Wir bauen vor allem Online-Redaktionssysteme. Die müssen auf einem Server laufen. Online halt. Früher war das irgendwie einfacher. In den letzten Jahren hat sich hier viel getan und wir glauben, es ist klug, einmal zu erklären, wie und mit wem wir unser Hosting machen.
Hosting besteht für uns als Agentur nicht nur aus „Das Zeug muss irgendwo laufen“, sondern aus professioneller Sicht auch aus all den Facetten und Konsequenzen, die sich daraus ergeben, Server ständig und öffentlich laufen zu lassen. Um dem gerecht zu werden, blicken wir auf verschiedene Facetten des Themas und der Beitrag gliedert sich entsprechend in folgende Abschnitte …
- Sicherheit
- Hochlast
- Bots
- Unsere Lösungen
- Freistil
- Flying Circus
- Raidboxes
- Unsere TAvDs
- Summa Summarum
Sicherheit
First things first. WordPress gehört – vermutlich nach Windows – zu den meist angegriffenen Software-Anwendungen überhaupt. Drupal – das wir auch unterstützten – ist hier etwas anders aufgestellt, aber grundsätzlich ähnlich angreifbar. Wir wissen von einigen Seiten, die wir betreuen, dass sie jeden Tag mehreren zehntausend Angriffen ausgesetzt sind. Die meisten davon automatisiert.
Deswegen arbeiten wir schon seit 14 Jahren mit dem Hoster Freistil eng zusammen, die sich von Anfang an einem radikalen Sicherheitskonzept verschrieben haben: Aller ausführbarer Code ist in einem zentralen Git-Repository und kann nur per SSH und Git auf die Live-Server gebracht werden. WordPress und Drupal können selbst keinen ausführbaren Code auf die Server schreiben. Damit ist eine der größten Sicherheitslücken, ja eine ganze Reihe von Klassen von Sicherheitslücken, kategorisch ausgeschlossen.
Diese hohe Sicherheit hat allerdings auch ihren Preis. Wir müssen auf automatisierte selbstständige Updates verzichten. Wir müssen neue Versionen von WordPress und Drupal, sowie von Third-Party-Erweiterungen, wie Modulen, Plugins und Themes, prüfen, lokal einspielen, testen, ausrollen und dann live noch einmal testen.
Hochlast
Früher war die Geschwindigkeit von Webseiten kaum ein relevantes Thema. WordPress und Drupal waren in ihren Frühzeiten sehr effiziente Codebasen und konnten einzelne Anfragen sehr schnell beantworten. Extreme Mengen an Anfragen oder extreme Mengen an Daten im Redaktionssystem stellten aber auch schon früher™️ Herausforderungen für Online-Redaktionssysteme dar. Deswegen hat Freistil sehr früh einen sog. Frontend-Cache von Haus aus in allen Setups integriert.
Spätestens seitdem Google eine ganze Reihe von Performance-Faktoren in die Bewertung von Seiten und Suchergebnissen integriert, ist Performance für fast alle Setups eine relevante Dimension. Zudem genießen es sowohl Besucher:innen als auch Redakteur:innen, die täglich mit einer Seite arbeiten, wenn diese schnell reagiert. Überdies haben wir eine Reihe von Kund:innen, die regelmäßig für eine Weile im Fokus der Öffentlichkeit stehen, oder über sehr erfolgreiche Geschäftsmodelle verfügen, die phasenweise extreme Anstiege bei den natürlichen Zugriffen mit sich bringen. Auch solche Fälle können wir durch eine gute Hochlast-Architektur gut abbilden.
Bots
Wirklich hässlich geworden ist das Thema Hosting aber erst in den letzten Jahren. Bots waren schon immer ein Aspekt des Hostings, denn irgendwoher müssen die Suchmaschinen ja wissen, dass es etwas Neues auf einer Webseite gibt. Google, Yahoo und andere Anbieter schickten deswegen sog. Crawler, um die Inhalte auf den Webseiten auszulesen und Veränderungen im Blick zu behalten. Selten allerdings mehr als eine Anfrage pro Seite pro Tag – wobei Startseiten und wichtige Landingpages vereinzelte Ausnahmen bildeten.
Dann begann eine Eskalation, die bis heute anhält. Zunächst erkannten wir, dass Bots aus Ostasien die Seiten unserer Kund:innen ohne jegliche Rücksicht auf gängige Standards, wie die Robots.txt, gecrawlt haben. Der Zweck dieses massiven Sammelns von Daten war und ist nicht völlig klar. Es belastet aber unsere Maschinen trotzdem seit Jahren.
Seit der Veröffentlichung von ChatGPT und dem weltweiten Wettrüsten unterschiedlicher KI-Modelle hat sich die Situation aber drastisch verschlimmert. KI-Bots – sowohl aus Asien und Russland als auch aus den USA – produzieren inzwischen ein Millionenfaches an Anfragen der natürlichen Zugriffe und der Anfragen der Suchmaschinen.
Unsere Lösungen
Aktuell bieten wir von uns aus Hosting in folgenden Varianten an …
- Freistil – Höchste Sicherheit, hohe Performance, hohe Standardisierung
- Flying Circus – Höchste Sicherheit, hohe Performance, hohe Individualisierbarkeit
- Raidboxes – Standard-Sicherheit, hohe Performance, initial niedrigste Kosten
In den nächsten Abschnitten werfen wir einen detaillierteren Blick auf die drei Lösungen. Bei der Wahl unserer Partner achten wir auf eine Regel, die wir schon sehr lange versuchen, wo immer möglich, zu beherzigen: So klein, dass man die Menschen kennt, mit denen man arbeitet, und selbst kein unbedeutender Kunde ist, aber … dann doch auch so groß, dass man nicht der wichtigste Kunde ist.
Freistil
Freistil ist ein Hoster, der offiziell in Irland zuhause ist. Das liegt aber vor allem daran, dass Jochen, der Gründer, einfach schon immer in Irland leben wollte und sich mit der Gründung von Freistil diesen Traum erfüllt hat. Die Server stehen vollständig in Deutschland. Freistil hat aus unserer Sicht eine ganze Reihe von Vorteilen:
- Extrem hohe Sicherheit durch vollständiges Git-Deployment
- Extrem hohe Performance durch Frontend-Caching mit Varnish
Es gibt aber auch Nachteile …
- Alle Updates müssen von Hand gemacht werden, was regelmäßige Aufwände erzeugt.
- Vergleichsweise hohe Kosten mit 150 Euro für eine reguläre Freistil-Box oder 50 Euro mit einer kleinen Freistilbox Solo oder auf unserem sog. Shared Cluster
- Kunden bei Freistil, insb. die auf unserem Shared Cluster, leiden manchmal unter Problemen, die andere Seiten und Kund:innen erzeugen.
- Geringe Anpassbarkeit der gehosteten Software-Komponenten durch hohe Standardisierung
Flying Circus
Flying Circus sind ein Spezial-Hoster aus Halle an der Saale, deren Server auch vollständig in Deutschland stehen. Sie haben sich auf extrem hohe Verfügbarkeit und besonders kompetenten Support spezialisiert, bei gleichzeitig maximaler Flexibilität bei den gehosteten Systemen.
- Extrem hohe Sicherheit
- Extrem hohe Performance durch Frontend-Caching mit Varnish
- Maximale Anpassbarkeit an die Bedürfnisse der Kund:innen und Projekte
- Extrem gutes Monitoring und (optional) proaktives Eingreifen durch das Flying-Circus-Team
Das Hosting bei Flying Circus bringt aber auch Nachteile mit sich:
- Höchste Hosting-Kosten aller drei Standard-Anbieter
Raidboxes
Raidboxes sind ein WordPress-Spezial-Hoster aus Münster, deren Server ebenfalls vollständig in Deutschland stehen. Es gibt eine Reihe von Vorteilen für das Hosting bei Raidboxes:
- Niedrige Einstiegskosten
- Niedrige Betriebskosten durch vollautomatische Updates
- Extrem hohe Performance durch Frontend-Caching mit Varnish
- Bisher sehr gute Handhabe von AI-Bots
Daraus ergeben sich aber auch direkt Nachteile …
- Deutlich erhöhte Angreifbarkeit, da das System selbst Code auf den Server schreiben darf
- Im Zweifel schwierigeres Debugging, weil nicht die ganze Code-Basis in einem Repository liegt
- Multisite-Setups sind vergleichsweise kostspielig
Unsere TAvDs
Wir haben schon früh in der Geschichte der Firma erkannt, dass es klug ist, in den Bereichen, die unter unseren Anwendungen liegen, kompetent zu sein. Gleichzeitig sind unsere Partner, insb. Freistil und Flying Circus seit jeher überzeugt von der DevOps-Bewegung, sodass es schnell nahe lag aus unserem Team einige Entwickler:innen mit einer Extra-Rolle als Schnittstelle zur Server-Administration zu versehen: die technischen Ansprechpartner vom Dienst, kurz TAvDs.
Unsere TAvDs sind kein eigenständiges Vollzeit-Team, sondern stellen nur einen Teil ihrer Arbeitszeit für DevOps-Aufgaben zur Verfügung. Sie sind also weiterhin Full-Stack-Entwickler:innen und Projektleiter:innen bei uns und kennen also die Anwendungen, um die es im Zweifel geht, auch sehr gut von innen. Gleichzeitig sind sie die Schnittstellen zu unseren Hostern und machen häufig die Erstreaktion, wenn es Probleme in der Server-Infrastruktur gibt.
Dabei beschäftigen sich die TAvDs nicht nur mit Notfällen, sondern auch mit einer steten Optimierung der Systeme, Standardisierung von Abläufen und Setups, sowie Dokumentation und Verbesserung der Infrastruktur für die Entwicklungsaufgaben. In den letzten Jahren ist – durch die oben aufgezeigten Herausforderungen – der Anteil der DevOps-Arbeit bei den TAvDs stetig gestiegen, sodass wir nun zum Jahreswechsel übergegangen sind, einen Anteil der TAvD-Arbeit in unser Hosting einzupreisen. Da fast alle diese Herausforderungen mehrere Kund:innen und Projekte betreffen, profitieren künftig alle von dieser Verbesserung.
Summa Summarum
Die Seiten unserer Kund:innen (und unsere eigenen) am Laufen zu halten und den aktuellen Ansprüchen zu genügen, ist heute schwieriger denn je. Aufwand und Kosten steigen parallel zur Komplexität des Umfeldes, in dem wir agieren. Wir denken allerdings für die unterschiedlichen Grundsituationen, in denen sich unsere Kund:innen befinden, jeweils gute und im Zweifel auch anpassbare Lösungen gefunden zu haben, um den jeweiligen Prioritäten der verschiedenen Projekte gerecht zu werden.
Selbstverständlich agieren wir auf expliziten Wunsch von Kund:innen oder den Bedarf innerhalb von Projekten auch außerhalb dieses Rahmens. Eine ganze Reihe unserer Kund:innen hosten ihre Seiten selbst oder haben Verpflichtungen, die andere Hosting-Lösungen vorgeben. Hier sind wir selbstverständlich flexibel genug, um (fast) allen Wünschen entgegenkommen zu können … mit den sich daraus ergebenden Mehraufwänden.
Am Ende gilt die Weisheit …
There is no cloud, just someone else’s computer
Das Aufmacherbild ist von Derek Sutton, steht unter der Unsplash-Lizenz und ist damit annähernd gemeinfrei.
