Webserver mit WordPress-Blog auf dem Raspberry Pi einrichten

Der Minicomputer Raspberry Pi wurde als Lern- und Bastelcomputer entwickelt. Aufgrund seines äußerst geringen Preises und seiner Flexibilität ist er auch genau dafür außerordentlich gut geeignet. Da er außerdem sehr stromsparend ist, eignet er sich besonders für Projekte, bei denen es erforderlich ist, dass der Raspberry Pi ständig läuft. Beispielsweise ein Homeserver/NAS, oder eben ein Raspberry Pi Webserver.

Wenn man heute eine Webseite erstellt, greift man häufig direkt zu WordPress. Ursprünglich als einfaches System für Blogs gedacht, ist WordPress heute so groß und flexibel, dass es für nahezu jede Art von Webseite genutzt werden kann, vom einfachen Weblog bis zum Onlineshop.

Wer schon eine auf WordPress basierende Seite betreibt und mit dem Gedanken spielt, diese selbst zu hosten, oder wer sich komplett neu mit dem Thema Webhosting auseinander setzen möchte, der findet mit WordPress als Software und dem Raspberry Pi als Hardware gute Plattformen für den Start. Zwar hat der Raspberry Pi nicht genug Power um einen gut besuchten Blog zu betreiben, als Testplattform für WordPress ist der Raspberry Pi Web Server aber hervorragend geeignet.

Das offizielle Betriebssystem Raspbian basiert auf dem Linux-Betriebssystem Debian. Das ebenfalls sehr populäre (Server)-Betriebssystem Ubuntu ist ursprünglich ebenfalls aus Debian hervor gegangen und diesem in der Bedienung bis heute sehr ähnlich.

Wer einen Webserver mit Raspbian auf einem Raspberry Pi einrichten und betreiben kann, der kann auch einen „richtigen“ Webserver auf Basis von Debian, oder (mit leichten Veränderungen) Ubuntu einrichten.

Dieser Beitrag zeigt die Installation und Einrichtung aller, zum Betrieb von WordPress benötigter Software auf dem Raspberry Pi. Der Beitrag ist dabei bewusst einfach und – ich hoffe – einsteigerfreundlich gehalten.

Am Ende soll steht ein fertiger Webserver, auf dem eine WordPress Installation betrieben werden kann.

Dies ist jedoch keine Anleitung für die Einrichtung und den Betrieb eines sicheren und öffentlichen Webservers (siehe unten „Einige Worte zur Sicherheit“), denn dies kann eine Copy & Paste Anleitung nicht leisten. Vielmehr soll dies die Basis dafür sein, sich weiter mit der Einrichtung und Konfiguration eines Webservers zu beschäftigen. Denn irgendwo muss man ja anfangen.
Und was könnte dafür besser geeignet sein als ein Raspberry Pi.

Installation des Betriebssystem Raspbian Lite

Als Basis für den Webserver dient das offizielle Betriebssystem Raspbian. Da der Webserver keinen grafischen Desktop und die dazugehörigen Programme wie Libreoffice, Webbrowser usw. benötigt, wird die Version Raspbian Lite verwendet. Raspbian Lite verfügt über keine grafische Benutzeroberfläche, sondern wird ausschließlich über die Kommandozeile bedient. Dies erhöht einerseits die Geschwindigkeit, da viel weniger Systemressourcen benötigt werden und erhöht außerdem die Sicherheit, da keine unnötige Software installiert wird.

Da der Webserver und alle seine Komponenten ohnehin auf der Kommandozeile installiert und konfiguriert werden müssen, hat die Verwendung von Raspbian in der Lite Version in diesem Fall auch keine Nachteile bei der Bedienung.

Zuerst muss Raspbian Lite von der offiziellen Webseite heruntergeladen werden.

Damit erhält man eine ZIP-Datei, die entpackt werden muss. Daraus bekommt man eine IMG-Datei, die ein Abbild der kompletten Raspbian Installation enthält und deren Inhalt noch auf eine MicroSD-Karte übertragen werden muss.

Besonders geeignet ist hierfür das Programm Etcher, da Etcher einfach zu bedienen ist und auf allen gängigen Plattformen wie Windows, MacOS und Linux läuft. Das Programm kann ebenfalls kostenlos von der offiziellen Seite https://etcher.io heruntergeladen werden.

Nachdem das Raspbian Image mit Etcher auf die SD-Karte geschrieben wurde, muss noch eine Datei auf der SD-Karte angelegt werden um den SSH-Zugang zu aktivieren. Standardmäßig ist der Zugang zur Kommandozeile via SSH von einem anderen Computer deaktiviert. Diese sollten wir aber aktivieren, damit wir den Raspberry Pi später von einem anderen Computer aus administrieren können. Außerdem ist darüber eine verschlüsselte Verbindung mit einem FTP-Client wie Filezilla möglich, so dass man Dateien einfach auf den Raspberry Pi hoch- und herunterladen kann.

Auf der SD-Karte wurden zwei Partitionen angelegt. Auf der Partition mit dem Namen „boot“ muss eine leere Datei mit dem Namen „ssh“ angelegt werden. Damit wird der SSH-Zugang auf den Raspberry Pi automatisch beim booten aktiviert.

Um die Datei zu erstellen klickt man unter Windows mit der rechten Maustaste auf eine freie Stelleim Explorer. Hier wählt man Neu > Textdokument. Dieses Dokument nennt man nun ssh und zwar ohne die Endung .txt. Also nicht ssh.txt, sondern einfach nur ssh.

Damit ist die Installation des Betriebssystems abgeschlossen. Die SD-Karte kann nun in den Raspberry Pi eingesetzt und der Pi gestartet werden. Der Raspberry Pi sollte nach Möglichkeit über ein Netzwerkkabel mit dem Router verbunden werden, da dies am ehesten eine zuverlässige und stabile Netzwerkverbindung sicher stellt. Auf die Einrichtung des WLAN beim Raspberry Pi gehe ich daher in diesem Artikel nicht ein.

Für den ersten Start macht es noch Sinn auch einen Bildschirm und eine Tastatur am Raspberry Pi anzuschließen. Für die spätere Nutzung ist das dann nicht mehr nötig. Dann kann der Raspberry Pi irgendwo in einer Ecke seinen Betrieb verrichten, sofern es dort ein Netzwerkkabel und Strom gibt.

Grundkonfiguration des Betriebssystems

Nachdem der Bootvorgang abgeschlossen ist, fordert das System zum Login auf. Da Raspbian Lite wie gesagt keine grafische Benutzeroberfläche hat, ist auch die Bedienung rein textbasiert.

Der Benutzername für den Login lautet pi, das Standardpasswort ist raspberry. Da das System standardmäßig auf englisches Tastaturlayout eingestellt ist, wo Z und Y vertauscht sind, muss auf einer deutschen Tastatur ggf. raspberrz eingegeben werden. Dieses Verhalten wird weiter unten geändert.

Da man sich auf dem Raspberry Pi via SSH auch über das Netzwerk einloggen kann, sollte das Passwort unbedingt als erstes geändert werden. Hierzu tippt man folgenden Befehl ein.

passwd

Beim eintippen des Passworts werden keine Sternchen, oder ähnliches angezeigt. Es gibt also keine visuelle Rückmeldung.

Nach dem Ändern des Passworts kann man einfach testen, ob das neue Passwort auch funktioniert. Hierzu loggt man sich einmal aus und wieder ein. Der Befehl zum ausloggen lautet einfach

exit

Nachdem man sich erneut eingeloggt hat, sollte eine kurze Grundkonfiguration des Systems vorgenommen werden. Beispielsweise sollten die Spracheinstellungen auf deutsch umgestellt werden. Dies erledigen wir über die Raspberry Pi Konfiguration, mit dem Befehl

sudo raspi-config

Die Navigation im Menü erfolgt mit den Pfeiltasten, Eingaben bestätigt man mit Return. Zuerst wechseln wir zu den Spracheinstellungen, die unter dem Punkt „Localisation Options“ zu finden sind. Als nächstes wählen wir die Option „Change Locale„. Damit bekommen wir eine riesige Liste mit verfügbaren Spracheinstellungen vorgelegt.

Für Deutsch scrollen wir nach unten bis zur Auswahl „de_DE.UTF-8 UTF-8„. Diese Option wird mit der Leertaste aktiviert. Alle anderen Optionen, bei denen ein Sternchen gesetzt ist, sollten via Leertaste deaktiviert (also das Sternchen entfernt) werden.

Mit TAB wechselt man zu OK und bestätigt die Auswahl. In der nächsten Abfrage bestätigen wir nochmals die neue Standardeinstellung „de_DE.UTF-8 „. Dann verlässt man das Einstellungsmenü über den Button „Finish„.

Damit die Änderungen auch wirksam werden, sollte der Raspberry Pi einmal neu gestartet werden. Dies geschieht mit dem Befehl

sudo reboot

Nachdem wir uns wieder eingeloggt haben, sollte das System zuerst auf den aktuellen Stand gebracht werden. Es sollten also alle eventuell vorhandenen Updates für das Betriebssystem und andere installierte Software eingespielt werden. Dies sollte man auch später in regelmäßigen Abständen wiederholen. Der Befehl zum abrufen und installieren von Updates lautet

sudo apt update && sudo apt dist-upgrade

Sofern Updates eingespielt wurden, sollte sicherheitshalber nochmals ein reboot durchgeführt werden.

Als letztes notieren wir uns noch die IP-Adresse, die der Raspberry Pi vom Router bekommen hat. Darüber kann man sich anschließend via SSH von einem anderen Computer auf die Kommandozeile des Raspberry Pi einloggen. Zum Anzeigen der IP-Adresse verwenden wir folgenden Befehl.

ip -4 addr show eth0

Damit erhalten wir die IPv4 Adresse des primären Netzwerkinterfaces. Wer kein Kabelnetzwerk sondern das WLAN verwendet, der muss eth0 durch wlan0 ersetzen.

Damit können wir uns von einem beliebigen anderen Rechner auf der Kommandozeile des Raspberry Pi einloggen. Der Pi kann damit in eine Ecke verfrachtet werden und nur an den Strom und ein Netzwerkkabel angeschlossen werden.

Der Login auf dem Raspberry Pi via SSH kann unter Windows 10 ganz einfach über die Powershell erfolgen. Bei älteren Windows-Systemen muss man sich mit Zusatzsoftware wie Putty helfen.

Unter Windows 10 öffnet man die Powershell und gibt dort folgenden Befehl ein.

ssh pi@192.168.30.128

Damit ist man auf dem Raspberry Pi eingeloggt und kann die weitere Administration bequem von seinem Windows-Computer aus vornehmen.

Feste IP-Adresse über den Router vergeben

Der Zugriff auf den Webserver erfolgt über dessen IP-Adresse, die er vom sogenannten DHCP-Server des Routers bekommen hat. Dieser DHCP-Server teilt allen Geräten im Heimnetz mit, welche IP-Adressen sie verwenden dürfen. Allerdings können sich diese Adressen bei einer neuen Verbindung ändern, was dazu führen würde dass der Raspberry Pi nicht mehr erreichbar werden kann. Es ist daher sinnvoll, den eigenen Router so zu konfigurieren, dass er dem Raspberry Pi immer die selbe IP-Adresse zuteilt.

Hierzu muss man in der Konfigurationsoberfläche seines Routers nach der entsprechenden Einstellung suchen. Die Konfigurationsoberfläche einer Fritz!Box findet man indem man die Adresse http://fritz.box in den Webbrowser eingibt. Dort wechselt man zu Heimnetz -> Netzwerk und wählt das Stiftsymbol hinter dem Homeserver. Hier muss ein Haken bei der Option “diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen” gesetzt werden.

Apache Webserver auf dem Raspberry Pi installieren

Als Webserver verwende ich in diesem Beitrag Apache, da dieser weit verbreitet und gut dokumentiert ist. Außerdem ist Apache in den offiziellen Paketquellen von Raspbian enthalten, so dass dieser einfach installiert und aktualisiert werden kann. Installiert wird der Webserver mit folgendem Befehl.

sudo apt install apache2

Nach der Installation ist der Raspberry Pi Apache Server direkt einsatzbereit und kann einfache HTML-Seiten direkt ausliefern. Dies kann man testen, indem man auf einem Computer im selben Netzwerk die IP-Adresse des Raspberry Pi in den Webbrowser eingibt. Damit bekommt man die Standardseite des Apache Webserver zu sehen.

Wenn dies funktioniert, kann die Standardseite gelöscht werden. Damit verhindert man spätere Probleme bei der Installation von WordPress.

sudo rm /var/www/html/index.html

Damit auch Dynamische Projekte wie WordPress ausgeliefert werden können, wird jedoch noch die Skriptsprache PHP sowie eine Datenbank benötigt.

MySQL-Datenbank-Server auf dem Raspberry Pi installieren

Der Server für die MySQL-Datenbank für WordPress wird mit folgendem Befehl installiert.

sudo apt install mariadb-server

Tatsächlich wird dabei ein zu MySQL kompatibler und aktiver entwickelter MariaDB-Server installiert.
Um einige, aus Sicherheitsperspektive wichtige Einstellungen zu setzen, sollte nach der Installation noch folgender Befehl ausgeführt werden.

sudo mysql_secure_installation

Die Fragen werden dabei folgendermaßen beantwortet:

• Enter current password for root: Einfach mit Enter überspringen, da noch kein Passwort gesetzt ist.
• Set root password?: Y
• New password: Ein Passwort vergeben
• Remove anonymous users?: Y
• Disallow root login remotely?: Y
• Remove test database and access to it?: Y
• Reload privilege tables now?: Y

Datenbank für WordPress anlegen

Jetzt kann direkt die Datenbank für WordPress angelegt werden.

sudo mysql -uroot -p

Als Passwort wird das gerade vergebene Passwort benötigt. Wenn dies richtig eingegeben wurde, empfängt einen der Datenbankserver mit folgender Eingabeaufforderung: MariaDB [(none)]>. Dann kann die Datenbank mit dem Namen „WordPress“ angelegt werden.

create database wordpress;

Als Bestätigung sollte man folgende Meldung erhalten: Query OK, 1 row affected (0.00 sec)

Dann wird noch der Datenbankbenutzer für WordPress angelegt und ein Passwort vergeben. In untenstehendem Befehl musst du DEINPASSWORT durch ein eigenes Passwort ersetzen.

GRANT ALL PRIVILEGES ON wordpress.* TO 'wordpress'@'localhost' IDENTIFIED BY 'DEINPASSWORT';

Als Bestätigung sollte man ein Query OK, 0 rows affected (0.00 sec) erhalten. Um die Änderungen zu aktivieren wird noch folgender Befehl ausgeführt.

FLUSH PRIVILEGES;

Damit ist der Datenbank-Server eingerichtet und die Datenbank bereit für WordPress. Mit einem letzten Befehl verlassen wir die Konfiguration des Datenbankservers und wechseln zurück zur normalen Kommandozeile des Betriebssystems.

quit

PHP installieren

WordPress ist ein dynamisches, in der Programmiersprache PHP geschriebenes Projekt. D.H. eine WordPress-Seite ist nicht statisch, sondern wird bei jedem Webseitenaufruf neu erstellt. Nur so sind beispielsweise Kommentare oder das Schreiben von Artikeln direkt über die Webseite möglich.

Damit der Apache Webserver PHP-Seiten ausliefern kann und außerdem eine Anbindung an die Datenbank erhält, müssen noch folgende Pakete installiert werden.

sudo apt install php php-mysql

Damit Apache über die Änderungen informiert ist, muss der Dienst einmal neu gestartet werden.

sudo systemctl restart apache2

Optional: Testen ob PHP funktioniert

Wer möchte, kann direkt testen ob die Auslieferung von PHP-Seiten funktioniert. Webseiten liegen im Verzeichnis /var/www/html. Zum Testen von PHP wird in diesem Verzeichnis eine Infoseite erstellt, die die Konfiguration von PHP anzeigt. Wenn die Seite im Webbrowser angezeigt wird, funktioniert PHP. Am einfachsten legt man die Infoseite mit Inhalt mit folgendem Befehl an.

echo "<?php phpinfo(); ?>" | sudo tee /var/www/html/phpinfo.php > /dev/null 

Anschließend ruft man die IP-Adresse des Raspberry Pi, gefolgt vom Dateiname phpinfo.php im Webbrowser auf. Dieser sollte dann folgende Seite anzeigen.

Da die Seite viele Informationen über die Konfiguration des Webservers preis gibt, sollte man sie wieder löschen, wenn man die Seite nicht mehr benötigt.

sudo rm /var/www/html/phpinfo.php

Installation von WordPress auf dem Raspberry Pi

Die Vorbereitungen für die Einrichtung von WordPress auf dem Raspberry Pi sind nun abgeschlossen. Nun kann WordPress auf dem Raspberry Pi installiert werden.

Mit dem ersten Befehl wird die aktuellste deutsche Version von WordPress herunter geladen und im Verzeichnis /home/pi gespeichert.

wget -P /home/pi/ https://de.wordpress.org/latest-de_DE.zip

Als nächstes wird das ZIP-Archiv entpackt.

unzip /home/pi/latest-de_DE.zip -d /home/pi

Webseiten werden im Verzeichnis /var/www/html gespeichert. Daher werden die WordPress-Dateien nun in dieses Verzeichnis verschoben.

sudo mv /home/pi/wordpress/* /var/www/html/

Da der Apache mit dem Systembenutzer „www-data“ läuft, die WordPress Dateien aber mit dem Benutzer „pi“ erstellt wurde, müssen die Berechtigungen noch auf den User des Webservers geändert werden. Ansonsten wären beispielsweise keine Updates von WordPress über das Webinterface möglich.

sudo chown -R www-data: /var/www/html/

Die weitere Einrichtung von WordPress kann im Webbrowser erfolgen. Hierzu gib man einfach wieder die IP-Adresse des Raspberry Pi im Webbrowser an. Nun sollte man von der Installationsroutine von WordPress empfangen werden. Mit einem Klick auf „Los geht’s“ wird die Einrichtung gestartet.

Die Fragen zur Einrichtung der Datenbank werden wie folgt beantwortet.

• Datenbank-Name: wordpress
• Benutzername: wordpress
• Passwort: Das Passwort, welches im Schritt „Datenbank für WordPress anlegen“ vergeben wurde
• Datenbank-Host: localhost
• Tabellen-Präfix: Entweder unverändert wp_, oder mit beliebigem Zusatz, z.B. wpraspi_

Wenn die Zugangsdaten für die Datenbank korrekt eingetragen wurden, werden mit einem Klick auf „Senden“ die Tabellen für WordPress in der Datenbank angelegt.

Im nächsten Bildschirm wird bereits die Webseite selbst konfiguriert. Der Benutzer der hier angelegt wird, ist später der Administrator der Seite. Mit einem Klick auf „WordPress Installieren“ wird die Installation abgeschlossen.

Nach einem kurzen Moment sollte die Einrichtung abgeschlossen sein. Über die IP-Adresse kann nun die WordPress-Webseite auf dem Raspberry Pi aufgerufen werden.

http://192.168.30.128

Mit dem Zusatz wp-login.php kann man sich im Backend von WordPress einloggen und Beiträge schreiben und bearbeiten.

http://192.168.30.128/wp-login.php

Einige Worte zum Thema Sicherheit

Dieses Setup ist für die Nutzung in den eigenen vier Wänden gedacht, wo der Rasberry Pi hinter einem Router geschützt ist. Es soll Interessierten einen Einstieg zum Thema „Eigener Webserver“ schaffen. Hier wurde eine Plattform geschaffen, die erste Experimente mit dem Betrieb und der Konfiguration eines eigenen Webservers ermöglicht.

Soll auf dem Raspberry Pi eine öffentliche, aus dem Internet zugängliche Webseite betrieben werden, so sind weitere Maßnahmen erforderlich. Eventuell verfasse ich hierzu noch einen weiteren Beitrag, allerdings scheue ich derzeit noch den Aufwand, da es sehr schnell sehr komplex wird.

Wer trotzdem mit dem Gedanken spielt, die Webseite aus dem Internet, beispielsweise über eine DynDNS-Domain zugänglich zu machen, der sollte sich auf jeden Fall mindestens mit untenstehenden Themen auseinander setzen. Es handelt sich dabei nicht um eine vollständige Checkliste.

Wenn man sich aber Mühe macht, sich mit der sicheren Konfiguration seines Systems und der laufenden Überwachung auseinander zu setzen, dann spricht auch nichts dagegen einen öffentlich verfügbaren Webserver auf einem Raspberry Pi zu betreiben.

Transportverschlüsselung via HTTPS

Die wichtigste Sicherheitsmaßnahme ist wahrscheinlich das Einrichten einer Transportverschlüsselung über https. Wenn der Webserver nur wie oben beschrieben eingerichtet ist, werden alle Daten unverschlüsselt übertragen. Das bedeutet, dass auch Benutzername und Passwort für WordPress unverschlüsselt übertragen werden.

Wenn der Zugang mittels Portfreigabe und DynDNS bereits eingerichtet ist, kann ein Verschlüsselungszertifikat von Let’s Encrypt relativ einfach und automatisiert erstellt werden. Wer die offizielle Software Certbot verwendet, kann sogar Apache automatisch konfigurieren lassen.

Apache restriktiver konfigurieren

Wenn der installierte Apache-Webserver aktuell ist, ist er natürlich nicht unsicher. Standardmäßig ist er aber sehr gesprächig konfiguriert und gibt freudig Auskunft über seine Version und das installierte Betriebssystem. Beides sollte man in der Konfigurationsdatei /etc/apache2/apache2.conf deaktivieren mit den Einträgen ServerTokens Prod und ServerSignature Off.

Außerdem sollte über die .htaccess-Datei im WordPress-Verzeichnis die Verzeichnisauflistung deaktiviert werden. Standardmäßig zeigt Apache beim Aufruf eines Verzeichnisses, in welchem sich keine index.html befindet, eine Liste mit allen in diesem Verzeichnis vorhandenen Dateien an. Dies deaktiviert man mit dem Eintrag Options -Indexes in der .htaccess.

PHP Funktionen einschränken

Die Konfiguration von PHP erfolgt in dieser Konfiguration in der Datei /etc/php/7.0/apache2/php.ini. Grundsätzlich gilt für PHP das selbe wie für Apache. Wenn man die Software auf dem aktuellen Stand hält, ist die Software selbst höchstwahrscheinlich nicht unsicher. Allerdings bietet PHP eine Vielzahl von Funktionen und Möglichkeiten um Code auf dem Computer auszuführen. Wenn also ein PHP-Projekt eine Sicherheitslücke hat, kann dies den kompletten Server kompromittieren. Aus diesem Grund sollte PHP so restriktiv wie möglich konfiguriert werden. Eine Option die nicht angeboten wird, kann auch nicht ausgenutzt werden.

Hervorheben möchte ich drei Einstellungen.

open_basedir: Begrenzt die Dateien, auf die von PHP zugegriffen werden kann, auf einen bestimmten Ordner inklusive seiner Unterordner. Hier sollten alle Ordner angegeben werden, in denen man PHP-Dateien speichert. Beispielsweise /var/www/html. PHP-Dateien in anderen Ordnern werden nicht ausgeführt.

disable_functions: ermöglicht das Deaktivieren einzelner Funktionen aus Sicherheitsgründen. Die Funktionen werden als kommagetrennte Liste von Funktionsnamen übergeben. Mit disable_functions wie untenstehend, sollte WordPress immer noch funktionieren.

disable_functions = show_source,popen,exec,shell_exec,system,passthru,curl_multi_exec,parse_ini_file,pcntl_exec,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,proc_open,

allow_url_fopen: ermöglicht es auf entfernte URL-Objekte wie auf lokale Dateien zuzugreifen. Sofern möglich sollte dies deaktiviert werden.

WordPress sicher konfigurieren

Auch für WordPress gilt: die aktuellste Version ist die sicherste Version. Daher WordPress immer zeitnah, nach Möglichkeit automatisch, updaten. Die häufigsten Angriffspunkte bei WordPress entstehen jedoch über alte, schlecht gepflegte Plugins. Aus diesem Grund sollten Plugins sparsam und nur aus vertrauenswürdigen Quellen installiert werden.

Ansonsten möchte ich, was die Absicherung von WordPress angeht, gerne auf die mehrteilige Artikelreihe „WordPress absichern“ im Blog von Mike Kuketz verweisen. Die Reihe (und den ganzen Blog) halte ich für sehr lesenswert.

SSH-Zugang absichern

Am besten ist es, man gibt den SSH-Zugang, der standardmäßig auf Port 22 lauscht, gar nicht über eine Portfreigabe ins Internet frei. Die Administration des Webservers ist dann nur von zu Hause aus möglich. Will man SSH trotzdem ins Internet freigeben, sollte man den Zugang zusätzlich schützen.

• Die Sicherheit hängt vom Passwort ab. Je komplexer und länger desto besser
• Am besten den Standardport 22 auf einen anderen, hohen Port verlegen. Automatisierte Angriffe auf einen geöffneten Port 22 werden garantiert innerhalb sehr kurzer Zeit erfolgen.
• Zugang über SSH am besten nur via Public-/Private-Key erlauben und den Zugang mittels Passwort verbieten. Dann haben auch die automatisierten Angriffe keine Chance.
• Wenn Zugang mit Passwort erlaubt werden soll, IP-Adressen von, denen fehlgeschlagene Loginversuche erfolgen, sperren. Z.B. mit fail2ban.

Updates, Updates, Updates

Die wichtigste Maßnahme zum Schutz aller Computersysteme und sind regelmäßige Updates. Für den Webserver auf dem Raspberry Pi bedeutet dies ein regelmäßiges

sudo apt update && sudo apt dist-upgrade

Allerdings wird weder Raspbian, noch die mitgelieferte Software bis in alle Ewigkeit mit Updates versorgt. Wenn eine Raspbian-Version keine Unterstützung mehr bekommt, muss auf die neue Version aktualisiert werden. Dies erfolgt nicht automatisch mit dem oben angegebenen Befehl, sondern muss manuell vorgenommen werden. Infos hierzu werden, nach der Veröffentlichung einer neuen Raspbian-Version, auf der Webseite raspberrypi.org bekannt gegeben.