Wie gehts weiter?

Wenn du nur ein Wordpress brauchst bist du mit einem Webhosting deutlich besser bedient, dort kümmert sich Netcup um das darunterliegende System. Denn ohne "Fachchinesisch" kannst du einen Server nicht sicher betreiben, da du dir für die nötige Absicherung eines Servers gewisse Kenntnisse aneignen musst (die du eigentlich schon haben solltest, wenn du dir einen Server im Internet geklickt hast). Auch ist es nicht mit einer einmaligen Absicherung getan, denn so ein System muss regelmäßig aktualisiert werden. Ansonsten kann das ganz schnell nach hinten losgehen, dir wird die Büchse aufgemacht und für Dinge missbraucht (da bist du dann auch in der Haftung). Beispiel:

https://forum.netcup.de/admini…er-gehackt-anf%C3%A4nger/

Wie man den Server ordentlich absichert, dazu gibt es bereits einige Themen hier im Forum, schau dich einfach mal etwas um und nuzte die Suche. Wenn du aber blutiger Anfänger bist solltest du zuerst in einer VM auf deinem Rechner experimentieren und nicht direkt mit einer Maschine die im Internet hängt.

Was ist denn aktuell noch installiert?

Apache? NGiNX? MySQL, ....?

Kenne die fertigen Images von netcup nicht.

Wenn noch nichts läuft, dann wäre meine Empfehlung:

Server absichern.

LEMP bzw. LAMP als Webserver

Und dann eben Wordpress.

Ich hatte mal vor einer Weile Tutorials dazu geschrieben:

https://geekmonkey.de/tuts/perfekt-server/

Oder wenn du faul bist und nur schnell alles fertig eingerichtet haben willst, kannst mein Script dafür nutzen:

apt-get install -y curl
curl -Ssl https://raw.githubusercontent.com/gxf0/lazy_server/master/get | bash

Das Script installier in meinen Augen die Basics. Danach musst nur noch Wordpress installieren, siehe Anleitung im Blog, incl. nginx vhost

Zitat von geekmonkey

Was ist denn aktuell noch installiert?

Apache? NGiNX? MySQL, ....?

Kenne die fertigen Images von netcup nicht.

Froxlor kommt schon mit den nötigen Sachen daher (Webserver, Datenbankserver)

Wenn du unter Froxlor bist, kannst du dir dort einfach einen Nutzer anlegen, mit Webspace, Datenbank und Domain.

Bei Netcup musst du für deine Domain noch auf den Server zeigen lassen (Fachchinesisch: DNS).

Mit einem einfachen Wordpress ohne administrative Kenntnisse und Aufwand bist du allerdings mit einem Webhosting Tarif bei Netcup besser beraten.

Als blutiger Anfänger wirst du mit ohne Fachchinesisch da nicht weit kommen.

Ich habe bei netcup auch mit Webhosting + Wordpress angefangen. Das Problem ist, dass man sich halt die Ressourcen mit anderen teilt und je nachdem wie hoch die Auslastung bei den anderen ist, kann die Wordpress Performance schon ziemlich abfallen.

Das war auch der Hauptgrund, warum ich jetzt einen Rootserver habe.

Wie wäre es wenn du dein System ohne Froxlor bedienst? Da lernst du deutlich mehr als mit einem Klicki-Bunti Interface.

Außerdem sind die meisten Programme aus den OS Repositorys erstmal per default abgesichert. Ich persönlich denke dass der Versuch das System ganz doll sicher zu machen eher das Gegenteil bewirkt oder was kaputt macht. Wenn deine Passwörter (oder besser Keys) stark sind, du deine Dienste genau kennst und verstehst und du nicht jeden Schrott installierst ist das -imho- genug Sicherheit!

Achja, und bitte regelmäßig Updates machen

Thomas

PS: Du wirst es gemerkt haben, ohne trifftigen Grund würde ich kein umfangreiches Panel installieren. Viel zu viel was ich nicht überblicken kann, was kaputt gehen kann und was Sicherheitslöcher reißen kann!

Es gibt schon paar kleinere Tipps, z. B. ssh Port ändern, das reduziert die Anzahl der Angriffe enorm (weil die meisten Skriptkiddies nur den Port 22 verwenden, die scannen meist nicht nach weiteren offenen ports).

Fail2ban ist auch ganz hilfreich. Wenn doch mal jemand versucht Passwörter auszuprobieren, wird der nach diversen Versuchen geblockt.

Rootlogin in ssh deaktivieren (natürlich vorher einen anderen User anlegen und testen, ob der mit su bzw. sudo sich root Rechte verschaffen kann.

Ansonsten immer Wordpress und die Plugins aktuell halten, das ist bei Wordpress die Hauptgefahr. Das System sollte auch immer aktuell gehalten werden mit

apt-get update
apt-get upgrade

Ansonsten kann ich Thomas nur zustimmen, verwende erst mal nicht so ein Tool wie Froxlor und lerne, wie man das mit der Konsole macht (ist echt nicht schwer und gibt so viele Tutorials). Debian nimmt einem da sehr viel ab, ich würde auch explizit nach Debian Tutorials suchen.

Ob Du Apache oder Ngnix verwendest, ist glaub ich bei den meisten Privaten Seiten ziemlich egal. Ich habe beides ausprobiert und konnte da keine großen Unterschiede feststellen. Mittlerweile setzte ich wieder Apache ein, es gibt einfach noch viel mehr Tutorials zu diversen Themen.

Ach ja bevor Du alles an deinem Server direkt ausprobierst. Installiere dir am besten genau die Linuxdistribution, die auf dem Server läuft in einer Virtuellen Maschiene z. B. Virtualbox (kostenlos), dort kannst Du so viel ausprobieren wie Du willst und kannst nix kaputt machen.

Fail2ban ist in meinen augen Pflicht, wirklich viel konfigurieren muss man da am Anfang auch nicht, ebenso wie ssh port ändern.

Weiß jetzt nicht wies mit dem IP Pool von Netcup aussieht, aber bei Linode und Digital Ocean dauert es keine 2min, nachdem der Server gebootet wurde und die ersten Botnetze aus China und Singapur beginnen mit dem Bruteforcen. 10min später sind die Inder und Russen auch mit von der Partie. Wobei, wie bereits oben erwähnt meist nur der Port 22 unter Beschuss steht.

Hab nicht selten deswegen schon mal die email notifications deaktiviert, ... Rekord lag glaube ich bei etwas über 600 mails von fail2ban am nächsten Morgen ?

Wobei man auch gerade bei den Droplets und Linodes nicht weiß, was der Vorbesitzer der IP damit getrieben hat, ist ja doch relativ kurzlebig so ne IP. Hab mit unter am Tag 30 verschieden IPs wenn ich was teste. ??

Habe gerade mal meine auth logs angesehen und die einzigen fails da drin sind von mir, weil ich mich beim Password vertippt hatte. Port ändern bringt schon viel.