[Lookbehind]

Hallo zusammen,

ich habe selbst absolut keine Erfahrung mit Blogging-Software. Ich halte mich für technisch versiert genug, um beinahe jede davon zum laufen zu bewegen, aber ich habe keinen Überblick darüber, wie welche man wie benutzt.
Nun soll ich aber eine bereit stellen, die dann ab nächstes Jahr benutzt werden soll. Es sollen einigermaßen regelmäßig Artikel mit relativ vielen Bildern und evtl vereinzelt Videos (Vermutung von mir, ist nicht wirklich eine Anforderung) von einer technisch nicht besonders versierten Person geschrieben werden. Die Zielgruppe ist ein recht kleiner Personenkreis. Jedenfalls für Internet-Verhältnisse (< 50 Menschen, langfristig wahrscheinlich sogar < 10).

Welche Empfehlungen gibt es da? Und warum?
Mir persönlich kommt sofort Wordpress in den Sinn, weil es die einzige Software in diese Richtung ist, die ich namentlich kenne. Benutzt hab ich die auch noch nie.

Anforderungen:

• Self-Hosted
  Der Blog soll auf (m)einem eigenen Server laufen. Webserver, Datenbank, Speicherplatz, ... da lässt sich ran kommen. Linux-Kenntnisse sind auch vorhanden.
• Einfache Bedienung
  Die Einrichtung darf meinetwegen technisch sein. Aber das Schreiben von Artikeln sollte möglichst einfach von der Hand gehen, insbesondere was Textformatierung und Bilder angeht.
• Foto-Upload
  Da ich jetzt schon weiß, dass die Person, welche die Artikel verfassen wird, sich nicht mit technischen Details auseinander setzen möchte, wäre es gut, wenn das hoch laden von Bildern einigermaßen einfach zu integrieren ist.
• Rechteverwaltung
  Damit der Schreiber da nix kaputt machen kann, wäre es gut, wenn man die Rechte gegebenenfalls einschränken kann und er nicht als "Admin" arbeiten müsste.

Ich freue mich auf Empfehlungen.

[Thoronador]

Mir persönlich kommt sofort Wordpress in den Sinn, weil es die einzige Software in diese Richtung ist, die ich namentlich kenne. Benutzt hab ich die auch noch nie.

WordPress dürfte die genannten Anforderungen erfüllen (bis auf die Rechteverwaltung, da bin ich mir nicht ganz sicher).

Allerdings hat WordPress einen Nachteil: Es ist wegen seiner großen Verbreitung auch ein beliebtes Angriffsziel. Man muss also Updates recht zügig / zeitnah einspielen. Dafür gibt es bei WordPress auch einen Automatismus, der das regelt. Jedoch führt der auch gnadenlos Updates auf neue Hauptversionen durch - z. B. von WordPress 4.x auf WordPress 5.x - ohne Rücksicht auf Verluste. Das hat in einem mir bekannten Fall dazu geführt, dass das WordPress-Theme nach dem Update nicht mehr benutzbar war.

[Opodeldox]

Für den Fall würde ich auf wordpress.com einen Blog registrieren und sofort los schreiben - easy. Welchen Zweck soll es haben so etwas selbst zu Hosten? Das kostet Geld, Zweit und ist immer ein Risiko.

[Lookbehind]

WordPress dürfte die genannten Anforderungen erfüllen (bis auf die Rechteverwaltung, da bin ich mir nicht ganz sicher).

Ja, WordPress hat sich wohl echt zum Platzhirsch entwickelt.

Allerdings hat WordPress einen Nachteil: Es ist wegen seiner großen Verbreitung auch ein beliebtes Angriffsziel. Man muss also Updates recht zügig / zeitnah einspielen. Dafür gibt es bei WordPress auch einen Automatismus, der das regelt. Jedoch führt der auch gnadenlos Updates auf neue Hauptversionen durch - z. B. von WordPress 4.x auf WordPress 5.x - ohne Rücksicht auf Verluste. Das hat in einem mir bekannten Fall dazu geführt, dass das WordPress-Theme nach dem Update nicht mehr benutzbar war.

Die spannende Frage ist: Braucht man diese "Themes" (die ja scheinbar nicht für den Look, sondern eher für irgendwelche Funktionalitäten zuständig sind und eher wie "Addons" oder "Plugins" wirken) überhaupt? Ist man mit einem komplett vanilla WordPress sehr eingeschränkt?

Generell: Irgendwelche Tipps im Umgang mit WP?

Für den Fall würde ich auf wordpress.com einen Blog registrieren und sofort los schreiben - easy. Welchen Zweck soll es haben so etwas selbst zu Hosten? Das kostet Geld, Zweit und ist immer ein Risiko.

Der Zweck ist, dass ich es selber unter Kontrolle habe, und nicht von anderen abhängig bin. Mein Server läuft eh schon. Da noch n WordPress mit drauf schmeißen, macht den Kohl nicht fett.

[Thoronador]

Die spannende Frage ist: Braucht man diese "Themes" (die ja scheinbar nicht für den Look, sondern eher für irgendwelche Funktionalitäten zuständig sind und eher wie "Addons" oder "Plugins" wirken) überhaupt? Ist man mit einem komplett vanilla WordPress sehr eingeschränkt?

Nein. Das ist nur für den rein optischen Aspekt. Wenn's dir relativ egal ist, wie deine WordPress-Instanz aussieht, dann brauchst du diese Dinger nicht. Wenn du hingegen eine Firmenpräsenz mit WordPress aufziehen willst und da auch das übliche Corporate Design haben möchtest, ist das hingegen schon wichtig. Das scheint hier aber nicht der Fall zu sein.

Generell: Irgendwelche Tipps im Umgang mit WP?

Wie bei jeder Software auch: Auf zeitnahe Updates achten. Das schließt in dem Fall auch PHP mit ein.

[Opodeldox]

Der Zweck ist, dass ich es selber unter Kontrolle habe, und nicht von anderen abhängig bin. Mein Server läuft eh schon. Da noch n WordPress mit drauf schmeißen, macht den Kohl nicht fett.

Dann registriere dir eine Domain woanders und schalte sie auf den Blog, dann kannst du im Zweifel einfach den Host wechseln. Wordpress und PHP sind ein Sicherheitsproblem, um das man sich nicht kümmern möchte.

[Lookbehind]

Nein. Das ist nur für den rein optischen Aspekt. Wenn's dir relativ egal ist, wie deine WordPress-Instanz aussieht, dann brauchst du diese Dinger nicht. Wenn du hingegen eine Firmenpräsenz mit WordPress aufziehen willst und da auch das übliche Corporate Design haben möchtest, ist das hingegen schon wichtig. Das scheint hier aber nicht der Fall zu sein.

Das passt irgendwie nicht dazu, dass ein falsches Theme es angeblich schafft, beim Update die WP Datenbank zu zerpflücken. Das klingt für mich nach mehr als nur n bisschen CSS.

Wie bei jeder Software auch: Auf zeitnahe Updates achten. Das schließt in dem Fall auch PHP mit ein.

Ja, das is schon klar. Aber das ist, wie du schon sagst, nicht auf WordPress beschränkt, sondern gilt für jedwede Software.

Dann registriere dir eine Domain woanders und schalte sie auf den Blog, dann kannst du im Zweifel einfach den Host wechseln.

Hm? Was hat das damit zu tun, dass das dann immernoch in fremder Hand läuft?

Wordpress und PHP sind ein Sicherheitsproblem, um das man sich nicht kümmern möchte.

Dafür gibts Docker.

Abgesehen davon, habe ich unter anderem deshalb gefragt, was man denn da so benutzt. Wenn du eine bessere (sicherere) Alternative weißt, dann her damit.

[Thoronador]

Das passt irgendwie nicht dazu, dass ein falsches Theme es angeblich schafft, beim Update die WP Datenbank zu zerpflücken. Das klingt für mich nach mehr als nur n bisschen CSS.

Von der Datenbank habe ich nichts gesagt, nur zum Theme, und das war nach Update auf die neue Hauptversion nicht mehr benutzbar.

[Lookbehind]

Von der Datenbank habe ich nichts gesagt, nur zum Theme, und das war nach Update auf die neue Hauptversion nicht mehr benutzbar.

Ne, hast du nicht. Ich hab nur einfach mal nach "WordPress Update Theme Problem" gegoogelt um eine Idee von den "Problemen" zu bekommen. Und die Horror-Geschichten, die ich da gefunden habe, die gingen irgendwie weit über ein bisschen CSS und Templating hinaus.

[Feuerstern]

Es gibt unterschiedliche Themes die mehr oder wenger tief ins System eingreifen. Einige sind ganze Frameworks. Es gibt aber auch schlanke Themes die tatsächlich nur was am äußeren ändern ohne dabei tief ins System einzugreifen.

Wordpress hat eine Nutzerverwaltung bei denen es möglich ist verschiedene Rollen zuzuteilen (Administrator, Abonnent, Mitarbeiter, Autor, Redakteur). Das sollte also kein Problem sein.
Was Wordpress so beliebt macht ist letztlich die große Zahl an Themes und Addons. Wie hier schon erwähnt wurde sorgt die große Verbreitung aber auch gleichzeitig dafür das Wordpress ein extrem beliebtes Angriffsziel ist. Ich habe bisher keine andere Blog Software benutzt, es gibt aber noch ein paar andere. Diese haben warscheinlich eine deutlich kleinere Auswahl an Themes und Plugins, es klingt aber als sei dir das nicht so wichtig solange deine Grundanforderungen erfüllt werden.

[Opodeldox]

Hm? Was hat das damit zu tun, dass das dann immernoch in fremder Hand läuft?

Wenn dein Dienstleister dich rauswirft, du einen anderen nutzen willst o. ä. ziehst du deinen Service 1:1 um und schaltest dann die Domain drauf. So bleiben alle Dokumente unter ihren URLs erhalten. Damit bist du vom Dienstleister unabhängig. Darum bucht man auch nie Domains und Dienste oder Server im selbem Vertrag, am Besten nicht mal beim gleichen Dienstleister.

Dafür gibts Docker.

Docker liefert keine zusätzliche Sicherheit und vor allem nicht gegen Wordpress/PHP Sicherheitsprobleme.

Wenn du eine bessere (sicherere) Alternative weißt, dann her damit.

wordpress.com

* Die Sicherheit ist nicht dein Problem
* Es kostet grundsätzlich nichts
* Du hast null Aufwand
* Es ist einfach zu benutzen

[Lookbehind]

Wenn dein Dienstleister dich rauswirft, du einen anderen nutzen willst o. ä. ziehst du deinen Service 1:1 um und schaltest dann die Domain drauf. So bleiben alle Dokumente unter ihren URLs erhalten. Damit bist du vom Dienstleister unabhängig. Darum bucht man auch nie Domains und Dienste oder Server im selbem Vertrag, am Besten nicht mal beim gleichen Dienstleister.

Ich wiederhole meine Frage:
Was hat das damit zu tun, dass das dann immernoch in fremder Hand läuft?

Docker liefert keine zusätzliche Sicherheit und vor allem nicht gegen Wordpress/PHP Sicherheitsprobleme.

Docker ist sicher kein Allheilmittel was Sicherheit angeht, und natürlich gehören regelmäßige Updates und Co auch dazu.
Aber das Docker gar keine zusätzliche Sicherheit liefert und das im speziellen nicht bei Wordpress und PHP, das möchte ich jetzt gerne mal erklärt haben.

wordpress.com

* Die Sicherheit ist nicht dein Problem
* Es kostet grundsätzlich nichts
* Du hast null Aufwand
* Es ist einfach zu benutzen

Bekommst du Provision bei denen?
Ich dachte bei der Frage eigentlich eher an eine alternative Blogging-Software.

[Opodeldox]

Ich wiederhole meine Frage:
Was hat das damit zu tun, dass das dann immernoch in fremder Hand läuft?

Was es damit zu tun hat? Es ist dann egal wo es läuft. Warum willst du die Arbeit und das Risiko auf dich nehmen?

Aber das Docker gar keine zusätzliche Sicherheit liefert und das im speziellen nicht bei Wordpress und PHP, das möchte ich jetzt gerne mal erklärt haben.

Ein Dockercontainer ist nicht von seinem Host unabhängig, er teilt sich zum Beispiel den Kernel. Das heisst jeder Kernelexploit und davon gibt es viele, kann die Tür zum Host und allen anderen Container öffnen. Außerdem gibt es andere Wege auf denen man durch Misskonfiguration und Exploits aus dem Container ausbrechen kann. Wenn jemand im Container root Privilegien hat, oder bekommt, hat er die dann auch auf dem Host. Der Host muss unter der Annahme konfiguriert werden, dass aus den Container ausgebrochen werden kann und der Container muss so Konfiguriert werden, als liefen die Prozesse auf dem Host. Wenn du eine wirkliche Isolation anstrebst um "Sicherheit" zu gewinnen, musst du anfangen mit VMs zu arbeiten.

Wenn jemand in der Lage ist durch einen Bug in deiner PHP Software Code auf deiner Maschine auszuführen, hat er deinen Server übernommen. Selbst wenn die Person nicht in der Lage ist aus dem Container auszubrechen, kann er anfangen Dinge zu Hosten, ob das nun Phishingseiten sind, oder Schadsoftware. Je nach dem wie gut du deinen PHP/Container konfiguriert hast, kann der Angreifer auch Software nachinstallieren und dann bist du richtig am Arsch. Das trifft auf alle PHP Applikationen zu.

[Lookbehind]

Was es damit zu tun hat? Es ist dann egal wo es läuft. Warum willst du die Arbeit und das Risiko auf dich nehmen?

Weil ich es gerne unter meiner Kontrolle haben will und nicht von fremden abhängig sein möchte. ... ich dachte das hätte ich auch schon mal erwähnt.

Ein Dockercontainer ist nicht von seinem Host unabhängig, er teilt sich zum Beispiel den Kernel. Das heisst jeder Kernelexploit und davon gibt es viele, kann die Tür zum Host und allen anderen Container öffnen.

An die Kernel-Exploits muss man aber auch erstmal ran kommen. Es ist ja nicht so, als würde ich auf der Kiste nie irgendwelche Updates installieren.

Außerdem gibt es andere Wege auf denen man durch Misskonfiguration und Exploits aus dem Container ausbrechen kann. Wenn jemand im Container root Privilegien hat, oder bekommt, hat er die dann auch auf dem Host.

Das ist so nicht ganz richtig. Das erfordert, dass ein privileged Container gestartet wurde, und relevante Teile des Hosts-Systems dort einghängt wurden. Natürlich kann ich es einem Angreifer leicht machen. Aber das heißt nicht, dass ich es ihm nicht auch schwerer machen kann.
Nur weil jemand root im Container ist, heißt das nicht, dass er auch root auf dem Host ist.
Dennoch sollte man root im Container natürlich trotzdem vermeiden.

Der Host muss unter der Annahme konfiguriert werden, dass aus den Container ausgebrochen werden kann und der Container muss so Konfiguriert werden, als liefen die Prozesse auf dem Host.

Zumindest muss man auf Sicherheitsprobleme vorbereitet sein, und sollte mehrere Verteidigungslinien haben. Ja.

Wenn du eine wirkliche Isolation anstrebst um "Sicherheit" zu gewinnen, musst du anfangen mit VMs zu arbeiten.

Funfact, aus einer VM bricht es sich derzeit leichter aus, als aus einem Docker-Container.
Nichts desto trotz ist der Web-Host mit den Docker-Containern übrigens eine von vielen VMs auf der Maschine.

Wenn jemand in der Lage ist durch einen Bug in deiner PHP Software Code auf deiner Maschine auszuführen, hat er deinen Server übernommen. Selbst wenn die Person nicht in der Lage ist aus dem Container auszubrechen, kann er anfangen Dinge zu Hosten, ob das nun Phishingseiten sind, oder Schadsoftware. Je nach dem wie gut du deinen PHP/Container konfiguriert hast, kann der Angreifer auch Software nachinstallieren und dann bist du richtig am Arsch. Das trifft auf alle PHP Applikationen zu.

Das trifft auf jede Applikation zu. Ob im Container oder nicht. Ich sehe aber immer noch nicht ein Argument, warum mir ein Container gar keine zusätzliche Sicherheit bieten soll.

Richtig. Absolute Sicherheit gibt es nach wie vor nicht. Darüber brauchen wir nicht zu streiten. Die Kommentare mache ich hier selber.
Das heißt aber nicht, das Docker gar keinen Sicherheitsvorteil hat.
Wenn du mit 300 vor eine Wand fährst, hilft dir weder dein Airbag noch der Sicherheitsgurt. Selbst Unfälle bei Tempo 30 können trotz Airbag und Sicherheitsgurt noch tödlich enden. Nach deiner Logik bringt der Gurt also keine zusätzliche Sicherheit. Du lässt ihn also lieber weg. Nicht nur das, du fährst auch nicht mehr selber, sondern lässt dich lieber fahren, und hältst das für sicherer.



So, und jetzt bitte zurück zum Thema: Gesucht war die Blogging-Software, die in 2020 am sinnvollsten zu verwenden ist. Die Software! Nicht der Hoster! Das lass mal meine Sorge sein, ich mach das nicht erst seit gestern.

[Kernel Panic]

Hi Lookbehind,

Ich dachte bei der Frage eigentlich eher an eine alternative Blogging-Software.

vielleicht könnte Django CMS für dich interessant sein. Das ist ein Python-basiertes CMS, das auch von größeren Unternehmen wie beispielsweise Mercedes-Benz eingesetzt wird/wurde. Siehe hierzu auch: Skaliert Django? Auch zB Instagram basiert auf Django. Es gibt ein Modul Djangocms-Blog, was ich auch auf meiner Website nutze. (Link gerne via PN). Voraussetzungen wären:

- Grundkenntnisse Python
- Grundkenntnisse Datenbankadministration (Wahl des Datenbank-Backends dabei frei, alle gängigen werden aber unterstützt)
- SSH-Zugang zum Server
- Man muss eigene Templates erstellen (hierfür lohnt sich die Lizenzierung eines Templatesystems, etwa Material Design o.ä.) und quasi auch eigene Plugins für deren Implementierung schreiben. Das hat man aber schnell raus IMHO.
- Versionierungsverwaltung (Subversion / Git) von Vorteil, wenn du auch mit Staging/Production Areas arbeiten will empfehle ich Capistrano, hierfür jedoch wird außerdem noch Ruby benötigt

Vorteile von Django:

- Sehr hohe Flexibilität und Skalierbarkeit
- Hohe Performanz, sehr intelligentes/aggressives Caching
- Sicherer als alles was mit PHP läuft
- Integriertes Dateimanagement
- Hohe Anpassbarkeit, viele Module verfügbar, sog. "Packages" siehe www.djangopackages.org

[Lookbehind]

Hi Lookbehind,



vielleicht könnte Django CMS für dich interessant sein. Das ist ein Python-basiertes CMS, das auch von größeren Unternehmen wie beispielsweise Mercedes-Benz eingesetzt wird/wurde. Siehe hierzu auch: Skaliert Django? Auch zB Instagram basiert auf Django. Es gibt ein Modul Djangocms-Blog, was ich auch auf meiner Website nutze. (Link gerne via PN).

Hm, ja, ich kenne Django und hab auch schon damit gearbeitet. Ich hatte aber eigentlich an eine Lösung gedacht, die weniger Programmier-Aufwand erfordert. ... andererseits könnte ich eigentlich auch mal wieder mein Python auffrischen.

Voraussetzungen wären:

- Grundkenntnisse Python

Check

- Grundkenntnisse Datenbankadministration (Wahl des Datenbank-Backends dabei frei, alle gängigen werden aber unterstützt)

Check

- SSH-Zugang zum Server

Check

- Man muss eigene Templates erstellen (hierfür lohnt sich die Lizenzierung eines Templatesystems, etwa Material Design o.ä.) und quasi auch eigene Plugins für deren Implementierung schreiben. Das hat man aber schnell raus IMHO.

Der Link funktioniert nicht. (Das www ist zu viel)
Nunja, machbar, auch wenn ich da möglichst kein Geld für ausgeben wollte. Ich würds vielleicht doch eher selber bauen, wenn ich eh schon coden muss.

- Versionierungsverwaltung (Subversion / Git) von Vorteil, wenn du auch mit Staging/Production Areas arbeiten will empfehle ich Capistrano, hierfür jedoch wird außerdem noch Ruby benötigt

Wer benutzt denn heute noch SVN? ... ähhh ... halt, das sollte ich lieber nicht fragen.
Staging/Production-Environments macht man heute ein bisschen anders. Das ist dann gleich im CI/CD mit integriert.

Vorteile von Django:

- Sehr hohe Flexibilität und Skalierbarkeit
- Hohe Performanz, sehr intelligentes/aggressives Caching

Was nicht unbedingt das Maß der Dinge ist für dieses Projekt. Ich erwarte keinen großen Ansturm.

- Sicherer als alles was mit PHP läuft

Ja, das ist immer so eine Sache. ... bis halt jemand raus findet wie scheiße Python doch eigentlich ist. Aber das ist eine andere Diskussion.

- Integriertes Dateimanagement
- Hohe Anpassbarkeit, viele Module verfügbar, sog. "Packages" siehe www.djangopackages.org

Der Vorteil ist halt, dass man es selber programmieren und anpassen kann. Der Nachteil ist, dass man das auch muss.

Aber danke, dass du mich an diese Alternative erinnerst.

[Opodeldox]

Weil ich es gerne unter meiner Kontrolle haben will und nicht von fremden abhängig sein möchte.

Du bist von keinem Fremden abhängig. Wenn du das glaubst, verstehst du DNS nicht. Wenn der Dienstleister dich rauswirft, oder dicht macht, änderst du einen DNS Eintrag und dein Blog läuft einfach woanders weiter.

Nur weil jemand root im Container ist, heißt das nicht, dass er auch root auf dem Host ist.

Doch, genau das heißt es. Man kann einen Prozess im Container als Root laufen lassen, der im Host nicht root ist, wenn man aber einen Prozess einfach als Root startet, ist dieser Prozess auch Root im Host.

Hier ist das Problem erklärt, inkl. Lösung:
https://suraj.io/post/root-in-container-root-on-host/

Ich sehe aber immer noch nicht ein Argument, warum mir ein Container gar keine zusätzliche Sicherheit bieten soll.

Das ist die falsche Frage, die richtige Frage ist: Warum sollte dir ein Container Sicherheit bieten? Container sind nicht dazu gedacht ein System irgendwie sicherer zu machen, bieten eine hohes Fehlerpotenzial in der Konfigurierung und man führt schlicht mehr Software aus, hat also eine höhere Angriffsfläche.

Nach deiner Logik bringt der Gurt also keine zusätzliche Sicherheit. Du lässt ihn also lieber weg. Nicht nur das, du fährst auch nicht mehr selber, sondern lässt dich lieber fahren, und hältst das für sicherer.

Nein, du verstehst beides grundsätzlich falsch. Erstens, Docker ist kein Gurt und nicht als Gurt gedacht. Ich benutze auch Docker, Docker ist ein tolles Tool, es ist schlicht kein Sicherheitswerkzeug, sondern bedeutet mehr Aufwand.

Zweitens sage ich nicht, dass ein Dienst sicherer ist, das Argument ist, dass Sicherheit nicht mehr dein Problem ist und auch nicht die Folgen, sollte etwas schief gehen.

Das lass mal meine Sorge sein, ich mach das nicht erst seit gestern.

Arroganz ist das größte Sicherheitsproblem, aber gut - mach wie du willst.

Ich kann dir alternativ jekyll empfehlen: https://jekyllrb.com

[Kernel Panic]

Wer benutzt denn heute noch SVN? ... ähhh ... halt, das sollte ich lieber nicht fragen.

Ich nicht - aber du würdest dich wundern, wie viele (durchaus anderweitig professionell arbeitende) Leute.

Staging/Production-Environments macht man heute ein bisschen anders. Das ist dann gleich im CI/CD mit integriert.

Das war bewusst mit "Wenn man ... will" formuliert. Eines steht aber fest: Vom Administrations- bzw. Einrichtungsaufwand ist Django tatsächlich wesentlich schwieriger als Wordpress. Je nach Komplexität des Projekts gerät Wordpress aber gerade, was das angeht, schnell in den Rückstand.

[Lookbehind]

Du bist von keinem Fremden abhängig. Wenn du das glaubst, verstehst du DNS nicht. Wenn der Dienstleister dich rauswirft, oder dicht macht, änderst du einen DNS Eintrag und dein Blog läuft einfach woanders weiter.

Nur weil ich den DNS-Eintrag kontrolliere, heißt das aber nicht, dass der ganze Blog unter meiner Kontrolle läuft. Wenn du das glaubst, dann hast DU DNS nicht verstanden.

Ich weiß nicht, was daran so schwer zu verstehen ist, das ein externes Hosting nicht in Frage kommt.

Doch, genau das heißt es. Man kann einen Prozess im Container als Root laufen lassen, der im Host nicht root ist, wenn man aber einen Prozess einfach als Root startet, ist dieser Prozess auch Root im Host.

Hier ist das Problem erklärt, inkl. Lösung:
https://suraj.io/post/root-in-container-root-on-host/

Ja, wenn man pedantisch sein möchte, hast du recht. Wenn man da nix anpasst, ist die UID eines Docker-Containers, der im Container als root läuft, die 0, daher wird das dann auf dem Host-System auch als root angezeigt. Aber da du dich ja so gut mit Docker und Sicherheit auskennst, ist dir natürlich selbstverfreilich auch schon aufgefallen, dass die CGroups da noch deutlich mehr weg abstrahieren. Namen sind Schall und Rauch. Nur weil du im Container als "root" unterwegs bist, heißt das nicht, dass du auch die gleichen Berechtigungen auf dem Host-System hast, wie der dortige root. Das gelingt dir erst, wenn du entweder einen privileged Container startest, oder du es schaffst unter Erhaltung der 0 als UID aus dem Container aus zu brechen.

Was sicher nicht unmöglich ist, zweifelsohne wird es da irgendwo Sicherheitslücken geben, die noch keiner gefunden, bzw veröffentlicht hat. Das ist mit beinahe jeder Software so. Das heißt aber immer noch nicht, das Docker gänzlich nutzlos ist, um es einem potentiellen Angreifer nicht wenigstens schwerer zu machen.

Und nebenbei, muss ich nochmal erwähnen, dass man Container nicht mit root startet, wenn man es nicht absolut muss?

Das ist die falsche Frage, die richtige Frage ist: Warum sollte dir ein Container Sicherheit bieten?

Weil es eine vom Kernel isolierte Umgebung mit einem minimalen Toolset und minimalen Ressourcen ist, welches auf eine einzige Aufgabe zugeschnitten ist, und nur auf diese. Ähnlich wie die CHROOT-Umgebungen, welche man schon früher benutzt hat, um Nutzer in ihrem Homeverzeichnis ein zu sperren und dafür zu sorgen, dass sie nicht das ganze System durcheinander bringen können. Nur inzwischen deutlich weiter ausgebaut und auf Steroiden.

Container sind nicht dazu gedacht ein System irgendwie sicherer zu machen, bieten eine hohes Fehlerpotenzial in der Konfigurierung und man führt schlicht mehr Software aus, hat also eine höhere Angriffsfläche.

Linux war auch nie für was anderes als ein 386er gedacht, sollte nur ein kleines Hobby-Projekt sein und niemals so groß werden wie GNU und Hurd.
"Mehr Software" ist dabei auch relativ und du hast bei Docker die große Chance deine Konfiguration nur einmal richtig machen zu müssen, anstatt sie in jeder VM neu zu machen und dabei die Hälfte zu vergessen.

Natürlich wer seinen Kram nicht sauber konfiguriert, der bekommt Probleme. Da erzählst du mir nix neues. Ich gehöre aber nicht zu der Fraktion die nur Stumpf ein Tutorial irgendwo aus dem Netz kopiert und sich freut, dass es funktioniert.

Nein, du verstehst beides grundsätzlich falsch. Erstens, Docker ist kein Gurt und nicht als Gurt gedacht. Ich benutze auch Docker, Docker ist ein tolles Tool, es ist schlicht kein Sicherheitswerkzeug, sondern bedeutet mehr Aufwand.

Docker lässt sich sehr gut zur Isolation von Anwendungen verwenden. Was auch vielfach getan wird. Nochmal, dass mir das keine Absolute Sicherheit gibt, ist mir vollauf bewusst.

Zweitens sage ich nicht, dass ein Dienst sicherer ist, das Argument ist, dass Sicherheit nicht mehr dein Problem ist und auch nicht die Folgen, sollte etwas schief gehen.

Nur weil du Schiss hast, dich mit der Sicherheit selbst beschäftigen zu müssen, heißt das nicht, dass keiner sowas hosten kann. Natürlich, wenn man nicht weiß was man tut, sollte man die Finger davon lassen. Aber stell dir mal die Frage, wie es sein kann, dass das Internet so unglaublich voll von Webseiten ist, wenn das doch alles so furchtbar schlimm und kompliziert ist. Meinst du wordpress.com hat sich nicht vorher mal Gedanken gemacht, wie sie ihre Server absichern können und was im Falle des Falles zu passieren hat?

Schief gehen kann immer was. Natürlich. Das nennt man Restrisiko.

Arroganz ist das größte Sicherheitsproblem, aber gut - mach wie du willst.

Das hat nichts mit Arroganz zu tun, sondern das du scheinbar glaubst einen dummen Anfänger vor dir zu haben, dem du noch dein Halbwissen über DNS beibringen musst und bei der Gelegenheit nicht müde wirst dein Mantra von "hoste das doch auf wordpress.com" runter zu beten. Bekommst du Provision von denen?

Den Hinweis auf die Sicherheit mal gebracht zu haben ist ja gut. Das tue ich auch selber bei Leuten, bei denen ich das Gefühl habe, dass sie nicht wissen worauf sie sich einlassen. Aber wenn dir die Leute sagen, dass sie wissen was sie da tun, und das mehr als einmal, dann muss man da nicht noch ständig drauf rum reiten.

Wie wäre es stattdessen mal auf die eigentliche Frage ein zu gehen?

Ich kann dir alternativ jekyll empfehlen: https://jekyllrb.com

Ein nettes Tool, das ich mal versuche mir im Hinterkopf zu behalten, das könnte ich woanders noch gebrauchen. Aber in diesem Fall leider untauglich. Ich bin zwar für den administrativen Teil da, aber nicht für die Inhalte. Dem Menschen, der die Inhalte dort einfügen soll, kann ich kein Markdown bei bringen, das weiß ich jetzt schon.

Ich nicht - aber du würdest dich wundern, wie viele (durchaus anderweitig professionell arbeitende) Leute.

Ich weiß, ich kenne da auch den einen oder anderen. Darum der Kommentar hinten dran.

Das war bewusst mit "Wenn man ... will" formuliert. Eines steht aber fest: Vom Administrations- bzw. Einrichtungsaufwand ist Django tatsächlich wesentlich schwieriger als Wordpress. Je nach Komplexität des Projekts gerät Wordpress aber gerade, was das angeht, schnell in den Rückstand.

Diesen Break-Even-Point wird das Projekt wohl nie überschreiten. In Django mache ich das eher, weil ich es will. Sinnvoll in Bezug auf Aufwand vs Nutzen, ist das mit an Sicherheit grenzender Wahrscheinlichkeit nicht.

Letztlich braucht es die Möglichkeit Artikel zu schreiben und diese mit Bildern und evtl ein paar Videos zu verzieren, ohne dass die Person, die diese Artikel schreibt, technisch in irgendeiner Weise versiert sein muss. Ende. Da is nix mit irgendwelchen wilden Logik und/oder Berechnungssystemen, welche da im Hintergrund groß was machen muss. Und besonders viel Traffic wird die Seite auch nie erleben.

[Kernel Panic]

Eine andere Möglichkeit wäre noch Drupal (www.drupal.org), hier etwas zum Blog-Einbau: https://www.siteground.com/tutorials/drupal/add-blog/

Selbst eingesetzt habe ich das aber noch nicht.