Mit statischen Webseiten CMS-Hackern die kalte Schulter zeigen

2015-03-01 09:50 (Kommentare: 1)

CMS Sicherheit
© Schlierner - Fotolia.com

In diesem Artikel stellen wir euch Lösungen für statische Webseiten vor, mit denen ihr CMS-Hackern ein Schnippchen schlagt, ohne dabei einen altbackenen Webauftritt ins Web zu stellen.

Der Unterschied zwischen statischen Webseiten und dynamischen CMS-Seiten

Dynamische CMS-Seiten erzeugt der Webserver beim Aufruf einer Seite. Meist fügt dieser dazu auf dem Dateisystem abgelegte Daten mit Inhalten zusammen, die ein Datenbankabruf liefert. Bei statischen Webseiten liegen die Daten für jede Unterseite komplett zusammengebaut auf dem Dateisystem. Dadurch wird weder eine Skriptsprache noch ein Datenbankzugriff benötigt. Nicht verwechselt werden sollten die sogenannten statischen Seiten des CMS Wordpress mit statischen HTML-Seiten. Die speziellen Wordpress-Seiten werden dynamisch erzeugt, auch wenn deren Bezeichnung etwas anderes suggerieren mag.

Jekyll

Jekyll ist ein Ruby-basierender Generator für statische Webseiten. Dieser arbeitet mit Template-Files und CSS, wie es auch von CMS-Systemen bekannt ist, und kommt mit einem eingebauten Webserver zum Testen des generierten HTML daher. Den Inhalt eurer Webseiten erstellt ihr mit Liquid oder Markdown. Mittels Plug-In ist auch das Schreiben der Inhalte per Textile möglich.

Sind die Inhalte vorhanden, rendert Jeckyll auf Kommando die Daten und fügt Inhalte und Templates auf eurem lokalen Rechner zusammen. Die Dateien für die fertige Website legt der Generator auf eurem Dateisystem ab – fix und fertig zur Veröffentlichung. Die Daten müssen nur noch auf den FTP-Server geladen werden.

Der Haken? Die Arbeit mit Jeckyll ist etwas unmodern. Die Software läuft zur Zeit nur unter Linux, Unix und Mac. Die Konsole dient zum Managen des Systems und ein WYSIWYG-Editor gehört ebenfalls nicht zum Lieferumfang.

So sieht die Arbeit mit Jekyll aus: https://www.youtube.com/watch?v=iWowJBRMtpc
Link zur Projektseite: http://jekyllrb.com/

Pelican

Der Pelican Website Generator basiert auf der Skriptsprache Python. Inhalte lassen sich mit reStructuredText oder Markdown erstellen. Der Import bestehender Inhalte wird unter anderem für Wordpress XML, RSS/ Atom Feeds, Posterous und Tumblr unterstützt. Themes lassen sich mittels Jinja Templates anpassen.
Ebenso wie auch bei Jeckyll wird die Konsole zur Administration benutzt. Am besten sollte ein Mac, Unix oder Linux System verwendet werden.

Tipps um Pelican unter Windows zum Laufen zu bringen findet Ihr hier: http://spapas.github.io/2013/10/07/pelican-static-windows/.

Hier findet Ihr eine Anleitung, wie Ihr mit Pelican einen Blog betreibt: http://fjavieralba.com/pelican-a-static-blog-generator-for-pythonistas.html

Link zum Projekt: http://blog.getpelican.com/

 

StaticPress

StaticPress ist eine Lösung für statische Webseiten, die sich dem CMS Wordpress bedient. Das Prinzip dahinter ist einfach. Das Plug-In erzeugt aus den vorhandenen Wordpress-Daten die statischen HTML-Seiten. In der Konfiguration wird dabei eine alternative Basis-URL für die zu erzeugenden Seiten angegeben. Die Wordpress-Installation kann somit auf einem lokalen Rechner liegen oder auf dem Server mittels htaccess vor dem allgemeinen Zugriff verborgen werden.

Dies hat Vorteile: Es stehen praktisch alle Themes und Plug-Ins für Wordpress auch für die statischen Seiten zur Verfügung – jedoch mit der Ausnahme von Funktionalitäten, die eine Interaktion mit der Webapplikation verlangen. Die Kommentarfunktion wäre dafür ein Beispiel. Zudem reduziert sich der Aufwand für Aktualisierungen, sofern das generierende CMS nach außen abgeschottet ist und der Server nur die statischen HTML-Seiten verfügbar macht.

Link: https://wordpress.org/plugins/staticpress/

Vorteile statischer Webseiten

Content Management Systeme bieten viele Vorteile. Läuft das System, lassen sich neue Inhalte und Änderungen an bestehenden Seiten schnell und unkompliziert durchführen. Es gibt jedoch auch einen Nachteil der dynamischen Systeme, den zunehmend Webseitenbetreiber zu spüren bekommen: Der Webauftritt wird durch das CMS anfällig für Angriffe. CMS, Themes und Plug-Ins enthalten immer wieder Schwachstellen, die von Hackern entdeckt und ausgenutzt werden.

Statische Webseiten sind gegen solche Attacken immun. Das System zum Erzeugen der Webseiten ist getrennt vom Produktivzugriff. Das hat als Seiteneffekt noch einen weiteren Vorteil, eine hohe Seitengeschwindigkeit und weniger Serverlast. Der Server muss die Dateien nicht mehr zusammenbauen, sondern nur noch ausliefern. Auch entfallen Updates auf neuen CMS-Softwareversionen, um Sicherheitslecks zu beseitigen.

Tipp: Markdown Online Editoren

Den vorgestellten Website Generatoren fehlen WYSIWYG-Editoren. Mit einem kleinen Umweg über den Browser und einen Online-Editor wie https://stackedit.io/editor lässt sich ein Kompromiss finden. Dort kann auch für Einsteiger vergleichsweise einfach Markdown-Code erzeugt werden. 

Zurück

 
domainssaubillig © 2007-2024 Alle Rechte vorbehalten. | Support | AGB | Datenschutzerklärung | Impressum