Bild von FirmenlogoKilobyte ist ein Infoportal, für Webworker, Software Anleitungen und Internetliebhaber, verfügt über 213 Artikel aus den Themenbereichen Ubuntu Anleitungen, Hardware Anleitungen, Netzfragen, Open Source sowie Anleitungen für soziale Netzwerke. Dankeschön für 583 Kommentare und Ihren Besuch.

Anleitungen vom Webworker

bplaced.net: Mehr Performance im Paket pro – Erfahrung Teil 2

Seit nunmehr drei Monaten betreibe ich diese Webseite im kostenpflichtigen bplaced-pro Paket. Zuvor nahm ich ein Jahr lang das kostenlose Paket freestyle plus in Anspruch und kann dadurch Resümee darüber ziehen, was sich in den letzten drei Monaten für mich geändert hat und für welche bplaced.net Benutzer sich ein Umstieg lohnt.

Vorteilsübersicht von bplaced-pro

Bild von Bplaced.net ProFür drei Euro im Monat gibt Ihnen bplaced sehr viele Freiheiten über Ihren Webspace. Es ist möglich 16 MySQL-Datenbanken einzurichten und Sie können auf vier Gigabyte Webspeicher zurückgreifen. Im Vergleich zu anderen Webhostern haben Sie auch direkt Gewalt über Ihre .htaccess. Im bplaced-pro Paket haben Sie 5000 freie Socket-Verbindungen zur Verfügung. Zur Veranschaulichung, ein Blog meiner Größe verbrauchte am Tag im Januar 2015 zirka 100 Verbindungen.

  • Diese bisher aufgezählten Freiheiten, über diese Sie in den freestyle Paketen nicht verfügen, erfordern jedoch ebenfalls Know-how. So wurde ich kurz nach dem Paketwechsel zum Opfer von xmlrpc.php Attacken.

Mehr Besucher mit bplaced-pro

Durch den Wechsel ins kostenpflichtige Webhosting-Angebot erhöhte sich die Bandbreite zu meiner Webseite von 2 Mbit/s auf 5 Mbit/s. Im ersten Teil versprach ich mir darunter ein besseres Ranking in den Suchmaschinen und dadurch mehr Besucher.

Screenshot von Server-Antwort-Zeit von bplaced-pro
Tatsächlich verringerte sich nach dem Wechsel zu bplaced pro die Server-Antwort-Zeit von durchschnittlich 1,34 auf 0,53 Sekunden.

Wie auch andere Blogger bestätigen, führt die Verringerung der Server-Antwort-Zeit zu einem besseren Suchmaschinen-Ranking.

Ebenfalls erstaunlich war in diesem Zusammenhang die Erkenntnis, dass nicht die Ladezeit insgesamt, sondern die Response-Time für den Traffic-Anstieg verantwortlich ist.

Wandinger, Peer: Wie ich meine Besucherzahlen über Nacht um 25% gesteigert habe. selbstaendig-im-netz.de (01/2015).

Screenshot von Besucherentwicklung mit dem bplaced-pro Paket
Bemerkenswert ist der direkte Besucheranstieg nach dem Wechsel des Pakets und die stetige Erhöhung im November 2014. Im Dezember 2014 habe ich verhältnismäßige viele Artikel veröffentlicht, weshalb die Besucherzahlen im Januar 2015 stark angestiegen sind. Insgesamt sind meine täglichen Besucher nie mehr unter den Wert vor dem Paketwechsel gefallen.

Bereits als ich Kunde des Freehosting-Angebots war, hatte ich meine Webseite hier monetarisiert. An der Art und Weise habe ich bisher nichts geändert. Durch das höhere Besuchervolumen sind natürlich auch meine Blogeinnahmen gestiegen, sodass sich die anfallenden Kosten von selbst tragen.

Weitere Annehmlichkeiten durch erhöhte Funktionalität

Durch die offenen Socket-Verbindungen muss ich Plug-ins für WordPress nicht mehr manuell installieren. Generell hat sich die Funktionalität meines Blogs erhöht.

Screenshot von Indexierungsbalken Google Webmaster-Tools

In einem früheren Test fand ich heraus, dass die Indexierung neuer Artikel bis zu drei Tage dauerte. Diese Zeit hat sich auf einen Tag reduziert. Mir ist bewusst, dass dafür auch andere Parameter verantwortlich sind (Blogalter/Artikelanzahl etc.), jedoch gehe ich stark davon aus, dass der erhöhte Funktionsumfang und die stetig wachsende Besucherzahl ebenso dazu beigetragen haben.

Für wen lohnt sich bplaced-pro?

Um es mit den Worten Franck Riberys zu sagen: „Isch ’abe gemacht drei Monate mehr.“

Isch ’abe gemacht fünf Jahre mehr

Ribery, Franck: Isch ’abe gemacht fünf Jahre mehr. merkur-online.de (01/2015).

Screenshot von bplaced.net PayPal-BestellungWenn Sie eine neue Webseite starten, die stetig wachsen soll und für die Sie zunächst kein Geld investieren möchten, sind die bplaced freestyle Produkte eine äußerst gute Wahl. Nach einem Jahr, wenn sich Ihre Webpräsenz im Netz etabliert hat, macht ein Wechsel zum bplaced-pro Paket als Offpage-Optimierung durchaus Sinn. Dieser Blog ist für mich reines Hobby, an diesem ich mich nicht bereichern möchte. Solange sich die Hosting-Kosten decken, werde ich langfristig das bplaced-pro Paket buchen, um meinen Besuchern eine optimale Nutzerfreundlichkeit bieten zu können.

Verwandte Themen:

Für Homepage ein Gewerbe anmelden?
Erfahrung mit Adscale

(Screenshots: bplaced.net & Google-Tools)

WordPress: xmlrpc.php Attacken erfolgreich abwehren

Wenn Sie einen WordPress-Blog betreiben, haben Sie standardmäßig eine Schwachstelle in Ihrem Root-Ordner liegen. Die Datei heißt xmlrpc.php und kann ohne großen Aufwand von Botnetzwerken für DDoS-Attacken missbraucht werden. Sie selbst bekommen das wahrscheinlich gar nicht mit, jedoch wird sich Ihr Webhoster über die dadurch erzeugte Serverlast sehr ärgern und Sie eventuell abmahnen. Seit WordPress Version 3.5 ist die xmlrpc.php als API-Schnittstelle automatisch aktiviert.

XML-RPC functionality is turned on by default since WordPress 3.5.

WordPress: XML-RPC Support: codex.wordpress.org (01/2015).

Obwohl auch seitdem bekannt ist, dass diese Schnittstelle ein Sicherheitsfiasko ist, wurde bis Dato (Version 4.1) nichts dagegen getan.

Was macht die xmlrpc.php

Teaser für WordPress HacksUnter anderem ist diese Datei für die Pingback-Funktion zuständig. Auf diese Funktion haben es Botnetzwerke in der Regel auch abgesehen. Mit einem einfachen cURL Befehl wird eine Webseite über die xmlrpc.php angepingt. Der Angreifer täuscht eine DNS-Adresse vor, zum Beispiel youtube.com:22. Der angepingte WordPress-Blog versucht jetzt auf diese DNS-Adresse:Port zuzugreifen, um einen Pingback zu hinterlassen. Diese prinzipiell sinnfreie Aktion wird für verschiedene Szenarien verwendet. Zum einen wird damit mit fremden Ressourcen nach freien Ports gescannt.

The responses are different if the port is open or closed. Therefore, this functionality can be used to port scan hosts inside the internal network.

Vilpponen: How to mitigate a WordPress XMLRPC.php attack. antti.vilpponen.net (01/2015).

Zum anderen erzeugt diese Maßnahme auf beiden Seiten Serverlast. Stellen Sie sich vor, ein Botnetzwerk schickt von 100.000 WordPress-Seiten gleichzeitig Anfragen an eine Webseite. Schon ist die DDoS-Attacke perfekt, der Server bricht zusammen.

Ist meine Webseite ein Opfer eines Angriffs?

In der Regel wissen Sie nicht, ob Ihre WordPress-Seite für DDoS-Attacken missbraucht wird. Wie Sie sich anhand meiner Domain vielleicht denken können, ist mein Hoster bplaced.net. Dieses sympathische, österreichische Unternehmen hat in den kostenlosen Angeboten den Zugriff auf Socket-Verbindungen gesperrt. Hier kann ein Botnetzwerk pingen bis es schwarz wird, der Server führt die xmlrpc.php nicht aus. Ich benutze seit einiger Zeit jedoch ein kostenpflichtiges Angebot (bplaced pro) und habe 5000 Socket-Verbindungen am Tag zur Verfügung. Ein Blog wie meiner, mit ungefähr 600 Besuchern am Tag, erzeugt normalerweise nicht mehr wie 100 Socket-Verbindungen täglich. Die meisten Verbindungen verursachen Plug-ins und Benachrichtigungen nach Kommentaren oder von der Firewall.

  • Vor ein paar Tagen bekam ich jedoch die Meldung, dass ich bereits um 14:00 Uhr meine 5000 freien Socket-Verbindungen verbraucht habe. Auch die nächsten Tage war dies der Fall. Ich wendete mich daraufhin an den Support von bplaced.net und bat darum mir zu sagen, was die ganzen Verbindungen erzeugte.

Screenshot vom bplaced.net support

  • Hätte ich keine Beschränkung auf 5000 Sockets würde ich also bis heute nicht wissen, dass mein WordPress-Blog ein Opfer von Botnetzwerken geworden ist.

Im Prinzip könnten Sie nun denken: „Was interessiert es mich, ob der Server meines Webhosters aufgrund meiner Webseite eine starke Auslastung hat, schließlich habe ich keine Begrenzung.“ Dies ist jedoch zu kurz gedacht:

  1. Hat der Server, auf dem Ihre Webseite gehostet ist, eine zu starke Auslastung, verlängert sich deutlich die Ladezeit Ihrer Internetpräsenz. Dies wiederum führt zum Rankingverlust in Suchmaschinen.
  2. Wenn Sie dauerhaft dazu beitragen, dass der Server Ihres Webhosters übermäßig beansprucht wird, kann dieser Ihnen innerhalb der Fristen kündigen und Sie müssen sich einen neuen Anbieter suchen.
  3. Wenn die Webseite, die unter einer DDoS-Attacke steht, Aufzeichnung über angreifende Domains macht, taucht Ihre Domain in der Log-Datei auf.

Deshalb sollten Sie hiermit überprüfen, ob Ihr WordPress-Blog von Botnetzwerken missbraucht wird.

WordPress vor Attacken absichern

Ist Ihre Webseite betroffen, müssen Sie handeln. Viele Lösungsansätze haben mit der .htaccess Datei in Ihrem Root-Verzeichnis zu tun. Folgender Eintrag soll vor xmlrpc.php Attacken schützen.

<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>

Diese Methode hat nicht nur bei mir nicht funktioniert.

Sometimes it seemed to have stopped them, but then I see the same IP addresses attacking again.

eatlocal: xmlrpcphp attack on wordpress 3.8. wordpress.org (01/2015).

Außerdem gibt es Webhoster, wie beispielsweise Host Europe, bei denen der Kunde erst ab teureren Paketen Zugriff auf die .htaccess erhält. Deshalb ist dieser Tipp nicht zielführend.

Ich habe diesen Eintrag in meiner .htaccess stehen und sogar einzelne Angreifer-IP-Adressen, dank der Hilfe des bplaced.net Supports, gesperrt. Trotzdem wurde weiter stark auf meine xmlrpc.php zugegriffen. Der Grund dafür ist, dass die .htaccess einfach umgangen werden kann.

Solche Authentifizierungen gelten allgemein als sicher […] Es gibt jedoch eine Methode, mit der Angreifer viele solcher Authentifizierungen umgehen können.

Strohhäcker, Maik: htaccess Bypass: Authentifizierungen umgehen. web.tuts.de (01/2015).

Auch eine WordPress Firewall wie NinjaFirewall schützt Sie nicht vor dieser Art Attacken.

Deaktivieren der xmlrpc.php schafft Abhilfe

Ich entdeckte auf der Suche nach einer Lösung ein smartes WordPress-Plug-in, welches das Ausführen der xmlrpc.php verhindert.

Das Plug-in heißt Disable XML-RPC und kann hier heruntergeladen werden.

Screenshot von Socketzugriffen bei bplaced proErst seitdem ich dieses Plug-in in mein WorPress installiert habe, haben sich schlagartig meine Socketzugriffe normalisiert. Solange WordPress keine native Lösung für dieses Problem bietet, bleibt also das Deaktivieren der xmlrpc.php die einzig wirksame Lösung. Dadurch kann die Pingback-Funktion selbstverständlich nicht mehr genutzt werden.

Fazit

WordPress ist das verbreitetste Blogsystem der Welt. Genauso wie es für Windows, welches das am meisten verwendete Betriebssystem der Welt ist, die meisten Viren gibt, gibt es auf WordPress die meisten Angriffe. Ich nehme deshalb den Angriff auf meinen Blog hier nicht persönlich. Genauso wie Islamisten oder Investment Banker, haben auch Betreiber von Botnetzwerken Gründe für das, was sie tun.

Business, always business.

The Greek: Port in a Storm (The Wire). imdb.com (01/2015).

Positiv betrachtet heißt das für mich, wäre ich nicht einer Attacke zum Opfer gefallen, hätte ich mich nicht intensiv um die Sicherheit von WordPress bemüht und vorhandene Sicherheitslücken geschlossen.

Verwandte Themen:

Login-Bereich in WordPress schützen
Firewall unter Ubuntu installieren

(Screenshots: bplaced.net)

Webseite bewerben auf Freehoster – Voraussetzungen

Sie sind Blogger und möchten Ihre Webseite bewerben? Ihr Blog befindet sich bei einem Freehoster mit einer Subdomain und Sie sind sich unsicher, ob dafür eine Monetarisierung überhaupt möglich ist? Ich sage Ihnen, unter welchen Voraussetzungen und mit welchen Werbenetzwerken Sie Geld mit Ihrem Freeblog verdienen können.

Werbenetzwerke setzen Rahmenbedingungen

Den Freehostern ist es völlig egal, ob Sie auf Ihrem Blog Werbung schalten oder nicht. Das einzig Wichtige für die Hostinganbieter findet sich in allen Nutzungsbedingungen:

Es ist dem Nutzer untersagt, pornografische, erotische, rassistische, volksverhetzende, beleidigende, bedrohende, zu Straftaten auffordernde oder gegen gültige Gesetze der Bundesrepublik Deutschland verstoßende Inhalte […] zu veröffentlichen. Weiterhin verpflichtet sich der Nutzer sicherzustellen, dass er durch die Veröffentlichung seiner Daten keine Urheberrechte verletzt.

Schulze Dieckhoff, Jonas: Nutzungsbedingungen. cwcity.de (03/2015).

Die Frage, ob Sie auf einem Freehoster mit Subdomain Werbung schalten können, hängt also ganz alleine von den Werbenetzwerken ab.

So sehen Werbenetzwerke Freehoster

Bild von Geld verdienen auf FreehosternIch benutze auf allen Webseiten, die ich betreue, egal, ob Freehosting oder Toplevel-Domain, wie wahrscheinlich die meisten Webworker, Google AdSense. Dies liegt neben den attraktiven monetären Rahmenbedingungen vor allem an der unkomplizierten Benutzung. Google AdSense ist nämlich völlig egal wo die Webseite gehostet ist und wie die Domain lautet. Dies ist verständlich, ist Google selbst mit Blogger.com (blogspot) einer der größten Freehosting-Anbieter der Welt.

  • Obwohl Google AdSense bekanntlich die ausführlichsten und strengsten Nutzerrichtlinien hat, findet sich darin kein Hinweis darauf, wie das Hostingpaket der Werbefläche auszusehen hat, solange die Werbung nach Googles Vorstellungen eingepflegt wird.
  • Selbst wenn Sie bei einem Freehoster wie Square7 sind, bei diesem der Betreiber den Webseitenbesuchern ein Pop-up-Fenster einblendet, könnten Sie also trotzdem Google AdSense auf die Webseite einbauen.

Ebenfalls sehr gute Erfahrungen habe ich mit Schaltplatz.de gemacht. Anzeigen dieses deutschen Werbenetzwerkes laufen hier in Abwechslung mit Google AdSense.

Screenshot vom Kontostand von Schaltplatz.de

Auch Schaltplatz.de hat kein Problem mit Freehostern und Subdomains. Einzig und alleine entscheidend ist, wie bei AdSense auch, die Platzierung der Werbung:

Der Werbecode muss so eingebunden werden, dass die Werbung sich im sichtbaren Bereich des Browsers befindet. Des Weiteren darf der Werbecode nicht in Popups/Popunder/Layer, auf leeren Webseiten, auf Seiten die nur aus Werbung bestehen, in E-Mails oder Mailprogrammen dargestellt werden.

Ceramex Media GmbH: Allgemeine Geschäftsbedingungen. schaltplatz.de (03/2015).

  • Hier wäre es also ebenfalls kein Problem, falls sich Ihr Freehoster durch Pop-up-Fenster finanziert. Der Passus in den AGB besagt nur, dass Sie den Werbecode von Schaltplatz.de nicht in ein Pop-up-Fenster packen dürfen.

Ein weiteres Werbenetzwerk, welches gut mit Blogs auf Freehostern und Subdomains funktioniert, ist Adscale. Bis Mai 2014 habe ich Werbemittel dieses Unternehmens auf meinen Blogs eingesetzt. Leider hat Adscale trotz sehr schlechter Vergütung, sehr strenge Richtlinien:

Lediglich rein deutschsprachiger Traffic ist zulässig. Webseiten-Inhalte müssen auf Deutsch sein. Layout und Funktionalität der Webseite müssen auf den gängigsten Browsern (Google Chrome, Mozilla Firefox, Safari, Internet Explorer) angezeigt werden können. […]

adscale GmbH: adscale Publisher-Kriterien. adscale.de (03/2015).

  • Auch bei Adscale spielt es keine Rolle, ob Ihr Blog von einem Freehoster gehostet wird, dieser eine Subdomain hat oder mit einem Pop-up-Fenster beworben wird, solange Sie sich an die vielen anderen Regeln halten.

Wann einen Blog auf einem Freehoster bewerben?

Ist meine Webseite reif, um monetarisiert zu werden? Diese Frage wird sich jeder Webworker mit der Zeit stellen. Ich bin kein Fachmann, denn ich betreibe keinen dieser unsäglich doofen Geldblogs, welche rein aus Affiliate-Links bestehen und „Tipps“ zum Reich werden geben, wobei der Webseitenbetreiber selbst vor der Waschstraße stehen, und die Autos mit dem Dampfstrahler abspritzen muss, um über die Runden zu kommen. Ich persönlich achte auf diese Variablen:

  1. Anzahl bestehender Artikel.
  2. Alter der Webseite.
  3. Anzahl der echten Besucher und Besuchsdauer.
  4. Anzahl neuer Artikel im Monat.

Je höher die Zahlen hinter diesen vier Punkten sind, umso reifer ist Ihre Webseite beworben zu werden bzw. umso mehr Werbung können Sie einbauen.

Fazit

Wo früher Freehosting und Subdomains ein No-Go waren, sind die Werbenetzwerke in dieser Beziehung sehr locker geworden. Im Vordergrund steht so gut wie beim jedem Anbieter, regelmäßiger, redaktionell gepflegter Content der beworbenen Webseite. Eine sehr erfreuliche Entwicklung, nicht nur weil Toplevel-Domains begrenzt sind, sondern weil so jeder angehende Webworker risikofrei und kostenlos testen kann, ob ihm seine Werbeeinnahmen zum Leben genügen oder ob der Job an der Waschstraße nicht besser ist. Achtung: Kostenlos stimmt nicht ganz! Sie wissen, immer wenn Sie Einnahmen erzielen müssen Sie ein Gewerbe anmelden. Abgesehen von Google AdSense benötigen Sie für die Anmeldung bei allen Werbenetzwerken, die ich kenne, eine Steuernummer.

Verwandte Themen:

Erfahrung mit Webanbieter – Greatnet.de
Nachteile von bplaced.net Freehosting

Artikel wurde am 17.03.2015 aktualisiert.