosting Providern ist die Wordpress Installation noch einfacher. Mittels 1-Klick-Installation lässt sich Wordpress u.a. bei 1&1, Host Europe oder Greatnet aus dem Kundenmenü installieren, so dass ohne Vorkenntnisse einfach losgelegt werden kann. Trotzdem sollte man sich die Einstellungen der Installation genau ansehen, um sicher zu stellen, dass Wordpress den Bedürfnissen der eigenen Homepage entsprechend eingerichtet ist.

Nach einigen, kurzen Eingaben ist die eigene Wordpress Homepage startbereit und der Nutzer kann bereits den ersten Artikel verfassen oder statische Seiten erstellen.

Eine der Stärken von Wordpress ist das große Plugin-Verzeichnis. Tausende meist kostenlose Plugins stehen zum Download bereit. Direkt aus dem Administrationsmenü können Plugins installiert und deinstalliert werden, es muss kein FTP-Zugang bestehen.

Die Plugins können das Gesicht von Wordpress komplett verändern. Zahlreiche kostenlose Templates lassen die eigene Homepage im neuen Glanz erstrahlen. Möchte man ein eigenes Forum betreiben, steht das Plugin bbPress zur Verfügung. Mit dem Plugin buddypress verwandelt sich Wordpress in ein eigenes soziales Netzwerk, in dem Nutzer eigene Updates veröffentlichen, Gruppen gründen und Freunde finden können. Andere Plugins dienen dem Schutz vor Spam-Kommentaren, z.B. über Blacklists („schwarze Listen“) oder über die Integration von CAPTCHA-Systemen, bei denen der Kommentator eine kurze Buchstaben- und Ziffernfolge aus einer Grafik abtippen muss.

In der aktuellen Version bietet Wordpress auch die Möglichkeit, eine sogenannte „Multisite“ einzurichten, eine Mehrbenutzerseite, bei der für jeden Nutzer ein eigenes Blog bzw. eine eigene Seite eingerichtet wird. Diese ist wahlweise in einem Unterverzeichnis www.domain.de/neuesblog/ oder per Subdomain www.neuesblog.domain.de erreichbar. Für die eigene Familien-Homepage oder Unternehmen bzw. Gruppierungen mit Untergliederungen bietet so bereits die Standardinstallation von Wordpress die Möglichkeit, sich entsprechend der Öffentlichkeit zu präsentieren.

Alle Plugins und auch Wordpress selbst können über das Interface selbst aktualisiert werden. Auf eine aktuelle Wordpress-Installation und Plugins sollte auch besonderes Augenmerk gelegt werden. Durch seine große Popularität sind veraltete Wordpress-Installationen ein beliebtes Ziel für Hacker geworden.

Alles in allem ist Wordpress die Ideale Software, um die ersten Schritte mit der eigenen Homepage zu gehen. Die Anpassungsfähigkeit lässt jederzeit Änderungen oder Erweiterungen des Schwerpunkts der eigenen Homepage möglich.

Mit der Erweiterung der Webhosting- und Servertarife um den Telekom Hosting Manager eröffnete im Mai T-Online Webhosting den Kampf um die Webhosting-Kunden mittels Cloud Computing Extras. Der Telekom Hosting Manager ermöglicht es, von überall Dateien hochzuladen und auf Wunsch auch anderen zur Verfügung zu stellen. Die Telekom integrierte hier Features, die die eigene Webhosting-Tochter Strato unter dem Namen HiDrive kostenpflichtig anbietet.

Kaum einen Monat später zog 1&1 nach. Mit dem 1&1 Online Office bietet der Webhosting-Provider ein Office-Paket (Textverarbeitung, Tabellenkalkulation und Präsentation) als Zusatzbeigabe. Künftig steht es allen Kunden der Mail, Webhosting- und Servertarife kostenlos zur Verfügung.

Die Cloud Computing-Beigaben der beiden Branchengrößen werfen die Frage auf, ob der Kampf um die Webhosting-Kunden in den nächsten Monaten über solche Zusatzfeatures geführt werden wird. Zu befürchten ist, dass insbesondere kleine Webhosting-Anbieter hierbei auf der Strecke bleiben.

Die Kunden mittels kostenloser Cloud Computing Beigaben zu locken, ist ein logischer und auch nicht neuer Schritt. Noch vor wenigen Jahren entschied neben den Leistungen des Webhosting-Paketes oft die Software-Beigabe über den gewählten Tarif. Gerade unerfahrene Webhosting-Kunden ließen sich von der Inklusiv-Software blenden und entschieden allein danach über den Tarif. In den Zeiten von langsamen, zeit- oder volumenbasierten Modem-Zugängen stellten per Post zugesandte (fast) kostenlose Software-Pakete einen echten Mehrwert dar. Mit zunehmender Verbreitung von DSL-Flatrates und damit vorhandener Zugang auf Download-Archive sank die Bedeutung der Software-Beigaben dramatisch.

Nun droht mit den Cloud-Computing Extras die nächste Überbietungswelle. Klar ist, dass Cloud Computing in den nächsten Jahren massiv an Bedeutung gewinnen wird. Die Provider hoffen, dass wieder Zusatzfeatures über den Webhosting-Tarif entscheiden. Der Grund liegt auf der Hand: viele Webhosting-Pakete unterscheiden sich nur marginal von denen der Wettbewerber. Traffic-Flatrates sind bei Webhosting-Tarifen mittlerweile Standard. An Speicherplatz bieten die Webhoster meist mehr, als der allergrößte Teil der Kunden je benötigen wird. MySQL und PHP5 gehören ebenso zur Grundausstattung besserer Webhosting-Pakete.

Nur wenige Webhosting-Provider sind noch in der Lage, sich durch einzelne Zugaben von der Konkurrenz abzusetzen. 1blu bietet beispielsweise standardmäßig einen SSH-Zugang. Host Europe setzt Akzente mit Python, TCL und Ruby in den leistungsstärken Webhosting-Tarifen. Andere Anbieter versuchen sich die maximale Anzahl von Kunden pro Server ein Alleinstellungsmerkmal zu erhalten.

Die großen Webhosting-Provider versuchen nun wieder, den Blick von den Webhosting-Leistungen hin zu Zusatzfeatures zu lenken. Sie wissen, dass kleinere Anbieter nicht die Möglichkeit haben werden, au diesem Gebiet mitzuziehen. Schließlich verfügen kleinere Webhosting-Provider nicht über riesige Rechenzentren, in denen bei Bedarf einige Server für Cloud-Anwendungen abgestellt werden können. Ebenso fehlt ihnen die Marktmacht, um wie 1&1 mit Zoho für eine strategische Partnerschaft interessant zu sein. Kleinere Webhoster müssen aufpassen, nicht von den Zusatz-Leistungen der Branchengrößen erdrückt zu werden.

Kleineren Webhosting-Anbietern bleibt also nur, über den Service und Spezialangebote den Unterschied zu machen. Wer optimalen Service bietet, kann sich auf die Mund-zu-Mund Propaganda der Nutzer verlassen. Wer Leistungen bietet, die für bestimmte Kundengruppen essentiell sind (z.B. SSH, Ruby, Python), kann sich eine eigene Nische schaffen und mit etwas Glück ausbauen.

Wir werden in den nächsten Monaten mit Sicherheit einen Ausbau von Cloud-Zusatzfeatures erleben. Gut möglich, dass es zu weiteren Konsolidierungen und Aufkäufen im Webhosting-Markt kommt. Gleichzeitig werden kleinere Anbieter versuchen hervorzuheben, was ihr Webhosting-Angebot besonderes interessant für spezielle Zielgruppen macht.

Google hat mit html5rocks.com eine HTML5-Demoseite für interessierte Anwender und Webmaster ins Netz gestellt. Bei HTML5 handelt es sich um den kommenden HTML-Standard. Eine Überarbeitung der Spezifikationen war auch dringend nötig, der Vorgänger HTML 4.01 stammt immerhin aus dem Jahr 1999.

Was ändert sich mit HTML5 für die eigene Homepage? Webmaster erhalten mehr Möglichkeiten, ihre Homepage ansprechender gestalten, ohne z.B. Flash zu benutzen. So können mit HTML5 Videos in Zukunft direkt in die eigene Homepage eingebunden werden und ohne weiteres Plugin (wie z.B. Quicktime) vom Browser abgespielt werden. Zusätzlich ermöglicht es Webmastern, den Besuchern ihrer eigenen Homepage auch die Speicherung von Offline-Dateien zu erlauben. Umgekehrt können Nutzer unter HTML5 dem Webmaster auch den Zugriff auf festgelegte Dateien auf ihrem Rechner gewähren.

Besonders interessant für Webmaster dürfte das Zusammenspiel von HTML5 mit CSS3, dem kommenden Standard für Stylesheets sein. So können sie in Zukunft auf ihrer eigenen Homepage beliebige Schriftarten einbinden, die dann vom Browser des Nutzers dargestellt werden. Darüber hinaus ermöglichen HTML5 und CSS3 z.B. abgerundete Ecken bei Elemente, ohne dass der Webmaster aufwendig im Grafikprogramm jede Grafik einzeln erstellen muss. Auch Farbverläufe auf der eigenen Homepage können in Zukunft leicht mittels HTML5 und CSS3 realisiert werden. Gerade für Privatpersonen und Unternehmen, die eine professionelle Homepage erstellen wollen, bietet HTML5 eine ganze Reihe von neuen Möglichkeiten.

Auf HTML5Rocks zeigt Google in einer Reihe von Folien (die selbst ein HTML5-Element sind), was Webmaster in Zukunft alles auf der eigenen Homepage einsetzen können. In mehreren Tutorials lassen sich HTML5-Eigenschaften direkt im Browser testen. Google bietet z.B. Tutorials zum Drag&Drop von Dateien auf der eigenen Homepage und der Einbindung von Audio- und Videodateien. Ebenso können Webmaster testen, wie sich Elemente der eigenen Homepage semantisch markieren lassen und sich Daten zu Aussagen hinzufügen lassen. Auch Links lassen sich besser kategorisieren und mit Tags versehen.

Voraussetzung für die Tutorials ist allerdings die entsprechende Browser-Unterstützung, die je nach Hersteller unterschiedlich fortgeschritten ist. Google empfiehlt – naturgemäß – den Test mit dem eigenen Browser Chrome. Vom Internet Explorer ist eine Unterstützung von HTML5 erst mit der kommenden Version 9 zu erwarten.

Bis HTML5 daher auf der eigenen Homepage eingesetzt werden kann, dürfte noch einige Zeit vergehen. Nichtsdestotrotz ist die HTML5-Demo interessant für alle Betreiber einer eigenen Homepage, die sich mit kommenden Möglichkeiten vertraut machen wollen oder bereits testweise eine HTML5-fähige eigene Homepage erstellen wollen.

Mit CHMOD, der Abkürzung von change mode kann der Webmaster Datei- und Verzeichnisrechte z.B. per Rechtsklick auf die Datei oder den Ordner im FTP-Programm ändern. Gerade für viele Web-Anwendungen wie Blogs, Foren, Bildergalerien und Content-Management-Systeme sind richtige Einstellungen der Verzeichnisrechte unerlässlich. Insbesondere wenn Dateien hochgeladen oder auf dem Server verändert werden sollen, kommt man um eine Änderung der Rechte für den Upload-Ordner mittels CHMOD nicht herum. Ähnliches gilt, wenn Inhalte der Webseite gecachet (also zwischengespeichert) werden sollen.

Fast alle Webhoster setzen beim sogenannten Shared Hosting, d.h. mehrere Nutzer teilen sich einen Webserver) auf die LAMP-Plattform. LAMP ist die Abkürzung für Linux (Betriebssystem), Apache (Webserver), MySQL (Datenbank) und PHP (Skriptsprache für interaktive Anwendungen).

Bei einer Windows-Installation haben Programme und Nutzer meist entweder gar keinen Zugriff auf Dateien und Ordner oder alternativ können sie Dateien und Ordner sowohl lesen als auch verändern (schreiben). Bei Windows-Servern ist CHMOD also nicht notwendig. In Linux ist dies deutlich differenzierter geregelt. Linux unterscheidet zwischen dem Eigentümer (meist der FTP-Nutzer), einer Gruppe (meist PHP-Prozesse) und dem Rest der Welt (z.B. Skripte). Für jede dieser Kategorien können via CHMOD einzeln Rechte zum Lesen (r, read), Schreiben (w, write) und Ausführen (x, execute) vergeben werden.

Diese Rechte werden auf Linux-Systemen jeweils binär (das binäre Zahlensystem verwendet nur die Zahlen 0 und 1) dargestellt. Ein Beispiel: der Eigentümer hat entweder keine Schreibrechte (Null) oder Schreibrechte (Eins). Etwas dazwischen gibt es nicht. Nun wäre es äußerst umständlich, die Dateirechte zu nennen, indem man für alle drei Nutzergruppen (Eigentümer, Gruppe, Alle) für alle drei Rechte (Lesen, Schreiben, Ausführen) jeweils mit Null oder Eins angibt, welche Rechte vorliegen. 3 mal 3, also insgesamt 9 Mal Null oder eins hintereinander, z.B. 111111000. Geschrieben ist die Zahl bereits relativ unübersichtlich, spätestens wenn man am Telefon erklären möchte, welche Schreibrechte denn nun nötig sind, wird es völlig unübersichtlich bzw. Fehler wären vorprogrammiert.

Man behilft sich mit einer Umrechnung der Binärzahlen in das Oktalformat. Oktal deswegen, da es insgesamt 8 Ziffern von 0 bis 7 gibt (Informatiker beginnen in der Regel immer bei Null und Linux hat sich aus Betriebssystemen im wissenschaftlichen Einsatz entwickelt). Die Umrechnung von Binär- in Oktalformat geht relativ einfach, wenn man sich den Stellenwert einer Binärzahl bewusst macht. Nehmen wir die Binärzahl 101. Jede Stelle der Zahl repräsentiert eine Zweier-Potenz, beginnend mit 2⁰, gefolgt von 2¹, 2² (bei längeren Zahlen setzt sich die Reihe fort). 101 in Binärschreibweise bedeutet also (von rechts nach links gelesen) (1×2⁰)+(0×2¹)+(1×2²) = 4+0+1 = 5. Unterteilt man eine Binärzahl in Dreiergruppen, so repräsentiert jedes sogenannte Triplett also immer eindeutig einen Wert zwischen 0 und 7, genau die Zahlen im Oktalsystem.

Häufig genutzte Zahlwerte für Schreib- und Lesezugriff lassen sich so leicht entziffern. 777 bedeutet also: Lese-, Schreib- und Ausführungsrechte für den Eigentümer, die Gruppe und den Rest der Nutzer. Mit 755 besitzt der Eigentümer (meist der FTP-Nutzer) alle Rechte, während Gruppe und sonstige Nutzer nur Lesen, nicht aber Schreiben oder Ausführen dürfen. Bei den vielen Hostern besitzen Verzeichnisse standardmäßig die Rechte 755 (d.h. nur der FTP-Nutzer kann Dateien schreiben). Dateien sind oftmals mit 644 konfiguriert, d.h. nur FTP-Nutzer kann Dateien schreiben, ein Ausführen der Dateien ist keinem Nutzer erlaubt).

Für die Konfiguration von Webhosting Software müssen oftmals einzelne per CHMOD Dateien auf volle Rechte (d.h. 777) gesetzt werden. Hier sollte sich aber jeder Webmaster vorher z.B. in den FAQ des Providers erkundigen, da bei einigen Provider geringere Rechte ausreichen.

Wie unterstützt sie Ihr Webhosting-Provider mit Tutorials, FAQ und Hilfe-Seiten? Teilen Sie anderen Ihre Erfahrungen mit indem Sie Ihren Webhosting Provider bewerten. Unter allen Autoren einer neuen Provider-Bewertung wird einmal im Monat ein Ipod nano verlost!

In der Reihe Webhosting-Grundlagen befassen wir uns in loser Folge mit Grundlagen des Webhostings für Webmaster. Zum Auftakt der Reihe widmen wir uns dem Zugriff auf die eigene Homepage per FTP.

Das File Transfer Protocol (im weiteren nur noch in der Abkürzung FTP) ist eines der wichtigsten Werkzeuge, wenn es darum geht eine eigene Homepage zu erstellen oder zu warten. Webmaster können per FTP Dateien anlegen oder Löschen, Verzeichnisse erstellen sowie Datei- und Verzeichnisrechte ändern. Wenn der Provider nicht die Installation von Web-Applikationen wie z.B. Blog-, Foren-, oder Content-Management-Software ermöglicht, ist FTP der übliche Weg, um Web-Software wie z.B. Wordpress zu installieren.

Abgesehen von einigen Einsteiger-Tarifen enthält jeder Webhosting-Tarif den Zugriff auf den eigenen Webspace per FTP-Client. Einige Provider wie z.B. Power-Netz bieten in ihren Tarifen auch Web-FTP an. Hier können direkt über den Browser Dateien und Verzeichnisse verwaltet werden. Web-FTP-Lösungen sind in ihren Möglichkeiten allerdings oftmals eingeschränkt und nur zum Upload einzelner Dateien oder zum Zugriff von unterwegs sinnvoll.

Um per FTP Daten auf den Server zu übertragen ist ein sogenannter FTP-Client sinnvoll. Es ist aber nicht notwendig, Geld in ein kostenpflichtiges Programm investieren. Zahlreiche kostenlose und quelloffene Programme wie z.B. Filezilla bieten alle notwendigen Funktionen.
Mit diesen Programmen können auch über FTP per SSL Daten sicher verschlüsselt übertragen werden. Nicht alle Webhosting-Provider unterstützen aber diese Art der sicheren Dateiübertragung.

Nach Installation und Start des FTP-Programms öffnet sich ein Bildschirm, der zur Eingabe der FTP-Zugangsdaten auffordert. Bei Filezilla ist eine Verbindung auch über die Quickconnect-Leiste möglich. Komfortabler ist jedoch die Speicherung der Zugangsdaten im Servermanager. Bei der Speicherung der Passwörter bestehen aber auch Risiken, insbesondere wenn der PC von mehreren Personen genutzt wird.

Die meisten FTP-Clients verfügen über zwei getrennte Fenster. Meist wird links der lokale, eigene PC dargestellt, während im rechten Fenster die Dateien auf dem entfernten Server angezeigt werden. Dateien können im jeweiligen Fenster ausgewählt und herauf- bzw. heruntergeladen werden. Zu beachten ist hierbei der Umgang mit existierenden Dateien. So sollten zum Beispiel auf dem Server liegende Dateien, die in einer neueren Version als die lokale Datei vorliegen, nicht automatisch überschrieben werden. Dies ist insbesondere dann von Bedeutung, wenn mehrere Personen Zugriff auf den FTP-Server haben und evtl. Überschneidungen auftreten können, z.B. wenn sie eine gewerbliche Homepage erstellen wollen.

Per Rechtsklick auf eine Datei auf dem Server können die Rechte eines Orders oder einer Datei verändert werden. Der entsprechende Menüeintrag lautet bei den meisten Programmen Datei-/ Verzeichnisrechte oder CHMOD. Dies ist insbesondere bei Unix-/Linux-basierten Servern wichtig, da hier Web-Applikationen wie z.B. Wordpress oft Schreibrechte an einigen Ordnern und/oder Dateien z.B. zur Installation oder zum Upload von Dateien benötigen. Welcher Wert hier für Schreibrechte eingestellt werden muss, hängt von der Konfiguration des Providers ab. Meist muss aber der Wert 777, d.h. Write-Berechtigung für alle Gruppen gesetzt werden.

Natürlich kann ein kurzer Artikel nur einen ersten Einstieg in die Thematik bieten. Genauere Informationen bietet meist der Hilfe- bzw. Tutorial-Artikel des eigenen Webhosting-Providers.

Viren, Trojaner, Phishing, Keylogger, die Liste der im Netz lauernden Gefahren ließe sich beliebig fortsetzen. Die Sicherheitsfirma Symantec meldete vor kurzem, dass mehr als 50% aller sogenannter Malware im Jahr 2009 entdeckt wurde. Laut einer Untersuchung von Google hat insbesondere sogenannte Scareware zugenommen. Diese Programme gaukeln dem Nutzer vor, sein Rechner sei mit einem Virus oder Trojaner befallen und empfehlen ein teures Programm zur Entfernung des angeblichen Schädlings.
Doch selbst wenn das entsprechende Programm entfernt wird, meldet die Scareware weitere Probleme und versucht noch weitere nutzlose Programme an den Mann bzw. die Frau zu bringen.

Mittlerweile haben die meisten PC-Nutzer akzeptiert, dass Firewall und Virenschutz unerlässlich sind. Mindestens ebenso wichtig ist das Einspielen von Updates für das Betriebssystem und populäre Programme wie Java, den Adobe Acrobat Reader oder den Flash Player.
Oftmals hapert es aber immer noch bei der Erkennung veralteter Software, so dass Updates nicht oder viel zu spät eingespielt werden.

Ebenso wichtig ist das Updaten von von Web-Applikationen wie Foren, Blog-, Content-Management-Systemen oder dem eigenen Online-Shop. Je populärer ein System ist und je häufiger es eingesetzt wird, desto attraktiver ist es für einen Angreifer. Insbesondere Nutzer von Wordpress, phpBB, WBB, Joomla, Drupal oder Typo3 sollten daher stets rasch auf die aktuellste Version updaten. Gerade bei diesen Web-Anwendungen dauert es oft nur wenige Tage nach Bekanntgabe einer Sicherheitslücke, bis sogenannte Exploits zur Verfügung stehen. Mit diesen kann teilweise automatisiert nach verwundbaren Systemen gesucht und diese übernommen werden. Unter Umständen ist es dann auch möglich, auf Accounts anderer Kunden des Providers auf dem selben Server zuzugreifen, wenn dieser seine Server schlecht konfiguriert hat oder nicht aufmerksam ist.

Noch größere Verantwortung haben Webmaster, die einen eigenen virtuellen oder Root Server mieten. Hier müssen nicht nur die Web-Applikationen, sondern gleichfalls auch das System in kurzen Abständen aktualisiert werden.

Erlangt der Angreifer die Kontrolle über die eigene private Homepage oder die Unternehmenswebseite, so werden im glimpflichsten Fall Werbelinks für eigene Produktseiten in die Seite eingebaut. Im schlechtesten Fall wird versucht über ungepatchte Sicherheitslücken in Browser oder Plugins Mal- oder Scareware auf den Rechner des Homepage-Besuchers einzuschleusen.

Wird ein Befall der Webseite festgestellt, wird sie im Regelfall vom Webhosting-Provider gesperrt. Auch Google versucht befallene Webseiten zu erkennen. Gemeldete Systeme werden aus den Suchergebnissen entfernt und Besucher werden über die Browser vor dem Besuch der Webseite gewanrt. Aus ureigenem Interesse sollte jeder Webseitenprovider darauf achten, dass seine eigene Seite nicht verwundbar ist. Software, insbesondere auch Plugins wie z.B. beim Blog-System Wordpress sollte mindestens alle 14 Tage, besser noch einmal die Woche auf neue Versionen überprüft werden.

Einige Webhoster wie z.B. 1&1 oder Goneo updaten bereits automatisch Web-Applikationen, die per 1-Click-Installation eingerichtet wurden. Andere Provider, wie z.B. 1blu, Greatnet oder Power-Netz sollten diesem Beispiel folgen.

Noch vor wenigen Jahren war die Erstellung einer privaten Homepage sehr aufwändig und nur mit HTML-Kenntnissen zu bewerkstelligen. Für Einsteiger war es unmöglich, innerhalb weniger Minuten eine eigene Homepage aufzusetzen. Einzige Möglichkeiten boten Homepage-Baukasten, die aber oft nur eine begrenzte Anpassung erlaubten. Wirklich individuelle Lösungen waren mit Homepage-Baukasten nicht zu verwirklichen. Außerdem wurden diese Lösungen bei großer Seitenanzahl immer unübersichtlicher.

Mit den Jahren entwickelte sich Foren-, Content-Management-, oder Blogsoftware immer weiter. So macht sich die Blog-Software Wordpress zur Aufgabe, den Nutzern einen möglichst schnellen Einstieg in das eigene Blog zu ermöglichen. Mit Erfolg, Wordpress wurde die meistgenutzte Blog-Software weltweit. Der Einsatz von Wordpress ist aber nicht allein auf Blogs beschränkt. Gerade für kleine Webseiten lohnt sich der Einsatz von Wordpress. Als Content-Management-System „zweckentfremdet“ ermöglicht es den schnellen Aufbau einer kleinen bis mittelgroßen privaten Homepage, Unternehmenswebseite oder Präsenz für Vereine und Initiativen.

Doch obwohl die Einstiegshürde deutlich gesunken ist, blieb immer noch die Hürde der Einrichtung der jeweiligen Software. Im Regelfall mussten Konfigurationsdateien editiert werden, die Dateien per FTP auf den Server des Provider geladen werden und Datei- und Verzeichnisrechte (CHMOD) gesetzt werden. Während geübte Webmaster dies praktisch „im Schlaf“ erledigen, stoßen Internet-Neulinge hier schnell an ihre Grenzen.

Immer mehr Provider schaffen hier Abhilfe. Aus dem Administrationsbereich des Webhosters lässt sich populäre Software mit nur einem Click installieren. Die angebotenen Anwendungen decken die Bedürfnisse typischer Homepages weitgehend ab.

So ist Wordpress als Blog-Software eine Selbstverständlichkeit, meist werden auch alternative Systeme angeboten. Ebenso gehört Forensoftware wie z.B. phpBB oder WBB zum Standard. Die Verwaltung und Präsentation eigener Bilder lässt sich mittels Galeriesoftware wie z.B. Gallery2 realisieren. Auch für den Betrieb eines eigenen Online-Shops halten die meisten Webhoster Lösungen (z.B. XT-Commerce oder OS-Commerce) bereit. Für das gemeinsame Editieren von Texten und Dokumenten steht Wiki-Software wie die Wikipedia-Software Wikimedia zur Verfügung. Für gehobene Ansprüche ist bei den meisten Provider ausgereifte Content-Management-Systemen wie Typo3 oder Joomla vorhanden.

Damit fällt eine der letzten Hürden, die viele noch von der Einrichtung der eigenen Homepage oder eines eigenen Blogs abgehalten hat. Der Homepage-Betreiber muss keine Zeit mehr für die Einrichtung der Software auf dem Server des Webhosting Providers aufwenden, sondern kann direkt daran gehen, die Einstellungen der Web-Applikation anzupassen. Schnell und einfach kann ausprobiert werden, ob man mit der Software zurecht kommt oder sich nach einer eigenen Lösung umsehen muss. Binnen Minuten kann der erste Artikel der Homepage die Besucher begrüßen.

Einige Provider wie z.B. 1&1 gehen den nächsten logischen Schritt und gehen mit ihrem Service noch einen Schritt weiter. Wird Software über das Click & Build genannte System installiert, so spielt 1&1 sogar Updates des betreffenden Systems automatisch direkt nach Erscheinen ein. Der Webmaster muss sich also keinerlei Sorgen über Sicherheitslücken in der verwendeten Software machen. Dies ist umso wichtiger, je populärer – und damit gefährdeter - die verwendete Software ist.

Die Deutsche Nationalbibliothek (DNB) mit Sitz in Leipzig, Frankfurt am Main und Berlin hat die Aufgabe, alle Veröffentlichungen in der Bundesrepublik Deutschland zu archivieren und damit einen Beitrag zur Wahrung des Kulturerbes unseres Landes zu leisten. Soweit so gut, doch es ziehen dunkle Wolken am Horizont herauf: Am 22. Oktober 2008 trat die Verordnung über die Pflichtablieferung von Medienwerken an die Deutsche Nationalbibliothek (PflaV) in Kraft, welchen den Sammelauftrag der DNB auch um Internetpublikationen erweiterte. Da die Verordnung seitdem auf vielen einschlägigen Websites diskutiert wird, möchten auch wir deren Inhalt in zusammengefasster Form wiedergeben und kommentieren:

Die neue Regelung besagt, dass grds. alle Websites, Foren und Blogs zu archivieren sind. Davon ausgenommen sind lediglich rein private Websites sowie gewerbliche Homepages, die lediglich die Dienstleistungen und Angebote einer Firma beschreiben. Laut aktueller Rechtsprechung (z.B. in Zusammenhang mit der Impressumspflicht von Websites) ist allerdings eine Internetseite bereits dann nicht mehr als ausschließlich privat anzusehen, wenn z.B. ein Werbebanner eingebunden ist. In dem Augenblick, wo eine Homepage “themen- oder personenbezogene Informationen” enthält, ist sie für die DNB sammelpflichtig. Keine Rolle spielt in diesem Zusammenhang der Standort des Servers, auf dem die Website gehostet wird.

Für den Webmaster bedeutet dies, dass er die Inhalte seiner Website entweder per Upload oder über die Angabe einer Download-URL an die DNB zu übermitteln hat. Dies allerdings erst, nachdem alle Daten in einer genau spezifizierten Form für die Archivierung vorbereitet wurden (vom Website-Betreiber natürlich). Für Homepages, deren Größe die Grenze von 50 MB (Upload) bzw. 200 MB (Download) überschreitet - was für zahlreiche größere Homepages der Fall sein dürfte - ist die Art und Weise der Ablieferung noch nicht spezifiziert. Noch komplizierter wird es, sofern sich der Inhalt der Website ändert. Gerade auf Blogger oder Forenbetreiber kommt also ein besonders hoher administrativer Aufwand zu.

Angesichts der offensichtlichen Unzulänglichkeiten des neuen Verfahrens zeigt man sich zumindest mit Blick auf zu erwartende Verstöße gegen die neue Verordnung kulant. Da “die Entwicklung geeigneter Verfahren für den Massenbetrieb der Sammlung, Erschließung und Archivierung von Netzpublikationen…stufenweise” erfolgt, werden zum jetzigen Zeitpunkt keine Ordnungswidrigkeitsverfahren gegen Webmaster angestrengt, die der Verpflichtung zur Ablieferung Ihrer Websites nicht nachkommen. Da die Bereitstellung dieser Verfahren erfahrungsgemäß noch einige Jahre dauern wird, muss man sich als Betreiber einer Homepage noch keine allzu großen Gedanken machen. Wundern darf sich man unserer Meinung nach aber über eine erneut übertrieben bürokratische Vorschrift, die der Realität des 21. Jahrhunderts in keinster Weise Rechnung trägt und ein weiteres Hindernis auf dem Weg zur verstärkten Nutzung des Internets darstellt.

Sollte die PflaV irgendwann tatsächlich einmal in der jetzigen Form umgesetzt werden, so könnte dies ein interessantes Feature für Webhosting-Provider werden: Eine integrierte Schnittstelle zur DNB würde dem Betreiber der Homepage eine Menge Arbeit sparen und wäre sicherlich ein Muss in jedem professionellen Hosting-Paket.

Die Frage, ob die eigene Homepage unbedingt mit einem Impressum zu versehen ist und wie dieses ausgestaltet sein muss, ist für Betreiber einer Website von großer Bedeutung. Wir erklären, für wen die Impressumspflicht gilt und welche Informationen ein korrektes Impressum enthalten muss:

Ihre Homepage muss grds. ein vollständiges und korrektes Impressum enthalten, das Ihren Namen und ladungsfähige Adresse (kein Postfach) bzw. Telefonnummer enthält. Der Name einer juristischen Person (z.B. einer GmbH) ist der vollständige Firmenname sowie der Name der Vertretungsberechtigten. Auch eine aktive E-Mail Adresse muss genannt werden. Wichtig ist außerdem die Platzierung des Impressums auf der Homepage, denn dieses muss lt. Gesetz leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Um Probleme auf jeden Fall zu vermeiden sollte das Impressum von jeder einzelnen Site einer Homepage mit einem einzigen Klick erreichbar sein.

Da Sie für Ihre Website verantwortlich sind, müssen Sie anderen die Identifikation Ihrer Person ermöglichen. Von dieser Pflicht sind lt. Teledienstegesetz (TDG) nur rein private Homepages ausgenommen. Der Webmaster einer privaten Homepage ist also nicht verpflichtet, auf seiner Website ein Impressum zu veröffentlichen. Es ist allerdings Vorsicht geboten, denn schon die Einbindung eines Werbebanners kann diese Einstufung als “privat” zunichte machen, ebenso wie z.B. Äußerungen über bestimmte Waren oder die Präsentation von Unternehmen.

Falls es sich bei der Website um die Seite einer juristischen Person handelt, gelten erweiterte Bedingungen. So muss ein Vertretungsberechtigter und die Registernummer sowie - soweit vorhanden - die Umsatzsteueridentifikationsnummer genannt werden. Manche Berufsgruppen wie z.B. Rechtsanwälte, Steuerberater oder Ärzte müssen weitere Informationen wie z.B. Ihre zuständige Kammer oder Aufsichtsbehörde nennen.

Ein fehlendes oder unvollständiges Homepage Impressum kann Sie bis zu 50.000 EUR kosten. Hinzu kommt die Gefahr einer wettbewerbsrechtlichen Abmahnung mit den damit verbundenen Anwalts- und evtl. Gerichtskosten. Dieses Risiko wird immer größer, da sich inzwischen zahlreiche “Anwälte” auf die Verteilung von Abmahnungen spezialisiert haben.

Zur Autorin: Franziska Hasselbach ist selbständige Rechtsanwältin in Groß-Gerau und unter anderem auf das Recht der Neuen Medien spezialisiert.