Günstige Webhoster gehören verboten. Punkt. Neulich habe ich erst wieder eine Erfahrung gemacht, bei der ich glatt rückwärts vom Stuhl gefallen bin. Hintergrund: Veraltete Software, kritische Konfiguration, fehlende Flexibilität. Selbst bei Webhosting mit SSH-Zugriff (
engl.: ssh access) sieht die Sache meinen Erfahrungen nach nicht immer besser aus. Oftmals erhält man diesen nur bei Virtuellen Servern, und auch dann oft nur stark verkrüppelt: Kein Auth per Public Key, keine Cron-Jobs, kaum Ablagemöglichkeiten und keine editierbaren
.profile /
.bashrc -Dateien. Meine
Erfahrungen mit Systix schildere ich neutral in diesem Artikel.
Testszenario: Wordpress 3.7.1
Test auf SSH-Hoster Uberspace
Für eine andere Webpräsenz sollte ich Administrator sein. Kein Problem, dachte ich mir. Schnell ein Wordpress installiert und ein paar statische Seiten angelegt - den Rest erledigen Plugins. Die Testseite habe ich
auf meinem Überspace gehostet. Die Installation und der Betrieb verliefen reibungslos, wie gewohnt. zwischen PHP 5.2 und 5.5 ist derzeit (Stand: November 2013!) alles konfigurierbar. Die Webanwendung läuft wunderbar performant.
Umzug auf alternativen Hoster
Die Seite sollte nach ersten Tests also zum Zielhoster umgezogen werden. Dieser heißt Systix. Gleich Vorweg:
Finger weg von Systix und deren Angeboten! Es handelt sich um einen vergleichbaren
billigen Hoster. Das heißt: Bei solch einem günstigen Webhosting wird an der einen oder anderen Ecke eingespart. Das ist soweit normal und stellt üblicherweise kein besonderes Problem dar. Der Umzug von Wordpress gestaltete sich wie folgt.
Datenbank und Dateien packen
Auf dem Uberspace müssen die Daten zunächst gesichert werden. Das geht dank Shell-Zugriff auch mit größeren Datenbanken und Archiven einwandfrei, da diese nicht dem PHP-Timelimit (
max_execution_time ) unterliegen.
mysqldump -p -u dbuser dbtable | gzip -7 > wordpress.sql.gz
tar cjf wordpress.tar.bz2 /home/user/websites/homepage
Der erste Befehl erstellt einen Datenbank-Dump, der zweite Befehl packt das Verzeichnis mit den HTML-Dateien ein. Damit sind alle wichtigen Daten der Webanwendung gesichert und können auf dem Zielsystem bequem((?) entpackt werden.
Datenbank und Dateien übertragen
Nun wollte ich mich auf dem Zielsystem anmelden. Das sah so aus:
user@arbeitspc ~ $ ssh-copy-id web0@vps1119.systix.de
web0@vps1119.systix.de's password:
bash: /var/www/web0/.ssh/authorized_keys: Keine Berechtigung
Oh mein Gott - mir schwarnt übles. Ein verkrüppelter SSH-Zugang. Warum sollte man bei SSH auch den Authorized-Keys-Mechanismus ausschalten? Es ist viel sicherer als ein Passwort! Die Antwort ist möglicherweise: Man möchte verhindern, dass mehrere User den Server nutzen. Nun gut, dann wird halt das Passwort getippt. Andererseits dürfte eine Standardeinstellung von Confixx daran Schuld sein, denn so wird dieses System gemanaged. Daher wollte ich mir zunächst noch die wichtigsten Befehle als Aliase einrichten, um schnell und komfortabel arbeiten zu können. Auch das ist leider bei Systix zumindest in der Standardeinstellung mit Confixx nicht möglich.
web0@vps1119:~$ touch .profile
touch: kann „.profile“ nicht berühren: Keine Berechtigung
Ich darf also auf meinem Virtual Private Server von Systix mit einem web-User nicht einmal mein Profil anpassen. Großartig
schlecht, Systix! Der Hintergrund - ich kann nur mutmaßen: War ein Angreifer auf dem System, sollen dort nicht heimlich Befehle eingeschleust werden können. Letztendlich gelang es natürlich trotzdem, wenngleich auch sehr unkomfortabel. Nicht einmal eine vernünftige Bash-Completion war mir erlaubt.
gzip hat tatsächlich alle Dateien angeboten, nicht nur die
*.gz -Dateien. Traurig.
Die Datenbankeinstellungen anpassen
Wordpress braucht natürlich neue Zugangsinformationen zur »neuen« Datenbank. Erfreulicherweise gibt es dort mehrere Datenbanken, um verschiedene Projekte sauber voneinander zu trennen. Dass mehrere Datenbanken sich einen User bzw. ein Kennwort teilen, ist dabei nichts sonderlich unnormales. Bei Systix aber sind Zugangskennung vom Confixx, SSH-Zugang und Datenbankkennung eines Web-Users ein und die selbe Benutzerkennung und Passwort! Von dieser
schrecklichen Konfiguration wird nichts im Angebot erwähnt!
Seite testen
Beim ersten Aufruf der Seite kam dann das vorzeitige Ende des Umzugversuches zu Tage. Es war eine Meldung, mit der man im Jahr 2013 nicht mehr unbedingt rechnet.
Dein Server läuft mit der PHP-Version 5.2.0-8+etch10, aber WordPress 3.7.1 benötigt mindestens die Version 5.2.4.
Abgesehen von den tatsächlich falsch kodierten Umlauten war ich leicht irritiert. Für dieses Angebot zahlt man knapp € 13,- im Monat (Stand: November 2013). Debian Etch? PHP 5.2? Das habe ich doch schon lange nicht mehr gehört.
Versionsstände bei billigen Hostern
Meine
Erfahrungen mit Hostern - egal ob günstig, billig oder kostenlos - haben sich wieder bestätigt. Irgendwas ist immer faul. Zusammengefasst in einer Tabelle stellt sich die Versionierung gängiger Webserver-Komponenten wie folgt zusammen:
Alte Versionen bei Systix VPS| Software | Version | Supportende (EOL) | Quelle |
| Betriebssystem | Debian Etch (v4.0) | 2010-02-15 | Wikipedia |
| PHP-Interpreter | PHP 5.2.0 | 2011-01-06 | Wikipedia |
| Webkonfiguration | Confixx 3.0 | 2011-10-01 | Parallels KB |
| Webserver | Apache 2.2.3 | 2007? | Wikipedia |
| Datenbank-GUI | PhpMyAdmin 2.9.1.1 | 2007? | pmaWiki |
Ja, tatsächlich: Auf diesem Virtual Private Server sind alle Versionen in der Grundinstallation gnadenlos veraltet. Und nicht erst seit gestern, einer Woche oder ein paar Monaten. Die Versionen sind
seit vielen Jahren veraltet - in der IT eine Ewigkeit!
Alter Wein in alten Schläuchen
Nunja, der Server wäre also wenigstens vor drei Jahren mit einem Update gut gewesen. Aber sicher kann man bei Systix auf ein neues Betriebssystem aktualisieren - oder? Das
aktuelle Angebot von Systix für Virtual Private Server (Auszug: Betriebssysteme):
- Trauerspiel: Systix ist total veraltet.
Ich wäre am liebsten hinten umgefallen. Alle Betriebssysteme sind hoffnungslos veraltet. Sie
eigenen sich nicht zum Hosting, nicht zum Webhosting, nicht für Wordpress, Joomla oder sonstige Webanwendungen. Peinliche Beschreibung: Hinter dem ersten »
i« (neben: Betriebssysteme zur Auswahl) verbirgt sich folgender Text:
Plesk 7 (optional)
Plesk 7 ist die weltweit am häufigsten eingesetzte Software für Server-Administration und ab monatlich xx,xx Euro brutto (xx,xx Euro netto) erhältlich.
Ja, hier steht tatsächlich »xx,xx Euro«. Wahrscheinlich hat hier niemals jemand gefragt, ob er Plesk nutzen könnte. Des weiteren werden die beworbenen Komponenten (PHP, Apache etc.) nicht mit Versionsnummer genannt. Damit ist das Angebot schon für sich wertlos. Ein PHP 5 könnte auch in ein paar Jahren noch PHP 5.0 bedeuten, was eben nicht zum Hosting taugt.
Erfahrung mit Systix
Zusammengefasst: Lasst die Finger von diesem Hoster. Man handelt sich hier nur allerlei Sicherheitslücken ein, da keines der eingesetzten Produkte noch im Support ist. Gerade Confixx war nie ein Kind der Softwarequalität. Apache und PHP sind zudem beliebte Angriffsziele. Da in den von Systix bereitgestellten, veralteten Versionen keine Sicherheitslücken mehr gefixt werden, steht dem Angreifer nun wirklich Tür und Tor speerangelweit offen. Dafür zahlt man € 13,-: Für völlig veraltete Software. Nicht einmal Wordpress ist darauf lauffähig, das braucht nämlich - wie oben angegeben - inzwischen PHP 5.2.4. Und das ist noch gnädig, wenn man bedenkt, dass auch hier der Support vor JAHREN bereits auslief. Es wird wohl nicht lange dauern, bis Joomla etc. nachziehen - daher ist Systix für keinen geeignet. Dominiert wird das Angebot von geringer Zusicherung. Weder wird eine Uptime (Verfügbarkeitszeit) zugesagt, noch ist die CPU-Zeit mit »bis zu 500MHz« nicht gerade ein Renner. Bei rechenintensiven Anwendungen wie etwa Piwik dürfte der Host hier entweder schnell in die Knie gehen, oder unnötig schnell in PHP seine
max_execution_time erreichen. Auch das Webangebot ist nüchtern betrachtet nicht moderner Neben PHP 5 - auch ohne genauere Bezeichnung - wird noch PHP 4 angeboten. Das ist seit 2008 nicht mehr im Support. Es wird einem also Software angeboten, die weit über fünf Jahre alt ist - eine grandiose Frechheit!
Vergleich mit Freehostern
Sogar Funpic und Ohost machen es
inzwischen besser als Systix. Dort ist man immerhin bei PHP 5.3 angekommen. Das ist auch im Interesse des Betreibers, da die Sicherheitslücken sich auf andere User auswirken können. Meine Erfahrung ist daher sogar bei FreeHostern besser. Ich gehe soweit und sage sogar: Lieber free hosting als Systix!
Systix-Vergleich mit Uberspace und Schokokeks
Eigentlich sollte dieser Vergleich nicht auftauchen, zu ungleich sind die Bedingungen. Bei Uberspace und Schokokeks.org kann man - im Gegensatz zu Systix - folgendes machen:
- Beliebig viele kostenlose SSL-Zertifikate dank SNI. Hier kommen keine zusätzlichen Kosten für IPs oder ähnliches auf einen zu.
- Aktuelle PHP-Versionen, auswählbar.
- Aktuelle Software, immer gepflegt vom Betreiber.
- Hoster mit SSH: Vollständige SSH-Umgebung, komplett anpassbar. Dazu gehören: SSH-Key-Login, Anpassen der Umgebung, Aliase, etc.
- Dokumentation: Uberspace Wiki und Schokokeks.org Wiki. Hier sind auch alle verfügbaren PHP-Versionen aufgelistet, der Wechsel zwischen diesen ist genauestens erklärt.
- IPv6-Support. Auch das bietet Systix nicht.
- Mehr fürs Geld. Für durchschnittliche gleiche Entgelte gibt es bei Schokokeks.org und Uberspace mehr Leistung und mehr Webspace als bei Systix, bezogen auf das Webhosting-Angebot (Stand: Nov. 2013).
Fazit und Ratschlag
Keine bezahlte Werbung, sondern eine gut gemeinte Erfahrung als Ratschlag: Uberspace und schokokeks.org bieten für weniger Geld mehr Leistung mit aktueller Software. Wechselt dorthin, nicht zu Systix.
