Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

WordPress komt met patch voor bug die auto-update uitschakelde

WordPress heeft een patch uitgebracht voor een bug die in een eerdere versie van zijn software was geslopen. Die heeft tot gevolg dat de auto-updatefunctie niet meer werkt, waardoor nu een handmatige update is vereist. Daarnaast komt er geen patch voor een gepubliceerd DoS-lek.

In een mededeling schrijft WordPress dat de ernstige bug in versie 4.9.3 van zijn software is ge´ntroduceerd. Die zorgt ervoor dat sites die geconfigureerd zijn voor automatische updates, deze niet meer uitvoeren. Daardoor is het nodig om handmatig te updaten naar versie 4.9.4, die een patch voor de bug bevat. Dat kan onder meer via het dashboard en de knop 'update now'.

In een technische analyse schrijft WordPress dat het de bedoeling was om met versie 4.9.3 het aantal api-verzoeken bij een cron-taak voor een automatische update te verminderen, maar dat door een menselijke fout de bug werd ge´ntroduceerd. De bug is problematisch, omdat de software bij het uitblijven van een handmatige update geen nieuwe versies meer zal ontvangen. Eventuele kwetsbaarheden blijven daardoor open.

Eerder deze week publiceerde beveiligingsonderzoeker Barak Tawily een beschrijving van een denial of service-lek in WordPress, dat van toepassing zou zijn op een groot aantal sites. Het lek, met kenmerk CVE-2018-6389, laat een ongeauthenticeerde aanvaller via de loginpagina bepaalde php-modules aanroepen en daarmee onder meer grote hoeveelheden css-bestanden opvragen, schrijft beveiligingsbedrijf Imperva. WordPress ziet dit volgens Tawily echter als een probleem dat op server- of netwerkniveau opgelost moet worden. Daarom heeft de onderzoeker eigenhandig een patch geschreven.

Door

Nieuwsredacteur

81 Linkedin Google+

Submitter: kevinwalter

Reacties (81)

Wijzig sortering
Gelukkig is er een hele simpele maar effectieve oplossing tegen die DoS bug: wp-login.php alleen toegankelijk maken vanaf een IP Whitelist :). Scheelt ook veel resources omdat je dan gelijk brute force aanvallen niet meer mogelijk maakt.

Voorbeeldje voor Nginx & DirectAdmin;

Custom HTTPd settings -> Domein -> CUSTOM4

##########################################
# Restrict wp-login.php access by IP #
##########################################
location = /wp-login.php {
allow from xxx;
deny all;
# PHP config for wp-login.php
try_files $uri =404;
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include /etc/nginx/fastcgi_params;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include /etc/nginx/nginx_limits.conf;
if (-f $request_filename)
{
fastcgi_pass unix:/usr/local/php|PHP1_RELEASE|/sockets/|USER|.sock;
}
}

[Reactie gewijzigd door Erulezz op 8 februari 2018 16:40]

Alleen onbruikbaar als je zelf of je klant op een dynamisch IP zit. Ik gebruik op Linux zelf een geheime url die ik via een cookie / .htaccess bestand afdwing te gebruiken.

Je maakt in de root een folder aan zoals 'wordpressbeheren' en plaatst daarin een index.php bestand met als inhoud:

<?php $admin_cookie_code="1122334455";
setcookie("WordpressAdminSession",$admin_cookie_code,0,"/");
header("Location: /wp-admin");
?>


Dit plaatst een geheime cookie (pas de cookie code even aan).

Vervolgens, in de root van je website, zet je in je .htaccess bestand een code die controleert of de geheime cookie aanwezig is voordat je mag inloggen;

RewriteCond %{REQUEST_URI} ^/wp-admin/index.php
RewriteCond %{HTTP_COOKIE} !WordpressAdminSession=1122334455
RewriteRule .* - [L,F]


Ik heb het overigens ook wel eens gedaan door de hele /wp-admin map zo te beveiligen, maar sommige plug-ins plaatsen cache bestanden in de /wp-admin folder waardoor je fouten krijgt.

EDIT: Dit is veel minder CPU-hungry dan fail-to-ban of andere plug-ins omdat het native en realtime in apache draait en alleen bij een login-poging.

[Reactie gewijzigd door Gapert86 op 8 februari 2018 15:12]

Dit klinkt als een redelijke elegante oplossing, dank daarvoor. Maar volgens mij moet er ook een check op de cookie zijn op de wp-login.php page?
RewriteCond %{REQUEST_URI} ^/wp-login.php
RewriteCond %{HTTP_COOKIE} !WordpressAdminSession=1122334455
RewriteRule .* - [L,F]

Ik weet niet of de beveliging op ^/wpadmin/index.php veel nut heeft, als de wp-login.php wel beschikbaar is?
Hoeft niet eens. Fail2ban of wat ik op 15 eigen server gebruik, een script dat om de 5 seconden de Apache status leest en iedere poging tot POST op wp-login.php of /wp-admin/wp-admin-ajax.php opslaat en bij 5 x notering meteen in CSF flikkert.

De IP ban list aan de hand van wordpress is huge geworden in de afgelopen 6 maanden. Gerust een 200.000+ IP adressen.
Daarom alleen al zou je dit niet moeten doen. Lange IP backlists vertragen je server/website gigantisch. Je IP blacklist in CSF zou maximaal enkele honderden IP adressen moeten hebben. Gewoon via .htaccess een geheime url maken om de admin pagina te verbergen, kost geen CPU-cycles en alle scripts/bots vangen bot. En daarnaast natuurlijk op serverniveau Comodo WAF. Zie hieronder.

[Reactie gewijzigd door Gapert86 op 8 februari 2018 15:16]

Heel simpel.
Nullrouting gebruiken inplaats van firewall.
Geen CPU cycles = win.
route add 1.2.3.4 gw 127.0.0.1 lo

[Reactie gewijzigd door Power2All op 8 februari 2018 17:15]

Mag ik vragen wat je hier dan precies mee doet? Als ik er zo even snel naar kijk, forward je de ip (1.2.3.4 is een voorbeeld in dit geval?) naar loopback.
Zou je dit dan in een soort fail2ban script moeten zetten, die automatisch deze route in je IPTABLES zet als iemand 5 keer foutief probeert in te loggen?
IPTABLES wordt volledig ignored, aangezien als je met die gaat packet droppen, alles nog steeds CPU cycles nodig heeft, voor filtering.
Je past technisch gezien de routing tabel aan, die routeert het IP naar, inderdaad, naar 127.0.0.1, maar het komt technisch gezien erop, dat je het in een zwart gat douwt.

[Reactie gewijzigd door Power2All op 8 februari 2018 18:07]

De kernel routing table kost ook gewoon cpu cycles, wel minder dan iptables filteren, maar het is niet geheel overheadloos.
Maar de CPU cycles zijn zeer gering als je het vergelijkt met IPTables.
Het gaat erom dat je je CPU niet in overdrive gooit.
Door de routing table te gebruiken, veroorzaak je vele malen minder CPU cycles dan je met IPTables krijgt.
Wat heeft fail2ban voor nut, als er een lek in WP zit?

wp-login, wp-admin-* achter een whitelist zetten is de meeste veilige optie. Daarvoor heeft WP in het verleden te veel remote bugs gehad.
Is dus niet realistisch als je zelf of je klant op een dynamisch IP zit. Beter een geheime url. Zie hieronder.
Probleem daarmee is dat websites met bijvoorbeeld WooCommerce of leersystemen wp-login.php nodig hebben om hun website te laten functioneren.
Dit whitelisten zou bij de provider standaard ingebakken kunnen worden. Ben je ook in staat om dit te wijzigen mocht je een dynamische IP hebben.

Zelfs een script “24 uurs ban na vijf keer foutief wachtwoord” kan als optie gemaakt worden.

Via de achterkant kun je ook secure de site bewerken om mogelijk je IP te kunnen wijzigen mocht dat nodig zijn.
Wel leuk, al die workarounds e.d.
Ik snap best dat je default een aantal security zaken kan regelen. Immers kan je dat altijd doen bij elke applicatie die je draait. Het admin panel afschermen op ip, ratelimit, fail2ban, firewall rules en ga zo maar door: prima.

Wat ik wel schrijdend vind is dat WP dit gewoon niet patched. Ik vind het echt een kul argument; "This kind of thing should really be mitigated at the server or network level rather than the application level, which is outside of WordPress's control"

Nee, nee. Je hebt een file die toegankelijk moet zijn voor admins-only, hij is public, en je laat het op serverniveau oplossen.

Technisch gezien moet wordpress nu bij de install aangeven: Please mitigate the following issues yourself:
- x , y , z. Maar dat gebeurd natuurlijk ˇˇk niet.

WP moet eens realiseren dat dat ze een enorm platform zijn en als ze ZELF niet dingen op orde hebben dat 70% (ik noem maar wat) van de gebruikers kwetsbaar zijn voor basic dingen die WP ˇˇk kan oplossen. Die 'onderzoeker' heeft natuurlijk wel een basic dingetje gevonden en het gaat hem vooral om de eer. WP had hem gewoon moeten bedanken, wat goodies moeten sturen en het eens patchen. Wees eens de volwassen partij.
Het probleem is natuurlijk nu dat de mensen waarvoor auto update juist het allerbelangrijkst is, mogelijk deze patch nooit installeren. En laat dat mogelijk maar weg.
Het gekke is dat mijn eigen site wel automatisch is geŘpdate naar versie 4.9.4...
Bij mij zijn ook al mijn sites automatisch van 4.9.3 naar 4.9.4 geŘpdate maar dat zal wel door de auto update functie van Installatron (op DirectAdmin) zijn getriggered.
Vanaf 4.9.2 wellicht?
Zolang die mensen zelf op het backend van Wordpress inloggen, is er niets aan de hand.
Het eerste wat je namelijk ziet als je inlogt op Wordpress nu is boven aan een notificatie: Upgrade to Version 4.9.4 now.

Dus alleen mensen die geen content aan hun website toevoegen (wat een beetje vreemd is voor een blog site) zullen niet geupdate worden.

[Reactie gewijzigd door walteij op 8 februari 2018 15:42]

Je zou eens moeten weten :P

Vooral in de categorie klein bedrijf met contactgegevens en google map.
Makkelijk 3 kwart van de Wordpress sites waar ik op mijn werk mee te maken krijg zijn zwaar verouderd. In veel gevallen auto-update niet eens aan (dus hebben we deze bug niet voor nodig).
Of plugins die niet meer maintained zijn en al jaren bekend is dat ze gigantische lekken en exploits bevatten.

We hebben dan ook soort van een regel dat we nooit het onderhoud van zulke bestaande sites op ons nemen, dan bouwen we liever een nieuwe. Er kan zo gigantisch veel zooi in zitten (heb het allemaal wel een keer gezien inmiddels).

Veel van die sites zijn gebouwd met het idee dat de klant deze zelf onderhoud, maar als ze dan bij ons komen is dat juist meestal omdat ze die site al jaren niet aangeraakt hebben (leuk, met een blog erop enzo en laatste post is uit 2013).

Nog niet zo gek lang geleden een wordpress site overgenomen (met het plan deze tzt een nieuwe te bouwen). Even oppervlakkig updates gedraaid en niet veel verder gekeken (bedoel, dat ding gooien we later toch weer weg). Weekje later meldingen van me hostingprovider dat er allerlei phishing zooi in zit...

Wordpress is erg praktisch om snel iets in elkaar te zetten, maar de kwaliteit van de gebouwde sites zit echt gigantisch veel verschil in en daarnaast is er dankzij de populariteit ook ontzettend veel zooi voor te vinden.
Dat klopt idd. Eigenlijk zou je altijd een service-pakket moeten meeverkopen met een website. Te weinig klanten hebben daar zin in helaas. Het is toch een eigen verantwoordelijkheid.

Maar het is niet anders bij andere frameworks, het draaien van Windows XP of dergelijk. In de IT is het bijblijven geblazen.

Zeker in het MKB is het toch een hoog digibeet gehalt. Men installeert alle zooi die ze ergens kunnen vinden, betalen voor onderhoud ho maar, maar gaat het fout dan is het de schuld van de software, de leverancier etc.
Ik heb dit opgenomen in m’n hostingpakket prijs. Alle sites die ik zelf ontwikkel worden meegenomen in het update systeem.

Gebruik sinds kort managewp.com om een groot deel van de sites tegelijk van updates te voorzien. Scheelt bakken tijd :)
Zoals Basszje zegt, het probleem is dat heel veel (vooral kleine) bedrijven Wordpress niet als blog gebruiken.

Die bedrijven gebruiken het bijna als statische website waar men heel soms een item toevoegd of content update.
Ik zie het ook bij grotere bedrijven. Die van een andere partij weer een stukje software kopen om op hun sub website te zetten. Waarin weer een WP verwerkt zit.

Deze worden vaak niet automatische geŘpdatet, naar de laatste WP versie of er gaat op zijn minst een paar weken over heen.
Ik vraag me eerlijk gezegd ook wel eens af of sommigen niet gewoon beter af zijn met een statische pagina in ouderwets HTML + CSS. In sommige gevallen ben je langer bezig alles in een framework te prutsen dan je bezig bent met een statische pagina.
Tsja, maar dan mag je basis html uitleggen aan diegene die het af en toe eens moet updaten (wat dan in de praktijk eens in de 2 jaar voor komt ofzo, in dat geval mag je de wijziging ook aan mij geven, zet ik het er wel op).

Dit is zo'n beetje de main issue, want de klant eist nogal snel dat ze het zelf moeten kunnen bijwerken, dus wordt er werk gestoken in het ontwikkelen / deployen van een cms om er dan achter te komen dat ze het sindsdien nooit meer hebben aangeraakt, of gigantisch zitten te verkloten (zoals gigantische teksten zetten op plekken waar er niet veel ruimte is, en dat dan verder ook niet controleren), in het geval van WP nooit een admin account geven (tenzij je je klant echt kan vertrouwen) want dan staan er binnen no-time de meest wazige plugins op. Ik heb het zelfs een keer meegemaakt dat de klant zelf een thema had ge´nstalleerd (terwijl wij er juist helemaal op maat en naar wens een hadden ontwikkelt), thema functioneerde goed (genoeg) en de klant vond het mooi ... prima ... wezenlijk heb je nu een WP-installatie van een paar duizend euro gekocht, maar goed ...

Dusja, streng afbakenen wat ze wel en niet mogen en iets van een onderhoud/service contract aanbieden zodat die sites nog met enige regelmaat gecontroleerd worden
De site zelf hoeft niet basis html.

Desnoods gebruik je een stukje PHP om troep die ze zelf eventueel willen updaten of toevoegen uit tekstbestandjes, buiten de webroot map, wordt ingelezen.

Zo ook wel eens een site gemaakt voor iemand waarvan enkel de prijzen 1 keer per jaar gewijzigd werden en de homepage info konden aanpassen, en dit wilde ze zelf kunnen doen(heb het de meeste jaren voor ze gedaan). HTML/CSS/JS hoeven ze niet te kunnen, een tekst documentje openen en prijs1=100, prijs2=300, tekstvlaklinksboven="lorem ipsum", tekstvlakmidden="lorem ipsum", etc aan te passen, dat lukt mensen nog wel.

Nu deed ik op de achtergrond moeilijker, paar security checks en trok de info uit het bestand en duwde het een database in, zodat het scriptje zo min mogelijk buiten zijn webroot mapje zat te klooien, en het werkte gewoon wat sneller.

MySQL, PHP en IIS up to date houden regelde Windows voor me. Dus daar zat verder geen omkijken meer aan.

[Reactie gewijzigd door batjes op 8 februari 2018 18:42]

Ik heb dat lang lang geleden ook wel meermaals op zon manier gedaan. Het was mij nu niet eens als optie te binnen geschoten, zegt wellicht ook wat over mij als developer dat ik zelf ook vrij snel geneigd ben er iets van een cms tegenaan te kwakken (iets “simpels” is al vrij snel minstens een Symfony project).

Ligt namelijk sterk aan je klant / afnemer of je zoiets zoals jij voorstelt kan gebruiken. Je moet toch een beetje uitkijken met het escapen van specialchars (zeker je quotes, anders gaan je vars al stuk), of gebruik van html voor breaks, paragraven en stijlen, niet bepaald foolproof. Als je klant klein beetje technisch is, zal het vast prima zijn. Veel van mijn klanten zijn dat in ieder geval niet.

Neemt niet weg dat de meeste websites gewoon prima zouden zijn als een statisch paginaatje. Als deze fotograaf het niks kan interesseren, dan moet hij ook niet grote delen van zijn werk en klanten bestand erop knallen maar een simpele one-pager met wat contactgegevens en klaar. Hou je klantenbestand maar bij in een excelsheet op je computer ofzo.

[Reactie gewijzigd door Zoop op 8 februari 2018 18:59]

Tja, klant is koning uiteindelijk. En die wil CMS + admin rechten en geen servicecontract.

Op zich zijn de nieuwe regels qua datalekken al een stap in de goede richting, maar wellicht dat nalatigheid op dit vlak ook aangescherpt kan worden.

Punt is dat de klant eerst moet leren nadenken over IT-issues. En je kan ook niet te moeilijk doen want voor jou 10 andere bureaus die zo een WP-tje ergens neerplempen.
Ben ik mee eens, maar dat is niet hip :)
Zoals Basszje zegt, het probleem is dat heel veel (vooral kleine) bedrijven Wordpress niet als blog gebruiken.

Die bedrijven gebruiken het bijna als statische website waar men heel soms een item toevoegd of content update.
In mijn ervaring zijn van elke 100 wordpress websites in Nederland er 99 geen blog. De aanzuigende kracht is groot. Thema's maken de statische pagina's mogelijk en de eindklant kan makkelijk de inhoud achteraf aanpassen. Nadeel is dat veel websites hierdoor tegenwoordig van plugins aan elkaar hangen, 30+ is geen uitzondering. Met alle gevolgen van dien... (security, snelheid, complexiteit). Zal niet snel veranderen, een beter alternatief is er eigenlijk niet.

[Reactie gewijzigd door sdk1985 op 8 februari 2018 19:06]

Jup. Het merendeel van die mensen kijkt daar nooit meer naar om. Daar ligt een taak voor hosting providers om hun klanten te informeren. :)

Ikzelf gebruik auto-update niet overigens, staat uit op alle wordpress sites die ik onderhoud. Dat is namelijk incompatible met de verhoogde veiligheidsinstellingen en ik zie liever eerst wat er allemaal wijzigt. ;) Not to mention eerst een goede backup maken.
Tip: Ga eens kijken naar MainWP. Ik heb dit lek ook gevonden door de Vulnerability checker extensie. Ideaal om toch te updaten en je beveiliging op orde te hebben!
Het probleem is voornamelijk dat door security hardening bepaalde database updates niet uitgevoerd kunnen worden tijdens de WP-update. Voor een update moeten eerst server-side de benodigde rechten worden gegeven en dßn pas kan de updater draaien, daarna worden de rechten weer ontnomen. Ik denk als ik het zo lees dat MainWP daar geen verandering in zal brengen. :)
Jep, dat is een hele andere zaak. Voor normale installaties werkt het echter prima! :-)
voor een gratis CMS is wordpress toch echt wel een topper. En support wat ze bieden al helemaal.
@thePiett voor iets wat gratis is mogen we niet klagen ;)
Volledig mee eens! Dit is echt een mooi voorbeeld van een goede community die ervoor kan zorgen dat er een mooie tool die komt die goed onderhouden wordt en ook nog eens goede ondersteuning bied.
Ah, dus het update mechanisme vanuit het admin paneel werkt nog wel goed. Alleen het automatisch updaten was kapot. Makkelijk dus voor mensen die er wat minder van kennen :)
Klopt helemaal. En wat ik gezien heb, is dat de 4.9.4 ook er toch automatisch op komt. Ik kreeg in iedergeval netjes melding van auto update naar 4.9.4. En de geschiedenis laat zien dat 4.9.2 op 17 jan en 4.9.2 op 5 feb zijn geinstalleerd (via de auto update). Wel ook de NL_NL versie.

[Reactie gewijzigd door Get!em op 8 februari 2018 22:05]

Ik vind het wel vreemd dat ze niets doen tegen die DoS mogelijkheid aangezien het vrij simpel op te lossen is.

Ter toevoeging, de URL roept niet alleen CSS modules aan, maar *alle* ingebouwde CSS / JS libraries, en dat zijn er nogal wat.
Voor het DoS lek, er is ook een plugin die dit tegengaat!

https://wordpress.org/plugins/wp-cerber/
"Protection against (DoS) attacks (CVE-2018-6389)."
maar dat door een menselijke fout de bug werd ge´ntroduceerd.
Wat voor zin / nut heeft deze qualificatie?
Als het een aap was geweest, was het het vermelden waard geweest maar nu?

[Reactie gewijzigd door Olaf van der Spek op 8 februari 2018 14:04]

Oneens. Als men dit had weggelaten vroeg men zich af hoe zo’n fout gemaakt kon worden.
Nu is het duidelijk dat een van de programmeurs een foutje heeft gemaakt en dat deze bug er dus niet 'expres' in is gezet (vanwege een onbekend ander lek of zo) en kunnen de alu-hoedjes weer verder gaan met samenzweringen van de NSA zoeken (sorry mensen, ik ben vandaag in een erg melige bui en mijn reacties van vandaag zijn dus ook niet al te serieus te nemen).
Tja, zo schrijven ze het zelf. 't is ook maar een uitdrukking.

https://make.wordpress.or...se-the-technical-details/
Unfortunately due to human error, the final commit didn’t have the intended effect, and instead triggers a fatal error as not all of the dependancies of find_core_auto_update() are met. For whatever reason, the fatal error wasn’t discovered before 4.9.3’s release – it was a few hours after release when discovered.
"de uit elkaar vallende", dat durf ik niet zomaar te zeggen met zo'n community, respect.
bedoel je niet een cms die heel wat minder goed onderhouden wordt, en die niet een hele communitie erachter heeft?
Ik las de titel en was gelijk al bang voor dit soort onzinnige en nutteloze posts. Loze negatieve kreten in het rond strooien is makkelijk - onjuistheden zijn altijd slecht te onderbouwen zoals je inderdaad niet doet. Wordpress doet wat het moet doen...
edit:typos

[Reactie gewijzigd door shades op 9 februari 2018 08:50]

Er is inderdaad een gebrek aan onderbouwing, maar er zijn wel een kern van waarheid in. De architectuur van Wordpress is vrij ouderwets en getuigt niet echt van een kijk op de toekomst. Wordpress is daarom in mijn ervaring ook alleen geschikt voor sites zonder al te veel functionaliteit, want over het algemeen moet je het doen met wat het out of the box biedt, met een leuk sausje eroverheen. Wil je uitgebreide functionaliteit met databaselogica en ander vormen van interactie, dan kan je beter bij een rigide (en log) CMS als Drupal aankloppen.
Yup... al die uitgebreide functionaliteit die 99,9% van de mensen stiekem toch niet gebruikt en die alleen maar problemen kan veroorzaken...
Hier is je onderbouwing: https://github.com/WordPress/WordPress .

Los van de dramatische code (met alle gevolgen van dien) zegt het feit dat deze repository een SVN-sync is en dat Trac wordt gebruikt voor de development workflow dat Wordpress aan alle kanten een oude roestige uit elkaar vallende auto is waar je ver vandaan moet blijven.
Wat moet het dan zijn voor een simpele site?
Puur omdat er geen beter alternatief is betekent natuurlijk niet per definitie dat het goed is.
Iets van een flat file CMS zoals Grav, Kirby of Statamic.
Bij Joomla is enkele jaren geleden de community helemaal leeg gelopen. Veel cruciale plugins rondom zaken als cralwlen, caching en seo begonnen brak te worden en alternatieven waren er niet meer.
Joomla zit wat mij betreft in exact dezelfde categorie als Wordpress.
Dus de afweging om de een te gebruiken boven de ander is grotendeels voorkeur (er zijn zoveel plugins beschikbaar dat ze praktisch dezelfde functionaliteiten kunnen bieden).

Daarom krijg je minnetjes, denk ik, bovendien onderbouw je zelf ook niet waarom Joomla een betere keus zou zijn dan Wordpress.
Ik onderbouw het met mijn eigen ervaring zoals je ziet, als je goed leest. Wat wil je nog meer? Een bron die zegt dat Joomla beter is? Het blijft een kwestie van voorkeur en usecase.

Overigens zou je Joomla niet in dezelfde categorie plaatsen als je beide systemen wel eens hebt gebruikt voor iets meer dan een blog.

[Reactie gewijzigd door Gapert86 op 8 februari 2018 15:57]

stukje flexibeler, stabieler en functioneler.
Dat is geen onderbouwing :) Je legt niet uit waarom dat zou zijn, bovendien is het nog niet eens per definitie waar.

En ja, heb zowat elk bekend blogsysteem en cms gebruikt en heb er dagelijks mee te maken.
Wordpress kan ook behoorlijk meer dan alleen een blog (dus right back at ya, dat zou je weten als je het zou gebruiken voor meer dan een blog).
Zijn vraag rechtvaardigt een antwoord gebaseerd op puur ervaring.

Wij gaan hier niet uit komen. Hopelijk dupeer je niet teveel klanten met het gebruik van Wordpress voor websites die veel meer zijn dan een blog.

[Reactie gewijzigd door Gapert86 op 8 februari 2018 16:28]

Oh maar ik zeg niet dat ik geen Joomla gebruik en enkel alleen Wordpress hoor, dat is jou aanname.

Maar iemand loopt Wordpress af te zeiken, dan wordt er gevraagd wat er dan beter is, en jij zegt Joomla (zonder dat te onderbouwen) terwijl dat wel degelijk in dezelfde categorie valt.

Nergens voor nodig om gelijk zo persoonlijk dat ik mijn klanten zou duperen.
(terwijl Wordpress vaak juist de lading dekt, en Joomla al heel snel overkill is, dus erg zwak en kort door de bocht reactie van je).

Er valt helemaal niks uit te komen, je zat verkeerd, je werd gecorrigeerd en nu doe je kribbig.

Overigens houd ik mij met name bezig met het maken van op-maat cms systemen die buiten standaard paketten vallen. Wordpress en Joomla enzo is voor de stagiares om mee te knutselen.

[Reactie gewijzigd door Zoop op 8 februari 2018 16:54]

“Wordpress en Joomla enzo is voor de stagiares om mee te knutselen.”

Dit zet de rest van je opmerkingen in perspectief. Bedankt.
Ik zou de gang van deze reacties eens even teruglezen als ik jou was.
Ik deed vriendelijk, probeerde je iets uit te leggen, en jij gaat gelijk op de man spelen en komt met onvriendelijke reacties en wilde aannames ("dat zou je weten als...", ik doe dit werk al 20 jaar, je hoeft me echt niets te vertellen)
Dat zet het voor mij in perspectief, gewoon een onvriendelijke chagrijn die niet echt weet waar hij het over heeft.
Joomla is ongelofelijk complex, waar wordpress de gebruiker makkelijk de weg wijst.

[Reactie gewijzigd door basdej op 8 februari 2018 14:10]

mag mezelf toch wel redelijk handig noemen denk, maar joomla kreeg ik amper wat voor elkaar wat ik wilde. op WP had ik dit vrij vlot met enkele plugins geregeld, waarbij ik nu amper werk heb gezien mijn index pagina's makkelijk werken door de catogerie/tag manager van een "blog" platform, terwijl mijn site statisch gebouwd is (doch artikelen in berichten ipv pagina)
Joomla is volgens mij overkill voor een simpele site.
En hoewel Joomla zelf minder vulnerabilities heeft dan Wordpress, hebben de Joomla plugins wel meer vulnerabilities dan die van/voor Wordpress. Never mind, hier zat ik dus helemaal fout, Oorzaak: Resultaten uit het verleden bieden geen garantie voor het heden of de toekomst.

[Reactie gewijzigd door walteij op 8 februari 2018 14:37]

De laatste keer dat ik actief met Joomla heb gewerkt was nog met versie 2.x. En daarin waren er heel veel plugins met kwetsbaarheden, waar ik mijn uitspraak op heb gebaseerd.

Even de plugin vulnerability lists vergeleken, joomla en Wordpress en ik geloof dat ik inderdaad mijn woorden moet terugnemen.
Mwoah... als je bij de WP lijst kijkt dan zie je versienummers er bij staan tot wanneer de kwetsbaarheid aanwezig is, deze versies zijn er ook niet meer.
Bij de Joomla lijst ontbreekt dat en staat er dat het open vulnerabilities zijn..., en dat suggereert dat de kwetsbaarheden in plugins uit 2013 nog steeds bestaan. Bij wordpress kan ik oudere versies niet meer automatisch downloaden/installeren vziw.
die uit elkaar vallende roestige auto werkt anders prima :+
Een menselijke fout gemaakt, waardoor de update bug komt, en binnen 1 dag een patch om de bug te fixen. :)
Toch netjes & snel voor een roestige oude auto.
Plus, dit was helemaal geen vulnerability. Gewoon een bugje waarbij je op een knop moest drukken. Boeiend :O Storm in een glas water.

Goed om te weten hoor, en ik vind het tof dat Tweakers hier aandacht aan besteedt. Maar het zegt niet veel over de betrouwbaarheid van Wordpress.
inderdaad, het gaat in het artikel alleen maar over een automatisch update systeem wat niet werkte door een bug. en voor degene die echt een uitgebreide website heeft maakt het weinig uit, want met updates krijg je ook weer compatibiliteitsproblemen, dus wordt het waarschijnlijk toch al veel handmatig gedaan.
en die roestige auto heeft zich goed bewezen, genoeg "moderne" motoren met meer problemen dan de oude motoren, te kleine keerringen (bekend duits merk) spontaan klappende kettingen, noem het maar op :+

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*