Wer von digitaler Souveränität und Datenhoheit spricht, muss bei seiner eigenen Infrastruktur anfangen. Die Realität des modernen Webs sieht leider anders aus: Die meisten Websites sind wandelnde Daten-Lecks, vollgestopft mit US-CDNs, Google Fonts, Consent-Banner-Lügen und 47 verschiedenen Trackern.
Wer so arbeitet, mietet nur Zugang zu fremder Infrastruktur und gibt die Kontrolle ab.
NeoBild ist der technische Gegenentwurf. Dieses Projekt ist ein Manifest für absolute Datenhoheit. Der Tech-Stack dieser Website ist kein Zufall, sondern ein öffentliches Bekenntnis zu Minimalismus und Kontrolle. Hier ist das Setup – die unsichtbare Festung.
1. Das Fundament: Europäisches Hosting & Lokale Kontrolle
Kein „Serverless“, kein AWS, kein Cloudflare. Die Basis bildet ein klassisches „Webhosting S“ bei Hetzner in Deutschland. Die Daten bleiben in der EU, unterliegen nicht dem US CLOUD Act und die Latenz stimmt.
Das Setup hat eine bewusste Restriktion: Es gibt keine interaktive SSH-Shell. Direkte Befehle wie wp-cli sind serverseitig blockiert. Die Lösung? Die gesamte Administration und Entwicklung findet lokal und offline auf meinem Android-Gerät über die Kommandozeilen-Umgebung Termux statt. Skripte werden lokal geschrieben und asynchron via scp und sftp im Batch-Modus auf den Server gepusht. Mein Handy ist der Leitstand.
2. Der Core: Minimalismus statt Plugin-Bloat
Das Herzstück ist eine frische WordPress-Standardinstallation, aber nicht als Blackbox, sondern als kontrollierbares Redaktionssystem.
- Das Theme: GeneratePress. Extrem schlank, exzellentes HTML und keinerlei Tracking-Abhängigkeiten.
- Die Härtung: Statt 20 ressourcenfressende Security-Plugins zu installieren, nutze ich maßgeschneiderte Must-Use-Plugins (MU-Plugins), die ich direkt in
wp-content/mu-plugins/ablege. - Kein Nach-Hause-Telefonieren: WordPress.org Emojis, oEmbeds, Gravatare und externe Requests sind im Core hart via PHP deaktiviert. XML-RPC ist abgeschaltet und die REST-API nur für authentifizierte Nutzer erreichbar.
3. Die unsichtbare Festung: Security & Analytics
Da kein fail2ban auf Shared Hosting läuft, ist die Angriffsfläche massiv verkleinert.
- The Secret Door: Der klassische
wp-login.phpVektor existiert faktisch nicht mehr. Ein lokales MU-Plugin fängt unautorisierte (GET) Aufrufe ab. Wer den geheimen URL-Parameter nicht kennt, sieht nur einen 404-Fehler. Scanner tappen im Dunkeln. - Abgesicherte Konfiguration: Die
wp-config.phpist gegen interne Manipulation gesperrt (Datei-Editor im Dashboard deaktiviert), undhtaccess-Regeln verhindern die Ausführung von PHP-Malware im Upload-Ordner. - Souveränes Tracking: Google Analytics ist ein absolutes No-Go. Für grundlegende Webanalysen läuft Matomo (100 % DSGVO-konform). Um zu sehen, wer wirklich an die verschlossenen Türen des Servers klopft, lade ich die Apache-Logs herunter und analysiere sie lokal, blitzschnell und ohne Serverlast in Termux mit DuckDB.
Fazit: Pragmatismus statt Hype
Dieses Setup beweist: Man braucht keine teuren Cloud-Abonnements oder proprietäre Plattformen, um ein sicheres und performantes System zu betreiben. Man braucht nur offene Standards, etwas Kommandozeilen-Wissen und den Willen, seine Infrastruktur selbst zu besitzen.
Der einzige Weg ist vorwärts – und lokal.