Webhosting
Fragen zu Apache, Dateiübertragung, Berechtigungen, CGI, .htaccess, Statistiken und Shell-Zugang.
Fragen
- Welche Programme kann ich für die Dateiübertragung verwenden?
- Wie konfiguriere ich mein Übertragungsprogramm?
- Warum erhalte ich FTP-Fehler 530 oder zu viele gleichzeitige Verbindungen?
- Wie kann ich Formulardaten per E-Mail senden?
- Wo befinden sich sendmail und Perl?
- Wie setze ich Dateiberechtigungen korrekt?
- Wie konfiguriere ich Apache mit .htaccess-Dateien?
- Wie richte ich Passwortschutz mit Apache ein?
- Wie kann ich Website-Statistiken abrufen und lesen?
- Wie aktiviere ich Versionsverwaltung und Shell-Zugang?
- Können Sie helfen, wenn meine Website gehackt wurde?
- Meine WordPress-Site scheint gehackt oder leitet um: Was soll ich tun?
- Warum erneuert sich mein Let’s-Encrypt-Zertifikat nicht?
- Meine Website funktioniert nach der Migration nicht mehr: Was soll ich prüfen?
- Warum ist mein Webhosting-Speicher voll?
Welche Programme kann ich für die Dateiübertragung verwenden?
Verwenden Sie nach Möglichkeit ein Programm, das verschlüsselte Übertragung unterstützt, vorzugsweise SFTP. FTP bleibt vor allem aus Kompatibilitätsgründen verfügbar.
Häufig verwendete Programme sind:
- FileZilla: weit verbreitet auf Windows, macOS und Linux; praktisch für einfache Dateiübertragung per Ziehen und Ablegen
- WinSCP: besonders gut unter Windows, auch für Synchronisation und automatisierte Abläufe
- Cyberduck: übersichtlich auf macOS und Windows, gut für gelegentliche Übertragungen
- Transmit: sehr gutes macOS-Programm, kostenpflichtig
- rsync: Werkzeug für die Kommandozeile, geeignet für Sicherungskopien, Migrationen und wiederholte Synchronisation
Für größere Umzüge sind rsync, scp oder sftp auf der Kommandozeile oft zuverlässiger als manuelle Dateiübertragung.
Aktuelle all2all-Webhosting-Konten enthalten Shell-Zugang. Dateien können deshalb bei Bedarf auch direkt auf dem Server übertragen oder synchronisiert werden.
Wie konfiguriere ich mein Übertragungsprogramm?
Verwenden Sie die Zugangsdaten, die Sie bei der Aktivierung des Webhosting-Kontos erhalten haben.
Typische Einstellungen:
- Rechnername: Rechnername des Dienstrechners
- Benutzername: all2all-Benutzername
- Passwort: all2all-Passwort
- Protokoll: SFTP empfohlen; SCP für Kommandozeile oder Automatisierung; FTP nur für ältere Arbeitsabläufe
SFTP und SCP laufen über SSH/OpenSSH, normalerweise auf Port 22. Klassisches FTP läuft über den FTP-Dienst, typischerweise ProFTPD, meist auf Port 21 plus passiven Datenports.
Bei FTP landet man normalerweise direkt im Benutzerverzeichnis des Webhosting-Kontos. Bei SFTP oder SCP muss man manchmal selbst in das Benutzerverzeichnis wechseln; es liegt normalerweise unter /var/www/htdocs/username.
Verwenden Sie den Rechnernamen des Dienstrechners, nicht unbedingt den Domainnamen, solange DNS-Änderungen noch nicht verbreitet sind oder die Domain noch nicht aktiv ist.
Laden Sie die Dateien der Website in public/ hoch. Wenn Ihr Programm im Benutzerverzeichnis startet, wechseln Sie zuerst nach public/.
Weitere Möglichkeiten sind Shell-Zugang, rsync und der Dateimanager in Virtualmin.
Warum erhalte ich FTP-Fehler 530 oder zu viele gleichzeitige Verbindungen?
Diese Meldung bedeutet meist, dass der Dienstrechner weitere gleichzeitige Verbindungen desselben Programms ablehnt.
Häufige Ursachen sind:
- zu viele parallele Übertragungen
- alte Sitzungen, die nicht sauber beendet wurden
- wiederholte automatische Verbindungsversuche
- blockierte passive Datenverbindungen
Reduzieren Sie im Übertragungsprogramm die maximale Zahl gleichzeitiger Verbindungen. Zwei oder drei reichen in der Regel aus.
Wenn das Problem bleibt, trennen Sie die Verbindung vollständig, warten Sie kurz und verbinden Sie sich erneut. Ein Neustart des Programms kann hängen gebliebene Sitzungen ebenfalls lösen.
Bei Fehlermeldungen wie 425 unable to build data connection prüfen Sie den passiven Modus, lokale Firewall-Einstellungen und blockierte Sitzungen.
Wenn möglich, verwenden Sie SFTP; damit entfallen viele klassische FTP-Probleme.
Wie kann ich Formulardaten per E-Mail senden?
Der alte gemeinsam genutzte CGI-FormMail-Dienst wird nicht mehr empfohlen.
Formulare sollten heute normalerweise von der Webanwendung selbst verarbeitet werden, zum Beispiel durch:
- PHP-Formularskripte
- WordPress-Formularplugins
- authentifizierten SMTP-Versand
Authentifizierter SMTP-Versand mit einer passenden Absenderadresse verbessert die Zustellung und reduziert Missbrauch. Er passt auch besser zu SPF, DKIM und DMARC.
Eigene Formularverarbeitung bleibt mit Shell-Zugang und den üblichen Skriptumgebungen möglich.
Wo befinden sich sendmail und Perl?
Einige ältere Skripte benötigen noch feste Systempfade.
Typische Pfade sind:
- sendmail:
/usr/sbin/sendmail - Perl:
/usr/bin/perl
Ein typischer Perl-Skriptkopf sieht so aus:
#!/usr/bin/perl
/usr/sbin/sendmail verweist auf den lokalen Mail Transport Agent, normalerweise über Postfix-Kompatibilität. Manche ältere Software verweist auch auf /usr/lib/sendmail.
Moderne Anwendungen verwenden meist eigene Mail-Bibliotheken oder authentifizierten SMTP-Versand statt direkter sendmail-Aufrufe.
Wie setze ich Dateiberechtigungen korrekt?
Dateiberechtigungen bestimmen, wer Dateien lesen, ändern oder ausführen darf. Sie können über SFTP/FTP, den Virtualmin-Dateimanager oder auf der Shell mit chmod geändert werden.
Typische Werte:
- normale Dateien:
644 - Verzeichnisse:
755 - ausführbare CGI- oder Shell-Skripte:
755 - sensible Konfigurationsdateien: oft
600
Vergeben Sie nur die Rechte, die wirklich nötig sind. Vermeiden Sie 777; solche Rechte sind ein ernstes Sicherheitsrisiko.
Ändern Sie Systemverzeichnisse wie cgi-bin/ nicht manuell, außer es gibt dafür einen konkreten technischen Grund.
Wie konfiguriere ich Apache mit .htaccess-Dateien?
Eine .htaccess-Datei enthält Apache-Anweisungen, die für ein bestimmtes Verzeichnis und seine Unterverzeichnisse gelten.
Typische Verwendungen sind:
- Weiterleitungen und URL-Rewriting
- HTTPS erzwingen
- Passwortschutz für Verzeichnisse
- MIME-Typen anpassen
- Verhalten von Indexdateien ändern
Legen Sie die Datei in public/ oder in einem Unterverzeichnis ab. Regeln gelten ab diesem Verzeichnis nach unten.
In aktuellen all2all-Webhosting-Umgebungen ist .htaccess-Unterstützung normalerweise standardmäßig aktiviert.
Wenn Apache nach einer Änderung 500 Internal Server Error meldet, benennen Sie die Datei vorübergehend um oder machen Sie die letzte Änderung rückgängig. Meist ist ein Syntaxfehler die Ursache. Prüfen Sie auch die Apache-Fehlerprotokolldatei; dort steht oft die genaue Zeile, Anweisung oder Pfadangabe, die den Fehler ausgelöst hat.
Weitere Beispiele stehen in der Dokumentation. Kontaktieren Sie den Support, wenn Sie eine bestimmte Regel brauchen und unsicher sind, ob sie erlaubt ist.
Wie richte ich Passwortschutz mit Apache ein?
Apache kann ein Verzeichnis mit Benutzername und Passwort schützen.
Dafür braucht es normalerweise:
- eine
.htaccess-Datei im geschützten Verzeichnis - eine Passwortdatei mit den berechtigten Benutzern
Virtualmin bietet ebenfalls eine Oberfläche für geschützte Verzeichnisse. Dort können Bereiche, Pfade und Benutzer ohne manuelle Dateibearbeitung verwaltet werden.
Apache-Passwortschutz eignet sich für temporäre private Bereiche, Testseiten, geschützte Downloads oder interne Dokumente.
Für moderne Websites mit Benutzerkonten ist oft eine Anmeldung innerhalb der Anwendung besser, zum Beispiel WordPress-Benutzer, PHP-Anmeldesysteme oder Authentifizierungsmodule eines Frameworks.
Wie kann ich Website-Statistiken abrufen und lesen?
Website-Statistiken sind über Virtualmin verfügbar. Je nach Webhosting können Webalizer und AWStats eingerichtet sein.
Häufig sind Statistiken auch unter folgender Adresse erreichbar:
https://ihre-domain.example/stats/
Eine Anmeldung kann erforderlich sein.
Webalizer bietet eine kompakte Übersicht. AWStats zeigt meist mehr Details, etwa Browser, Suchmaschinen, Downloads und Monatsvergleiche.
Nützliche Kennzahlen sind:
- Besuche: zusammenhängende Besuchssitzungen
- Seiten: tatsächliche Seitenaufrufe
- Hits: alle Dateianfragen, also auch Bilder, Skripte und Stylesheets
- Bandbreite: übertragene Datenmenge
Hits sind oft viel höher als Besuche, weil eine Seite auch Bilder, CSS, JavaScript und Schriften lädt. Besuche und Seitenaufrufe beschreiben reale Nutzung meistens besser.
Wie aktiviere ich Versionsverwaltung und Shell-Zugang?
Aktuelle Webhosting-Konten enthalten standardmäßig Shell-Zugang. Damit sind SSH, SFTP, SCP und Wartung über die Kommandozeile möglich.
Für versionierte Bereitstellungen ist Git heute die übliche Wahl. Subversion (SVN) kann für bestehende Arbeitsabläufe weiterhin verwendet werden.
Shell-Zugang ist nützlich für:
- direkte Dateiverwaltung
- Skriptausführung
- Protokolldateien prüfen
- Repositories auschecken
- Wartung über die Kommandozeile
Für getrennte Aufgaben können eigene Benutzer sinnvoll sein, zum Beispiel für Bereitstellung, Anwendung oder Wartung. Das verbessert die Nachvollziehbarkeit und reduziert versehentliche Änderungen.
Für Repository-Unterstützung oder serverseitige Einbindung kontaktieren Sie den Support mit Domainname, gewünschtem Werkzeug und geplantem Ablauf.
Können Sie helfen, wenn meine Website gehackt wurde?
Ja. Wichtig ist aber die Grenze zwischen Serverbetrieb und Website-Betrieb. all2all betreut Webhosting-Plattform, Betriebssystem, Mail und Infrastruktur. Die Website selbst, also CMS, Plugins, Themes und Webanwendungen, bleibt in der Verantwortung der Betreiberin, des Betreibers oder des Webmasters.
Viele Anbieter von gemeinschaftlichem Webhosting sperren kompromittierte Websites einfach, wenn sie Spam senden, Schadsoftware ausliefern, Besucher umleiten oder den Server überlasten. Bei all2all versuchen wir normalerweise, mehr zu tun: zuerst schützen wir die Infrastruktur, dann helfen wir der zuständigen Person zu verstehen, was passiert ist und welche Möglichkeiten es gibt.
Der typische Ablauf ist:
- Erkennung von Spam, Phishing, Schadsoftware, verdächtigen Dateien, Weiterleitungen, hoher Last oder Abuse-Meldungen
- Schutzmodus für die Website, falls nötig, zum Beispiel durch Deaktivieren verwundbarer Skripte oder Begrenzen des Webzugangs
- Kontakt mit Webmaster oder Website-Verantwortlichen
- Eskalation an die Website-Kontaktadresse, dann an den Konto-Kontakt und schließlich an frühere Kontaktadressen, falls nötig
- Bereinigung durch den Kunden, dessen Webmaster, eine externe Fachperson oder durch all2all, wenn wir dafür Kapazität haben
Der Kunde kann die Website selbst bereinigen. Wenn Hilfe nötig ist, können wir einen Webmaster empfehlen oder, wenn Kapazität vorhanden ist, eine direkte Intervention durch all2all schätzen. Eine kompromittierte WordPress-Website zu bereinigen dauert häufig etwa 2 bis 3 Stunden zu 60 EUR/Stunde, je nach Zustand der Website, Plugins, Sicherungskopien und Protokolldateien.
Technische erste Schritte stehen auch hier: Meine WordPress-Site scheint gehackt oder leitet um: Was soll ich tun?
Bei Bedarf können wir einen forensischen Archiv-Snapshot und eine erste Einschätzung erstellen. Das kann verdächtige Dateien, relevante Protokolldateien, IP-Adressen, Zeitpunkte, Weiterleitungen, Cronjobs oder eingefügten Code umfassen. Ein solcher Bericht kann helfen, wenn der Vorfall intern dokumentiert, einer Versicherung gemeldet oder bei Behörden angezeigt werden muss.
Eine formelle Anzeige ist bei einer kleinen Verunstaltung oder einem kompromittierten Testsystem ohne personenbezogene Daten, Betrug, Erpressung oder größere Folgen normalerweise nicht nötig. Wichtig wird sie, wenn personenbezogene Daten eingesehen, kopiert oder verändert worden sein könnten, wenn es um finanziellen Betrug, Identitätsdiebstahl, Erpressung, Phishing gegen Dritte oder gesetzliche Meldepflichten geht. In Belgien müssen Verletzungen personenbezogener Daten unter Umständen innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden. Sicherheitsvorfälle können auch über Safeonweb/CCB gemeldet werden; Straftaten sollten bei der Polizei angezeigt werden.
Meine WordPress-Site scheint gehackt zu sein oder leitet um: Was soll ich tun?
Kontaktieren Sie zuerst support@all2all.org.
Bitte löschen Sie zunächst keine Dateien und installieren Sie die Website nicht blind neu, bevor eine erste Einschätzung möglich war. Sonst können wichtige Spuren verloren gehen.
Häufige Anzeichen sind unerwartete Weiterleitungen, unbekannte Administratoren, veränderte .htaccess-Regeln, seltsame PHP-Dateien, verdächtige Cronjobs oder alte Plugins, die externe Skripte laden.
Nach Sicherung der relevanten Spuren: kompromittierte Website bereinigen, WordPress-Kern, Themes und Plugins aktualisieren, nicht verwendete Themes und Plugins löschen und .htaccess, wp-config.php sowie kürzlich geänderte PHP-Dateien prüfen.
Eine einfache Verunstaltung oder ein kompromittiertes Testsystem muss normalerweise nicht formell gemeldet werden, wenn keine personenbezogenen Daten, kein finanzieller Betrug, kein Identitätsdiebstahl und keine weiteren Folgen betroffen sind. Dokumentieren Sie trotzdem, was passiert ist und welche Schritte unternommen wurden.
Eine Meldung kann nötig sein, wenn personenbezogene Daten eingesehen, kopiert oder verändert worden sein könnten. In Belgien müssen Datenschutzvorfälle unter Umständen innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden: https://www.dataprotectionauthority.be/.
Bei Betrug, Erpressung, Identitätsdiebstahl, finanziellem Schaden oder kriminellen Drohungen sollte der Vorfall bei der Polizei angezeigt werden. Belgische Organisationen können Sicherheitsvorfälle auch über das Centre for Cybersecurity Belgium melden: https://notif.safeonweb.be/. Verdächtige Phishing-Nachrichten können an verdacht@safeonweb.be weitergeleitet werden.
Wenn die Website Spam sendet, Schadsoftware ausliefert oder Besucher umleitet, können wir betroffene Skripte vorübergehend deaktivieren, um Server und andere Nutzer zu schützen.
Warum erneuert sich mein Let’s-Encrypt-Zertifikat nicht?
Für die Erneuerung muss jeder im Zertifikat enthaltene Name auf den richtigen Dienstrechner zeigen. Außerdem muss /.well-known/acme-challenge/ erreichbar sein.
Häufige Ursachen sind:
- DNS zeigt noch auf einen anderen Dienstrechner
- Weiterleitungen oder
.htaccess-Regeln blockieren die Prüfung - ein Alias wie
wwwfehlt - ein Domain-Alias im Zertifikat ist nicht mehr aktiv oder zeigt nicht mehr auf den Dienstrechner
- falsche Dateiberechtigungen
- eine alte Apache- oder Virtualmin-Konfiguration
Gerade bei Websites mit mehreren Domainnamen kann ein einziger nicht funktionierender Name die gesamte Zertifikatserneuerung blockieren. Verlängern Sie den betroffenen Domainnamen und korrigieren Sie dessen DNS, entfernen Sie den Alias aus der Let’s-Encrypt-Konfiguration in Virtualmin oder löschen Sie die Alias-Domain über Virtualmin, wenn sie nicht mehr benötigt wird.
Meine Website funktioniert nach der Migration nicht mehr: Was soll ich prüfen?
Migrationsprobleme entstehen oft durch DNS, Datenbankeinstellungen, PHP-Versionen oder alte Pfade.
Prüfen Sie zuerst:
- DNS zeigt auf den vorgesehenen all2all-Dienstrechner
- die Dateien der Website liegen in
public/ - Datenbankname, Benutzername, Passwort und Rechnername sind korrekt
- WordPress
wp-config.phpverwendet die neue Datenbank mit den richtigen Zugangsdaten und nicht mehr die alte Datenbank - alte absolute Pfade oder fest eingetragene URLs wurden angepasst
- die PHP-Version passt zur Anwendung
.htaccessenthält keine alten Weiterleitungen oder Rewrite-Regeln
Testen Sie bei Bedarf vor der endgültigen DNS-Änderung über eine temporäre Adresse wie ihresite.all2all.org.
Warum ist mein Webhosting-Speicher voll?
Webhosting-Speicher wird häufig durch lokale Sicherungskopien, Cache-Verzeichnisse, Protokolldateien, hochgeladene Medien, alte Archive oder Migrationskopien gefüllt.
Prüfen Sie die größten Verzeichnisse per Shell, SFTP oder Virtualmin. WordPress-Plugins für Sicherungskopien sind oft die Ursache, wenn sie wiederholt vollständige Sicherungskopien im selben Webhosting-Konto speichern.
Entfernen Sie alte Archive und lagern Sie Sicherungskopien wenn möglich außerhalb des Webhosting-Bereichs. Wenn das Projekt dauerhaft mehr Speicher braucht, kontaktieren Sie den Support, damit Paket oder Speicherlimit geprüft werden können.