Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 73 reacties

Webshop-platform Magento gaat geautomatiseerde downloads van updates eenvoudiger maken, nu blijkt dat veel eigenaren van webshops kritieke updates niet installeren. Dat zegt Magento nadat webhoster Byte aan de bel trok over het gebrekkige updaten.

Volgens Byte is 80 procent van de 200.000 op Magento gebaseerde webshops wereldwijd kwetsbaar door een gebrek aan updates. Dat heeft de hoster onderzocht met een eigen tool, die de installatie checkt op kwetsbaarheden. De webhoster verwijst ook naar een tool, waarmee webshopeigenaren kunnen checken of ze tot de kwetsbare webshops behoren.

In een statement aan Byte zegt Magento dat het onderkent dat het updaten een probleem is. "Terwijl de flexibiliteit van ons platform verhindert dat we automatisch patches kunnen verspreiden, werken we er altijd aan om getroffen webshopeigenaren te informeren en om ze zo snel mogelijk patches te laten toepassen."

Bovendien, zo zegt Magento, wordt eraan gewerkt om het downloaden van updates op een eenvoudigere wijze te laten verlopen om zo meer webshops sneller te laten updaten. Dat doet Magento door patches 'makkelijker beschikbaar' te maken voor geautomatiseerde downloads. Het updaten van een Magento-installatie is ingewikkeld, onder meer omdat het via een terminal moet en dit voor elke webshop apart moet gebeuren.

Magento heeft dit jaar diverse belangrijke patches uitgebracht voor zijn platform, waaronder een in april. Deze zomer volgde ook nog enkele updates voor kritieke lekken. Byte kwam eerder al tot de conclusie dat aanvallers actief proberen om slecht beveiligde Magento-installaties te kraken.

Moderatie-faq Wijzig weergave

Reacties (73)

Ik zou erg blij zijn als Magento, Wordpress, etc. meer rekening houden met een 'extern' updateproces via versiebeheer. Het lijkt erop dat de ontwikkelaars het normaal vinden dat je een webshop tijdelijk in onderhoudsmodus zet terwijl je een potentieel risicovolle upgrade uitvoert. Dat vind ik vreemd.

Wij updaten niet live op onze productieservers maar deployen een nieuwe versie van een site vanuit Git naar de servers, m.b.v. Capistrano. Het grootste deel van de site-directories op de productieservers is zelfs read-only. Door deze werkwijze kunnen we makkelijk testen, opschalen, blijft de schade beperkt bij een evt. inbraak, kunnen we updates eerst checken en evt. terugrollen, etc. Veel bekende CMS-en maken zo'n workflow onnodig moeilijk. Vast niet opzettelijk, we zullen wel de uitzondering zijn t.o.v. de amateurs, maar het frustreert wel.
Een onderhoudsmodus is toch niet zo vreemd? Daar heb je service windows voor.

Zelfs platforms van grote shops en banken zijn vaak offline voor onderhoud: Bijv. de iDeal van ING is regelmatig offline op zondagnacht.
Ik kan natuurlijk geen uitspraken doen over een zeer complexe omgeving als een bank, die zullen hun redenen wel hebben, maar een service-window is vaak onnodig bij eenvoudige sites.

Daarnaast werken onze developers niet 24 uur per dag. Ik zit er niet op te wachten om alle shops van onze klanten 's nachts te gaan updaten terwijl dit net zo goed overdag kan, zónder downtime. Met onze huidige methode kunnen we de upgrade 'offline' uitvoeren, alles testen incl. extensies en daarna deployen naar productie, waarbij de downtime tot minder dan een seconde beperkt blijft. Beter voor de eigenaar van de shop, voor de bezoekers en voor de nachtrust van onze developers/systeembeheerders.

Zo'n werkwijze is ook allemaal niet zo moeilijk te bouwen, maar het zou handiger zijn als de ontwikkelaars het CMS zo opzetten dat de kern makkelijk vervangen kan worden zonder eigen extensies en plugins te overschrijven. Magento doet dit aardig, o.a. de code vrij eenvoudig uit te breiden is zonder de kern te moeten wijzigen en doordat slechts twee directories schrijfbaar hoeven te zijn en databasemigraties vrij goed werken. WordPress is al iets omslachtiger, evenals Drupal. Maar goed, het is maar een wens.
Ik vind je opmerkingen wat opmerkelijk. Je hebt het over eenvoudige sites (die jullie blijkbaar maken) maar wil wel je punt maken omdat jullie zo vreselijk veel deployen... :?

Ik heb vannacht even een test met een nieuwe loadbalancer versie gedaan... maintenance window ingelast, toch niemand met het systeem aan het werk... tja... IT-er zijn is niet de tools pakken en hopen dat iedereen als puzzelstukjes om je heen vouwt.

[Reactie gewijzigd door RutgerM op 24 september 2015 13:53]

Ik snap niet dat je de aanname hebt dat eenvoudige websites blijkbaar niet vaak deployed hoeven worden, ik zie daar geen enkele relatie tussen. (Ik zou zelfs eerder zeggen dat complexe websites minder vaak deployed worden doordat het test proces langer duurt).

Het grootste voordeel wat ik zie als je gaat werken met versie beheer tools is niet het voorkomen van een maintenance window maar juist de zekerheid dat alles blijft werken. Zeker bij magento, ik heb het al te vaak meegemaakt dat na een simpele update de webshop niet meer werkt. Dit komt vaak door modules, maar ik heb zelfs een keer meegemaakt dat er essentiele data uit de DB is verwijderd door een update. In zulke gevallen is het toch wel fijn om eerst alles in een 2e omgeving werkend te krijgen en dan die omgeving als geheel naar productie te pushen ipv de stappen nogmaals te herhalen.

Ik ben zelf dan ook van mening dat dit het hoofd probleem is waarom veel webshops niet updaten, er zit een te groot risico aan vast dat bestaande modules niet goed met de update om kunnen gaan. Automatische updates gaat dit probleem naar mijn idee juist erger maken, momenteel heb je toch al een magento developer nodig om alle modules te debuggen na een update. Dat is velen malen complexer dan de update zelf uitvoeren.

[Reactie gewijzigd door Koelkast123 op 24 september 2015 17:32]

Het irritante van Magento vond ik toch wel dat wanneer je updates installeerde (of liet installeren) je alles opnieuw moest gaan testen. Of de plug-ins en CSS nog wel compatible waren enz. enz.
Daardoor loop je gewoon achter met je shops. Magento is in potentie een mooi systeem maar de gebrekkige documentatie en de hele zooi van security problemen en irritante bugs hebben mij er toe bewogen om het platform na 5 jaar gedag te zeggen en mijn winkels naar een ander platform over te stappen.
Misschien de verkeerde developper gehad (Silver) maar ook andere Magento leveranciers die ik in huis heb gehaald bakten er niet veel van. Dus bye bye Magento en ik zal iedereen dan ook afraden om dit product aan te schaffen omdat er gewoon betere alternatieven zijn.
Magento is een complex product, met veel flexibiliteit, maar ook een hoge leercurve. Zowel voor de eindgebruiker als de developer. Het komt nog regelmatig voor dat men Magento 'er even bij doet' omdat Ecommerce een belangrijk onderdeel van het web is geworden. Wat in de praktijk vaak neerkomt op een redelijk werkende site die naderhand amper nog te beheren valt.

De grotere jongens in de Magento wereld hebben die kennis in huis. Maar daar hangt uiteraard wel een prijskaartje aan.
Magento is een product gekozen door marketeers in verband met product & sale logica. Als developer met verstand van het framework, dan laat je het links liggen. Ik herinner me de slechte update compatibiliteit van themes en de enorme traagheid van Mage API. De enorme index tables die soms vastlopen, daarbij nog het module structuur, krijg er kriebels van.

Ik wou net een url laten zien waarmee je minimaal honderden Magento installaties de sql,ftp configuratie kunt uitlezen en een .zip file kunt uploaden en via de url kunt benaderen, maar ik bedacht me net hoe onverantwoordelijk ik zou zijn door dat te doen :9

tussen de resultaten stond dit weer omg, are you kidding me 8)7
filemask = "<?php eval($_REQUEST[e]);?>"

[Reactie gewijzigd door SinisterGlitch op 24 september 2015 16:58]

Even voor de gein gezocht in een Magento dir op " eval("
Found Occurrences (127 occurrences)
bijvoorbeeld in de "app/code/core/Mage/XmlConnect/Helper/Data.php"
if (!empty($keys)) {
$keys = '$data["' . implode('"]["', $keys) . '"]';
eval('if (isset(' . $keys . ')) unset(' . $keys . ');');
}
Echt, als mensen nog voor Magento kiezen verdienen ze gewoon gehackt of wat dan ook te worden.

Een beetje zelfrespecterende programmeur zal hier nooit voor kiezen.
Ik speel nu heel veel met Symfony, leuk framework. Over dat stukje code, het ligt er net aan waar $data vandaan komt, alsnog moet je eval (er zijn uitzonderingen)) vermijden 8)7

[Reactie gewijzigd door SinisterGlitch op 25 september 2015 00:03]

Ikzelf ben nu ook helemaal into Symfony, prachtig framework. Alleen jammer dat ze niet echt de MVC pattern gebruiken.

Kom zelf (lang geleden) uit de Zend Framework hoek, en daar vond ik de MVC pattern toch wel wat beter.

Maar, al met al vind ik Symfony echt de moeite waard als Framework.

En over de code, ja daar heb je wel gelijk in. Maar dat neemt niet weg dat er overal eval() stukjes staan in Magento. Dat kan gewoon NIET

[Reactie gewijzigd door defixje op 25 september 2015 00:16]

Magento is een product gekozen door marketeers in verband met product & sale logica.
"We maken het open source, maar om toch nog wat centen te verdienen maken we het zodanig convoluted dat je alnog graag wil betalen voor support".
Inderdaad, Ik heb gehoord van ander bedrijven dat het support slecht is. Je krijgt een call center medewerker met geringe informatie.
Magento is een pracht van een pakket, mits je vooraf goed je wensen en eisen hebt uitgewerkt en de inrichting door een goede specialist hebt uitgerold. Met name dat laatste is heel bepalend voor het uiteindelijke succes van je webshop. De definitie van 'andere Magento leveranciers bakten er niet veel van' is heel betrekkelijk. Die andere leveranciers bouwen immers verder op datgene wat je eigen webbouwer heeft ontwikkeld en als het daar al niet goed gaat...

Zelf vergelijken we het ontwikkelen van een Magento webshop vaak met het bouwen van een huis. Als je het goed wilt doen, dan ga je goed doordacht te werk. Je bedenkt vooraf waar je de erker wilt hebben, hoe de dakkapel eruit moet komen te zien, etc, etc. Klanten denken daar heel anders over: die willen het liefst gefaseerd te werk gaan en bovendien strak bovenop het budget zitten.

Het resultaat is dus een Magento webshop vol met ondoordachte keuzes die inderdaad conflicteren met elkaar. Of, om in huizen-termen te blijven: een mooi huis, met een erker in een andere bouwstijl en een dakkapel dat niet mooi uitlijnt.
Magento is een pracht van een pakket ? Ik weet zeker dat jij de FOSS versie draait (gezien de corporate versie echt schreeuwend duur is) en je een volledige BLEEDING EDGE draait zoals Magento al jaren doet zodat ze hun corporate pakket lekker in de wild kunnen testen.

Magento is een draak, net zoals Wordpress. Ze hebben alleen goede PR gedaan, zegt nog niets over de kwaliteit van het pakket ;)

[Reactie gewijzigd door RutgerM op 24 september 2015 13:55]

In mijn beleving is Magento noch een draak, noch een pracht van een pakket. Het probleem is dat elk eCommerce pakket wel z'n nukken en eigenaardigheden heeft, en dat geldt ook voor Magento. Door de loop der tijd is het een log en ondoorzichtig stuk code geworden, waar je als je nu iets voor elkaar wilt krijgen je toch wel een paar keer je hoofd stoot. Aan de andere kant doet het voor veel webwinkels wat het moet doen, heeft veel mogelijkheden, en kan behoorlijke aantallen producten en klanten aan. Ja, daarvoor moet je ook wel 'een systeem' hebben staan, maar er zijn legio paketten die totaal niet met een flinke webshop overweg kunnen.

Het grootste probleem in mijn beleving met het updaten van Magento is dat men er traag mee is, en dat updates nogal eens tot vreemde problemen leiden met modules of thema's. Dus moet je eigenlijk minimaal een TP/TAP omgeving hebben, en moet er getest worden. Als men met deze uitspraak bedoeld het te willen voorkomen dat core wijzigingen leidt tot niet werkende thema's en/of modules en zo core wijzigingen sneller te kunnen laten deployen, dan ben ik helemaal voor, omdat dan ook sneller geupdate kan worden.

Neemt niet weg dat men ook wel wat kan doen aan voorlichting; de ergste bug in Magento van afgelopen jaar is qua communicatie ook niet bepaald goed (lees: traag en onduidelijk) verlopen.
Door de loop der tijd is het een log en ondoorzichtig stuk code geworden
Toen ik er in 2009 mee moest werken had ik die mening ook al, dus je hebt geen 6 jaar nodig om de ellende te verklaren.
Ik weet zeker dat jij de FOSS versie draait (gezien de corporate versie echt schreeuwend duur is)
Ik neem aan dat je Magento Enterprise bedoelt in plaats van Corporate. Ik heb ervaring met zowel Magento Community, Professional als Enterprise. Mijn voorkeur ga na al die jaren nog steeds uit naar de Community Edition, simpelweg omdat de meerwaarde van Enterprise in de regel te klein is.
...en je een volledige BLEEDING EDGE draait zoals Magento al jaren doet zodat ze hun corporate pakket lekker in de wild kunnen testen.
Fijn dat je me beter kent dat ik mezelf ken. Maar je hebt ongelijk. We zijn juist heel terughoudend hierin en trappen vaak zelfs op de rem. Je hebt niets aan bleeding edge: als je een fysieke winkel hebt gooi je toch ook niet elke week je indeling om?
Magento is een draak, net zoals Wordpress. Ze hebben alleen goede PR gedaan, zegt nog niets over de kwaliteit van het pakket ;)
Magento kán een draak zijn, maar als ik ga kijken naar de shops die wij opleveren, de stabiliteit waarmee ze draaien, de lage systeemeisen en de eenvoud van upgraden... Geen draak, eerder een lief poesje.
Magento blijft goed voor verkopers en marketeers voor zijn product & sale logic. Elk programmeur met beetje eigenwaarde laat het framework links liggen. Misschien ben ik zo negatief omdat ik trauma's heb opgelopen tijden het developen haha.

De gehele codebase van Magento is lelijk en grappig :9
http://nwdthemes.com/2015...y-pieces-of-code-magento/

[Reactie gewijzigd door SinisterGlitch op 25 september 2015 15:07]

Klopt dat is het probleem, de updates van magento veranderen ook heel wat zaken intern en zijn niet alleen veiligheidsupdates.
Van 1.9.1 naar 1.9.2 betekend idd weer heleboel testen want het werkt niet zo maar.

Wat ze wel zouden moeten doen is de patches automatsich beschikbaar maken op basis van de versie die je nu draait. Dat is idd een manco van magento en een heel grote zelfs.
Dat je achterloopt is niet zo'n probleem, als je maar de laatste patches installeert. Magento brengt ook voor oudere versies gewoon patches uit. Stel je draait nog op CE 1.7 en je hebt de laatste patches geďnstalleerd ben je gewoon veilig. Over het algemeen valt de impact van de patches mee, het lost een specifiek probleem op maar wijzigt niet zomaar een hele flow. Testen is altijd van belang, welk systeem je ook gebruikt.
Welk pakket heb je nu dan?
Presta denk ik ;) Die devven er goed op los met de community!
Aha okee. Dat wordt hem hier ook denk ik de volgende keer.

OpenCart is helemaal een ramp met updates. Ik weet dat OpenCart niet te vergelijken is met Magento, maar het ziet er wel wat simpeler en makkelijker uit voor de klant. Maar vreemd genoeg kunnen de prijzen nog altijd slechts exclusief BTW worden ingevuld en het voorraadsysteem bij bijvoorbeeld een groen t-shirt in de maat L werkt niet (omdat dat 2 verschillende opties zijn en dat lukt niet). Maar OpenCart draait wel op normale shared hosting, Magento is dan supertraag.

Ik hoop dat Prestashop een beetje tussen beide pakketten in zit.
Zeker wel, maar ik was wel gecharmeerd door OpenCart destijds, was er toen net... verder nooit mee naar gekeken :)
Ik deel de frustratie. Magento is echt ontzettend lastig in versiebeheer te zetten en om te updaten. Zeker als je ook een custom theme hebt welke is afgeleid van de standaard Magento templates. Helaas kiezen veel module bouwers ook vaak voor de (te) makkelijke weg om complete templates te vervangen in plaats van op block niveau via de layout XML aanpassingen te maken. Tel daarbij nog de nodige klant-specifieke customizing bij op en je krijgt al gauw een complexe opzet van Git.

Wij hebben voor alle modules aparte Git repositories waarin we updates en klant-specifieke wijzigingen bijhouden voor die ene module. Middels branches kunnen we dan snel updates van alleen die module uitrollen en toch de custom aanpassingen voor die klant behouden. We hebben dan ook per module een deploy script om bijvoorbeeld directorynamen te kunnen aanpassen (community / local, etc).

Voor de core Magento installatie hebben we ook een aparte Git repository. Het lastige hierbij is echter dat je custom templates (en eventuele aanpassingen in andere Magento core files) in andere directories moeten staan dan de bron bestanden. We werken hiervoor met een post-Magento-update script wat na iedere update van Magento kopieen maakt van de bestanden (naar local) die we gaan aanpassen / hebben aangepast. Die versie wordt in een aparte branche ingecheckt als onze master en vandaar uit gaan we dan aanpassen specifiek voor die klant (waarbij we Gitflow gebruiken). Het uitrollen van een complete Magento update is daarin redelijk simpel en het grote voordeel is dat we alle wijzigingen / bugfixes in de basis templates ook kunnen meenemen in de aanpassingen voor die klant. Maar losse patches (zoals die recent regelmatig zijn uitgerold) zijn een stuk lastiger. Vooral als je op dat moment ook nog aan een aantal feature branches tegelijk bezig bent, is het soms best complex en goed opletten hoe je de update uitrolt en merged naar alle actieve branches.

Hopelijk wordt het met Magento 2 beter waarbij de directorystructuur een stuk beter lijkt te zijn.
Dus een beetje ala wordpress gok ik dan?

Hoewel ik geen Magento webshops heb draaien op mn server denk ik wel dat het een vooruitgang is als ze een wordpress achtige auto update erin zouden doen.

Meer omdat het minder werk is om up to date te blijven en veiliger.

[Reactie gewijzigd door geke-sulen op 24 september 2015 10:16]

hoe is verhouding Magento vs wordpress + ecommerce/shop?
Heb met beide veel ervaring. Jarenlang gewerkt bij een Magento-webwinkel, en onderhoud nu voor verschillende partners hun WordPress (WooCommerce) website.

Het ligt er eigenlijk aan wat je wilt als webshop-eigenaar. Magento is een prachtig, maar ook zeer log, systeem. Moeilijk te onderhouden, en daardoor ben je webwinkelier met een Magento-shop bijna verplicht een developer in-house te hebben. Je krijgt daar ook wel wat voor terug, het systeem draait prima met meer dan 100.000 producten, en met de juiste tools en cache-oplossingen kan WooCommerce hier echt niet tegenop.

Daarintegen is WooCommerce heel toegankelijk/laagdrempelig, met makkelijk uit te voeren updates. Voor een WooCommerce-store zie ik vaak dat mensen een developer op ZZP-basis hebben, omdat veel zaken zelf gedaan kunnen worden met bijvoorbeeld plugins. Verwacht echter niet dat je hier zomaar 100.000 producten in je store kan zetten.
Helemaal mee eens.

[deels offtopic]
Wil wel een opmerking plaatsen bij de laagdrempeligheid van WooCommerce vandaag de dag... Als je echt de functionaliteit wilt hebben die je zoekt dan ben je al snel aangewezen op een setje plugins.
Deze waren in het begin ook laagdrempelig geprijsd en daardoor kocht ik ze ook, zelfs voor mijn kleine hobby website met nauwelijks omzet/winst en een webshop op een non-profit website.
Gaanderweg zijn de prijzen omhoog gegaan en naar een jaarlijks licentiemodel (hele discussie geweest waarbij ik me, en met mij veel anderen, nog altijd niet volledig kan vinden in de argumenten van WooThemes) en hierin zit direct ook een gevaar. Er wordt meer uitgeweken naar betaalde plugins vanaf bijv CodeCanyon en die zijn zeker niet allemaal goed (aan den lijve ondervonden op mijn test webshop). Of nog erger mensen gaan (gejatte) nulled plugins gebruiken (blijf ik verre van, want ik heb geen zin in een lekke installatie). Ik ben er van overtuigd dat dit op termijn schade gaat doen aan de reputatie van WooCommerce als er opeens een heel aantal WooCommerce shops lek blijken te zijn. Mag alleen maar hopen dat grotere webshops wel zo wijs zijn om betrouwbare plugins te gebruiken/kopen.

De doorgeschoten prijzen van sommige WooCommerce plugins is trouwens de reden dat ik voor een aantal specifieke functies eigen plugins aan het maken terwijl ik zo een handvol plugins kan aanwijzen waar de functionaliteit die ik zoek gewoon in zit. Maar ja, $79 ~ $199 excl BTW per jaar is mij een brug te ver.

Begrijp me niet verkeerd, als developer moet je aan je werk kunnen verdienen en voor het onderhoud betaald worden, maar nu webshops meer en meer gemeengoed zijn geworden is juist die laagdrempeligheid van belang. Ik hoop dan ook dat de overname van WooThemes door Automattic de prijzen in de komende tijd wellicht ten goede gaat komen en dat er in ieder geval een aantal zaken gewoon in de core opgenomen gaan worden.
De prijzen van plugins zijn door de jaren inderdaad gestegen, zowel voor Magento als Wordpress. En ik heb 't ook niet zo op maandelijks of jaarlijks betalen voor plugins (liever eenmalig).

Maar kant-en-klare plugins kosten alsnog een fractie van wat maatwerk kost bij een redelijk uurtarief, en zoals je zegt: ontwikkelaars van goede plugins mogen best betaald worden. Bovendien is het een kwestie van kosten en baten: Als nieuwe functionaliteit ¤500 kost, maar het levert ¤1000 of meer op aan gestegen omzet / winst, dan is het een goede investering.

Het feit dat Wordpress en WooCommerce zo laagdrempelig zijn, heeft ook nadelen. Veel mensen doen te gemakkelijk over de bouw van websites en webwinkels en zijn niet bereid een redelijke investering te doen, waardoor zaken als beveiliging, conversie, performance en gebruiksgemak vaak niet optimaal zijn. Naar mijn mening is het in leven houden van hele kleine webwinkels met amper omzet gewoon twijfelachtig. Je kunt niet alles verwachten zonder te investeren, en je kunt alleen investeren als er voldoende omzet en winst is.

Dus ik denk niet zozeer dat plugins te duur zijn, maar eerder dat er veel winkels zijn die eigenlijk niet commercieel haalbaar zijn. Als een plugin van ¤200 al een enorme kostenpost is en dit niet vanuit de winst kan worden geďnvesteerd, dan gaat er volgens mij iets anders mis. Het is natuurlijk aan een ieder zelf om een winkel in de lucht te houden met passie en eigen tijdsinvestering, maar Wordpress / WooCommerce / Magento / enz hoeven niet alles gratis of bizar goedkoop te maken om dat te faciliteren.

[Reactie gewijzigd door geert1 op 24 september 2015 12:31]

Naar mijn mening is het in leven houden van hele kleine webwinkels met amper omzet gewoon twijfelachtig. Je kunt niet alles verwachten zonder te investeren, en je kunt alleen investeren als er voldoende omzet en winst is.
Mee eens. Reken maar op een kaalslag de komende 5 jaar!
Geen idee eigenlijk. Ik zelf draai wordpress voor een aantal klanten en daar heb ik allemaal auto update aangezet. Scheelt een hoop tijd die ik dan weer aan andere dingen kan besteden.
Totdat je thema of plugin niet meer geupdate wordt en incompatible wordt met de nieuwste versie van Wordpress ;)
Dat heb ik tot op heden gelukkig nog niet mee gemaakt maar ik kan me voorstellen dat het kut is XD
Volgens het onderstaande onderzoek van de top 1 miljoen alexa websites heeft magento community edition een iets groter marktaandeel (25.3%) dan Wordpress (woocommerce) (23.7%).
http://blog.aheadworks.co...-two-platforms-take-half/

[Reactie gewijzigd door Destrega op 24 september 2015 10:24]

Alhoewel zeker interessante cijfers, is het belangrijk om te beseffen dat het iets zegt over het gebruik van Wordpress ten opzichte van Magento. Maar ook niet meer dan dat. Op basis van wat ik dagelijks voorbij zien komen, bevatten Magento webshops meer producten en meer omzetten dan WooCommerce webshops. Een veiligheidsissue in Magento kan potentieel dus meer risico's met zich meebrengen dan WooCommerce.

Daar staat tegenover dat de gemiddelde WooCommerce gebruiker in de regel minder technisch onderlegd is. Laten we eerlijk zijn: WooCommerce heb je sneller in de benen dan Magento. De vraag is of deze gemiddelde WooCommerce gebruiker wel alle patches doorvoert. Zeker bij Wordpress zijn er dat nogal wat namelijk.
De tool waar in het artikel naar verwezen wordt, waarmee webshopeigenaren kunnen checken of ze kwetsbaar zijn, is https://www.magereport.com
Checkt op alle patches, onbeveiligde dev bestanden, of server software up-to-date is, onbeveiligde versiebeheer (bijv. git) en meer.
Het is overigens verstandig die 80% ongepatchte installaties met een enorme korrel zout te nemen.

Mensen die zo'n tool opzoeken zullen veel vaker dan gemiddeld onbeschermd zijn.
Personen die gewoon hun Magento software patchen (of wens website leveranciers dat doen) hebben nauwelijk behoefte aan zo'n tool.

Het werkelijke aantal ongepatchte installaties kan dus zo maar wel een factor 5 of 10 lager liggen.
Als je Magento vers installeert mis je zelfs al patches. 80% valt me dan nog mee.
Patches geven gelukkig weinig problemen, grotere updates daarentegen heb ik minder fijne ervaringen mee.
- Plugins die niet meer werken
- String translations die ze in de templates hebben aangepast
- Problemen dat onervaren programmeurs in de core hebben zitten rotzooien dat voor eeuwig kwijt is.

Het zou ook enorm fijn zijn als ze het makkelijker zouden maken om verschillende omgevingen op te zetten en plugins gewoon allemaal via een composer-bestandje te installeren zijn.
Veel plugins zijn (met een klein omweggetje) de installeren via composer. Zie
http://packages.firegento.com/
De tools test de veiligheidspatches die magento uitgebracht heeft. Je kan best versie 1.8 draaien en toch veilig zijn.

Toch denk ik wel dat er heel veel mensen magento draaien zonder hier echt naar te kijken. Het is ook een magento fout om dat niet automatsich te doen, c.q veiligheidspatches moet je meteen kunnen downloaden en uitvoeren. Nu moet het volgens magento via ssh, root access en dat is niet voor de massa plug en play.

Er zijn trouwens sites die ftp patches maken op basis van de magento patches. Dit had magento zelf natuurlijk al lang moeten doen.
Waar baseer je dat op? Mijn aanname (want dat zijn t!) zou juist zijn dat die site relatief vaker bezocht wordt door beheerders welke het juist wel serieus nemen. Degenen die er niet naar kijken, zoeken wellicht ook niet naar een rapportje.
Hoe ik het artikel begreep: de webhoster Byte heeft de 80% ungepatchde shops gedetecteerd in hun klantenbestand. Met andere woorden 8 van de 10 Magento sites die ze kosten is niet up to date.
Nope, we hebben duizenden shops gescanned, zowel intern als extern gehost, zowel nederlandse als buitenlandse shop, en uit die scan kwam dus die 80% terug. Het is dus echt zoals in het blog staat:
Over 80% of Magento shops worldwide do not have the latest Magento security fix installed.

[Reactie gewijzigd door Cipri op 24 september 2015 13:09]

Was dat maar waar, die 80% is niet op basis van gegevens uit https://www.magereport.com !
Ik denk dat het eerder veel erger is. Er zullen veel shops zijn die "set it and forget it" zijn geinstallerd die niks doen aan onderhoud. Dit zullen de wel kleinere shops zijn maar waarschijnlijk wel heel veel.
Ik ben als beheerder zijnde toch altijd een beetje huiverig voor automatische updates maar ik moet zeggen dat Wordpress hun zaakjes op dit gebied goed voor elkaar heeft. Als Magento dit ook zo voor elkaar kan krijgen zou dat een enorm pluspunt voor Magento zijn.
Helemaal mee eens, maar je hebt automatisch, en je hebt makkelijker.
Momenteel moet je om je Magento te updaten een account aanmaken op Magento's site, inloggen, adhv je versie de juiste file downloaden, deze op de juiste manier uploaden naar je server, en dan op de shellserver een commando draaien om te patchen. Voor ervaren open source'rs geen ramp, maar een groot deel van de gebruikers vind 'de shell eng', en doet dat dus niet.

Als je gewoon in je Magento backend een knop hebt met "Installeer patch SUPEE-12345", waar je op kan drukken als je weet dat het in je test omgeving ook ging, is dat behoorlijk wat makkelijker en secuurder dan hoe het nu gaat.
Mensen die de shell eng vinden zouden niet het beheer van een webshop op zich moeten nemen, maar hier iemand voor in dienst moeten nemen of inhuren die wel verstand van zaken heeft. Ik vind de roep om een gemakkelijkere manier een roep om nog meer problemen. Maar uiteraard snap ik jullie (Byte) wel. Hoe meer mensen een webshop op basis van Magento hebben des te meer klanten hebben jullie.

Het makkelijker maken van het patchen van Magento zorgt er misschien voor dat er nog maar 50% van de Magento webshop achter loopt met patches. Maar dit zorgt er ook voor dat er nog meer mensen met Magento gaan werken die geen verstand van zaken hebben. Het probleem verplaatst zich dan van de Magento core naar brakke extensies en eigen code. Naar mijn idee is Magento connect al een stap te ver in het faciliteren van het onkundig gebruik misbruik van Magento.

Als je geen verstand hebt van hoe de basis van een auto werkt breng je de auto naar een garage voor onderhoud en reparaties. Als je last hebt van je kies ga je naar de tandarts en ga je niet zelf met een boor uit de schuur aan de slag. Als je niet de kennis hebt om een webshop te onderhouden vraag je ondersteuning van een webdeveloper (en nee dat is niet je neefje die wel eens iets over HTML gehoord heeft).

Ja dat kost allemaal geld. Maar je krijgt er ook iets voor terug. Je remmen werken als je die nodig hebt. Je verrekt niet van de pijn en houd een mooi gebit. En je webshop is in goede handen waardoor jij (de webshopeigenaar) en al je klanten op een fijne en veilige manier gebruik kunnen maken van je webshop.

En laten we eerlijk zijn. Een patch van Magento kost maximaal 15 minuten (mits dat neefje niet allemaal vreemde niet goed geprogrammeerde extensies geďnstalleerd heeft via Magento connect). Dan praten we over een paar tientjes. Voor dat geld ben ik nog nooit klaar geweest bij één van de andere voorbeelden die ik noemde.

Ik ken niet één ondernemer die zijn eigen winkel- of kantoorpand in elkaar heeft geknutseld met wat stenen die hij hier of daar gevonden heeft omdat het huren of kopen te duur zou zijn, waarom moet dat op internet zo nodig wel gebeuren?
Met het grootste deel van je betoog ben ik het met je eens, behalve met je stelling dat Magento Connect een stap te ver is. Ik kom uit de Linux hoek, en hoe graag ik ook zelf m'n kerneltjes en benodigde programmatuur compileer, toch ben ik erg blij met Debian die me met apt helpt om het systeem up-to-date te houden.

Je maakt de vergelijking met een auto en een tandarts. Voor mij is het bijhouden van patches hetzelfde als het poetsen van je tanden of zelf af en toe je oliepeil controleren. Wat jij betoogt komt dus neer op "een klant moet maar 3x daags bij de tandarts langs" of "maandelijks langs de garage". Want als ik last heb van m'n kies of een ratel hoor in m'n auto moet ik een afspraak maken bij de specialist, en mag hopen dat-ie snel tijd heeft voor me. En in het geval van een pijn of ratel is dat 'lastig' in het geval van een security patch kan het 'dodelijk' voor je webwinkel zijn. Waarschijnlijk kom je nu met het argument dat een goede hoster dat allemaal voor je doet, maar daar hangt gewoon een prijskaartje aan, en heel veel webwinkels hebben niet de hoeveelheid inkomsten om dat te rechtvaardigen. Dan is de mogelijkheid van een partij die het onderhoud voor je doet, maar waar je zelf de patches van kan bijhouden een prima mogelijkheid om die kosten wat te drukken.

Mij maakt het allemaal niet zo heel veel uit - mijn kennisnivo is dusdanig dat ik ook met de patches van Magento overweg kan, alleen is het mij al een paar keer overkomen dat patches flink de mist in gingen - en dat zelfs op een kale, net geinstalleerde Magento. Geen vreemde templates, geen extensies etc.
Mijn ervaring is dat Magento connect wel degelijk een stap te ver is en niet helemaal te vergelijken is met zoiets als apt. Ook ik ben blij met tijd en moeite besparende opties zoals apt. Magento connect is echter niet bedoeld om sneller te werken of om het minder moeite te laten kosten maar om de drempel omlaag te halen om functionaliteiten toe te voegen zonder de naar mijn idee benodigde kennis in huis te hebben. Ik heb die functionaliteit sneller toegevoegd via de shell dan dat ik eerst inlog bij Magento om de key te krijgen en dan in te moeten loggen in Magento connect om daar de module te installeren.

Ik ben het met je eens dat de vergelijking met wat voor ander beroep dan ook altijd een beetje scheef loopt. Ik gebruikte deze voorbeelden om de soms, naar mijn idee, vreemde kijk op wat je op het web zelf zou moeten kunnen te verduidelijken. Toch voelt een ingrijpende patch uitvoeren voor mij niet als het pijl van je olie nakijken of het poetsen van je tanden. In die voorbeelden kan er weinig mis gaan en als het dat al doet ben jij alleen de pineut en niet al je bezoekers.

Het is in ieder geval zeker niet de taak van je webhoster om je software up to date te houden daar heb je webdevelopers voor, of je moet zelf technisch onderlegd zijn (in dat geval ben je niet bang voor een terminal venster). En ja, als je dat niet zelf bent kost dat geld. Maar waarom zou dat het niet mogen kosten? Het hebben van een bedrijf betekend dat je moet investeren om daar later winst uit te kunnen halen. Vroeger waren dat 10 duizenden euro's nu kan dat al voor een fractie. Als je dan nog te weinig omzet draait om primaire onderdelen van je bedrijfsvoering te kunnen financieren heeft je bedrijf gewoon geen bestaansrecht.

Mocht je nou vinden dat iedereen maar een webshop moet kunnen hebben dan is er altijd nog een Myshop account voor 5 euro per maand waar alles voor ze onderhouden word.
Hear, Hear!
Genoeg vergeten dat IT een specialisme is en dat je voor dingen als sites en webshops simpelweg proffesioneel beheer nodig hebt.
En dat is inderdaad niet het pruts neefje.
In principe is die er ook: Magento Connect. Echter, men vindt niet dat elke patch zomaar moet leiden tot een nieuwe versie van de sourcetree, en dus mag je, als je op tijd wilt zijn, patches op de door jou beschreven manier downloaden. Dat die scripts ook nog eens meestal foutlopen is een ander verhaal.

Wat mij betreft zorgen ze z.s.m. dat patches leiden tot een nieuwe sourcetree versie die gewoon via Magento Connect bijgewerkt kan worden. Heb het gevoel dat ze daar ook mee bezig zijn overigens.
Zo moeilijk is het toch niet om op een exp.madhouse.nl wel automatische updates aan te hebben staan en op prd.madhouse.nl niet. Laat je geautomatiseerd om de 2 uren even een checkscriptje (Selenium, Jmeter etc) lopen of alles nog werkt en bij problemen een mailtje richting jouw als persoontje.
Is inderdaad niet heel moeilijk, ik gaf enkel aan dat ik er altijd een beetje huiverig voor ben daar we bedrijfsmatig (moet ook wel) eerst altijd op test doen en na goedkeuring key users pas productie updaten. Veel mensen zijn niet heel technisch aangelegd en denken "dat komt wel goed" en vertrouwen op het geen de fabrikant ze aanlevert. Als Magento het dan net zo goed doet als Wordpress dan is dat een hele goede zaak.
Eens.. een beetje beheerder moet toch minimaal 1 testomgeving hebben waar hij dit soort zaken even onder de loep neemt.
Helaas is juist zo'n testomgeving het eerste wat sneuvelt. Het mag gewoon niet teveel geld kosten van klanten.
Dan moet de klant ook niet zeiken als er door een update iets omvalt of als de update niet uitgevoerd is.. er iets gehackt wordt en/of ook omvalt. ;)
sarcasme modus: Ja maar dat ligt dan natuurlijk altijd aan de leverancier en niet aan de eindgebruiker }>
Inderdaad. De webbouwer heeft het altijd gedaan. Afgelopen week nog een case bij de hand gehad waarbij de eindklant met 1 druk op de knop z'n gehele productcatalogus liet overschrijven. Hel en verdoemenis, we hebben het geweten. Uiteindelijk hebben we na onderzoek geconstateerd dat de klant het zelf had veroorzaakt. Kwade opzet dus.
Tja updates horen ook zo ge copy en paste te worden wat mij betreft.

Vaak moet je allerlij toeren uithalen om iets weer werkend te krijgen en velen willen dat niet omdat de website niet ergens in beheer is en dat dus bakken met geld kost opnieuw.
Website beheer is gewoon een moderne manier van diefstal zo duur is het vaak.
Daarom laten velen een site opzetten en word er daarna niets meer aan gedaan.

Met een simpele copy en paste kan je het zo doen.
Of zelfs een update en rollback backup functie in de beheer account is nog beter.
Tjah als je geen geld aan je site/shop wilt uitgeven hoor je naar mijn mening van het web geschopt te worden.
Als je proffesioneel een site hebt hoort daar gewoon profi ondersteuning bij. Dat kan via een onderhoudscontract of uurtje,factuurtje.

Het kost nu eenmaal geld, net alle zakelijke dingen. Ze zeuren niet dat het onderhoud van de auto geld kost, maar een site zou gratis moeten zijn?:S
Met de standaard tool is alles op 3 dingen na te updaten, dat moet inderdaad via SSH, als dat gefixt kan worden ben ik erg blij!
Ik vind het ook een erg omslachtige methode om patches te installeren.

je bent zo een uur verder voordat je weet wat er moet gebeuren.
Vraag me af hoeveel van die webshops het nut van updaten inzien? Webshops moeten 24/7 draaien en als het draait dan is het toch goed zullen vele webshopeigenaren denken. Maar gezien tegenwoordig alles gehackt wordt zijn updates juist heel belangrijk, al is het maar om je klanten te beschermen. Daarbij kan je als softwaremaker het je niet echt meer permitteren om het updaten moeilijk en omslachtig te maken, dus dat magento het nu pas eenvoudiger gaat maken is iet wat aan de late kant denk ik dan, hier hadden ze al op moeten anticiperen op het moment dat hackers aan je software gaan rommelen en mensen kwetbaar blijven te zijn doordat ze niet updaten.
Maar hoe gaat Magento het precies makkelijker maken en wanneer? Ik kan daar niets over vinden.

Automatische updates zoals in Wordpress zit ik niet op te wachten, in combinatie met versiebeheer is dit niet ideaal en daarom dan ook uitgeschakeld voor Wordpress websites. Ik gebruik zowel voor Wordpress als voor Magento Composer en dat werkt super (zowel voor de core als voor modules/plugins). Wanneer er een nieuwe versie/patch is even het versienummer aanpassen en een update draaien.

Een paar handige linkjes voor de geďnteresseerde:
- Magento Composer installer: https://github.com/Cotya/magento-composer-installer
- Magento Composer core installer: https://github.com/AydinH...o-core-composer-installer
- Wordpress basis met Composer: https://github.com/roots/bedrock
Zo, dat zijn aardige prijzen daar bij Byte voor Magento hosting zeg: https://www.byte.nl/hosting/magento/prijzen
¤ 49,- per maand voor 300 bezoekers per dag (dat is bij 4,8 minuten per bezoeker slechts 1 bezoeker tegelijk per dag op de website (24 uur x 60 minuten / 300 bezoekers = 4,8 minuten). Maar gelukkig is er ook nog een pakket van ¤ 1.399,- per maand. :)

En dan zie ik op die pagina ook dat het is ondergebracht bij Digital Ocean en Amazon AWS, dus ze hosten het niet zelf?

Maar op zich wel een goed plan van die tool. Het geeft toch weer wat aandacht. En wat bewapening voor de developer om klanten die laks zijn of geen budget hebben voor updates wat meer te overtuigen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True