Umstellung der Webseite auf hugo

Um die Webseite schneller und sicherer zu machen, wird von einem CMS auf statische Seiten umgestellt

Nach langem Hin und Her habe ich mich entschieden, das Wordpress, auf dem meine Webseite bis dato lief, außer Dienst zu stellen. Eine Alternative, welche ich schon lange im Auge hatte, war das Tool hugo. Bei Hugo handelt es sich um einen statischen Webseitengenerator, mit dem es mit Hilfe von Markdownsprachen wie TOML, YAML oder JSON möglich ist Inhalte zu erzeugen und diese rendern zu lassen. In meinem Fall war der Gedanke eine sicherere Webseite zu bekommen und einfacher Inhalte zu publizieren. In meinem Fall ist die Webseite auf einem privaten Git-Server hinterlegt und wird per CRON-Job einmal die Stunde gerendert. Hierbei werden die zu den Posts gehörigen Bilder manuell über ein Webinterface hochgeladen und eingebunden. Dies dient der Entlastung des Git-Repos und dem schmälern der zu übertragenden Daten. Der Hintergrund ist, dass es möglich sein soll mit jedem x beliebigen Gerät, das eine Kommandozeile bereitstellen kann, Artikel zu erzeugen. Aus soll es so möglich sein, auf einfache Weise mal schnell einen Urlaubs-Bilder-Post zu veröffentlichen. Und generell ist das Ganze weit performanter als ein nacktes Wordpress.

Warum wird die Webseite gerade jetzt umgestellt?

Im Prinzip hatte ich bis jetzt keine Lust mich mit dem Thema auseinander zusetzen, weil das Wordpress schon sehr einfach zu handeln ist. Der Server, auf dem die Seite gehostet ist, reicht auch leistungstechnisch gut aus um alle Dienste zu versorgen. Der ausschlaggebende Grund, war ein Angriff auf das eigentliche Wordpress. Hierbei versuchte ein russischer Bot mit Hilfe einer XMLRPC-Attacke an das Administratorkonto des Blogs zu kommen. Die Seite war zwar mit mehreren Captchas und guten Passwörtern gesichert, jedoch brach die Performance des Servers extrem ein, sodass ich den Fehler bei anderen Diensten suchte. Hinzu kam, dass der Server erst vor kurzem zu einem neuen Hoster umgezogen ist und noch nicht alle Sicherheitsmechanismen wieder aktiv waren. Der Bot sendete also fröhlich POST-Anfragen wie diese:

```
$ 191.XXX.XXX.XXX [18/Oct/2016:08:07:34 +0200] "POST /xmlrpc.php HTTP/1.0" 200 735 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
```

Und versuchte das Administratorkonto zu finden. Was eine XMLRPC-Attacke ist, kann übrigens bei Cloudflare nachgelesen werden: Wordpress XML-RPC Als Gegenmaßnahme wurde die Funktionalität abgeschaltet und anschließend die ersten Experimente mit Hugo durchgeführt. Nun wird nach und nach die Webseite mit Inhalten gefüllt. Seid also gespannt!

 
comments powered by Disqus