WordPress 5.5 krijgt ingebouwde sitemap

WordPress krijgt ingebouwde ondersteuning voor sitemaps. De ontwikkelaars van het contentmanagementsysteem werken voor versie 5.5 aan een native sitemapmodus, een functie die tot nu toe niet standaard in het systeem zat.

De sitemaps komen in xml-formaat beschikbaar in versie 5.5, schrijven de ontwikkelaars in een blog. De index komt op /wp-sitemap.xml te staan. Dat xml-bestand verwijst naar alle sitemappagina's die door de WordPress-site worden geïndexeerd. Sitemaps zijn indexaties van query's op websites waardoor ze gemakkelijker vindbaar zijn voor zoekmachines.

WordPress zegt dat de index maximaal vijftigduizend sitemaps kan opslaan. Losse sitemaps kunnen maximaal tweeduizend entries aan. De sitemaps worden automatisch aangemaakt voor openbare posts, pagina's en andere zaken zoals tags, en voor auteurspagina's. Volgens WordPress verwijst robots.txt voortaan standaard naar de sitemapindex.

De sitemap van WordPress wordt gebaseerd op de standaardvoorschriften voor alle sitemaps. Dat betekent dat afbeeldingen en video's niet worden meegenomen. Volgens WordPress zijn die 'slechts nuttig voor een klein aantal websites'. In de toekomst krijgt WordPress' sitemap misschien ondersteuning voor zulke zaken, en voor filters en hooks.

WordPress had tot nu toe nog geen native ondersteuning voor sitemaps. Websitebeheerders moesten daarvoor altijd plug-ins van derde partijen installeren. De feature is gepland voor WordPress 5.5, dat later dit jaar uitkomt.

IT-banen

Reacties (79)

Verwijderd 27 juli 2020 08:27

Als ze nu nog een standaard description per post of page bieden dan is het helemaal af. Kan je eindelijk troep zoals Yoast SEO (premium ook in gebruik gehad) eruit gooien en de performance zoals Time to first byte enigzins klein krijgen.

Het verbaasd me hoeveel blijvend ruis er op wordpress zit qua hacks. De gemiddelde bezoekersaantallen kan je echt met een korrel zout nemen gezien 40 tot 60% van de traffic puur scans zijn naar potentieele lekken. En dan de miljoenmiljard POSTS naar xmlrpc.php, wp-login.php en dergelijk maken wordpress echt niet interessant.

Geloof me ik secure het vanaf het bot op apache niveau al maar het pakket zelf is gewoon ruk. De enige reden dat ik het gebruik is voor klanten die makkelijk iets willen hebben voor management. Plugins voor security werken niet. Het is een soft-layer dat alleen maar meer resources vreet en weinig uithaalt. Lekke JS repository files kan je gewoon nog steeds exploiten, daar doet een plugin helemaal niets aan.

3raser @Verwijderd • 27 juli 2020 08:55

En dan de miljoenmiljard POSTS naar xmlrpc.php, wp-login.php en dergelijk maken wordpress echt niet interessant.

Dit is niet de schuld van Wordpress maar de schuld van het succes van Wordpress. Ieder CMS wat een dekking zou hebben als die van Wordpress kampt met deze problemen. Hoe meer een product gebruikt wordt hoe interessanter het wordt om deze te hacken.

Als je website geen gebruik maakt van externe applicatie kun je xmlrpc.php gewoon uitschakelen/blokkeren. Dit scheelt al minimaal de helft van alle aanvallen. Daarnaast is het volgens mij ook nog mogelijk op de wp-login.php naar een andere locatie te verplaatsen. Dat is security door obscurity maar het werkt wel tegen 99% van de sciptkiddy's.

xmlrpc.php uitschakelen via een .htaccess kan zo:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

[Reactie gewijzigd door 3raser op 23 juli 2024 04:55]

Saven @3raser • 27 juli 2020 11:30

Als je op Apache draait en fail2ban gebruikt kun je ook de volgende jail en filter gebruiken:

filter.d/wordpress.conf

[Definition]
failregex = ^<HOST> .* "POST .*(wp-login\.php|xmlrpc\.php)

jail.d/wordpress.conf

[wordpress]
enabled = true
port = http,https
filter = wordpress
logpath = /var/log/httpd/domains/mysite.com.log
maxretry = 5
bantime = 86400

Dan krijgt elke josti gewoon meteen een ban

[Reactie gewijzigd door Saven op 23 juli 2024 04:55]

Htbaa @Saven • 27 juli 2020 19:24

Helaas is dit niet voldoende om een overdaad aan XML-RPC aanvallen af te slaan. Ieder IP adres mag er 5 doen en als er meerdere bots tekeer gaan loopt de load snel op. Dat komt door die pingbacks die er super lang over doen om een time-out te geven.

Als je dit nu aanvult met het uitschakelen van XML-RPC in WordPress zelf heb je geen last meer van die te lange time-outs en worden de bots sneller geblokkeerd.

glenndeman @3raser • 27 juli 2020 09:06

Hou er rekening mee dat dit met Apache 2.4.6 aangepast is.

http://httpd.apache.org/d...d_authz_core.html#require

pennywiser @glenndeman • 27 juli 2020 11:44

Sws alle Apache 2.4.x vereisen require ipv deny from.

fortfort @3raser • 28 juli 2020 20:45

Wp-login.php kan je rechtstreeks toegang afvangen door in functions.php

Wp-login.php == &pagenow een hidden post field bv recaptcha of een JavaScript counter die minimaal x seconden heeft gedraaid te vereisen.

gooos @Verwijderd • 27 juli 2020 09:42

Ik kwam gisteren toevallig uit op deze post om WP weerbaarder te maken vanuit de .htaccess: https://perishablepress.com/7g-firewall/

Ben daar nu mee aan het testen om te zien of daarmee inderdaad al dat soort hits afgevangen worden.

3raser @gooos • 27 juli 2020 11:56

Als ik even snel lees wat dat script doet dan houdt het geen aanvallen tegen op xmlrpc.php op wp-login.php. Het is een firewall tegen exploits en geen firewall tegen brute force aanvallen.

gooos @3raser • 27 juli 2020 12:02

Helemaal met je eens.

Die code die je erboven al had gepost mbt xmlrpc.php heb ik trouwens ook in gebruik.

Verwijderd @gooos • 27 juli 2020 21:18

Top. Ik heb het toegepast op 2 sites die een doorn in het oog waren. Er gebeurd steeds iets waardoor de load op 100% blijft steken voor die users en apache op ten duur helemaal volloopt (aantal HTTPD threads naar de 200+ met 64GB geheugen in gebruik). Ik heb echt alles al geprobeerd, verwijderen van xmprpc.php, wp-comments.php, front-end security middels htaccess, backend security via Wordfence, CWAF als Directadmin toevoeging, niets fucking helpt. De load blijft dan net zolang zo staan totdat of de server volloopt of dat de beheerder een keer op restart HTTPD klikt.

Zoals het nu eruit ziet lijkt het te werken, check de last 10 regels van de log maar eens:

Mon Jul 27 05:06:20.919285 2020] [access_compat:error] [pid 2265] [client 118.69.225.86:35836] AH01797: client denied by server configuration: /home/user/domains/domain.com/private_html/xmlrpc.php
[Mon Jul 27 08:52:09.563208 2020] [access_compat:error] [pid 13394] [client 88.230.229.20:8732] AH01797: client denied by server configuration: /home/user/domains/domain.com/private_html/xmlrpc.php
[Mon Jul 27 14:15:12.367473 2020] [access_compat:error] [pid 20329] [client 103.216.179.122:14316] AH01797: client denied by server configuration: /home/user/domains/domain.com/private_html/xmlrpc.php
[Mon Jul 27 14:20:39.063429 2020] [ssl:error] [pid 22158] [client 159.65.24.22:51150] AH02032: Hostname sarkhanrajabov.com provided via SNI and hostname domain.com provided via HTTP have no compatible SSL setup
[Mon Jul 27 20:28:55.209813 2020] [:error] [pid 10812] [client 62.210.180.132:58086] [client 62.210.180.132] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_COOKIES_NAMES. [file "/usr/local/cwaf/rules/26_Apps_WordPress.conf"] [line "155"] [id "225170"] [rev "3"] [msg "COMODO WAF: Sensitive Information Disclosure Vulnerability in WordPress 4.7 (CVE-2017-5487)||www.domain.com|F|2"] [severity "CRITICAL"] [tag "CWAF"] [tag "WordPress"] [hostname "www.domain.com"] [uri "/wp-json/wp/v2/users/"] [unique_id "Xx8c55Vjy5Jx2eLyFnOlwQAAACo"]
[Mon Jul 27 20:28:55.241074 2020] [access_compat:error] [pid 10812] [client 62.210.180.132:58086] AH01797: client denied by server configuration: /home/user/domains/domain.com/private_html/xmlrpc.php

Ik wordt er gestoord van dat wordpress het voor elkaar krijgt een complete server met 200+ sites naar onderen te halen. Was bijna geneigd alles met wordpress elders te verhuizen. De performance op mijn servers was namelijk A+.

dakathefox @gooos • 27 juli 2020 10:40

Er zijn verschillende soorten 'bots' actief. Sommige bots gaan gewoon willekeurig alle URL's bij langs om te kijken of ze op wp-login.php kunnen komen. Andere - wat meer geavanceerde - bots zoeken op voorhand het CMS uit, om daarna nog gerichter te zoeken naar wp-login.php. Een prima oplossing, alhoewel je daarmee niet voorkomt dat bots het toch blijven proberen.

gooos @dakathefox • 27 juli 2020 11:17

Helemaal mee eens, heb al een tijdje ook al wat regels in mjin .htaccess staan om alleen verkeer uit landen toe te staan waar de gebruikers van mijn (besloten) website zitten. Dus eigenlijk alleen Europa, Noord-Amerika, en Australië / Nieuw-Zeeland. Daarmee voorkom ik al een hoop om eerlijk te zijn

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

# Basic 'GeoIP based firewall' with no-access message page. Just include the iso3166 codes
# of the countries you want to *allow access from* in the list. Please note: requires mod_geoip!
RewriteRule ^no-access/?$ /no-access.php [L,END]
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !^(NL|BE|LU|GB|IE|DE|AT|CH|FR|DK|SE|NO|FI|ES|PT|IT|HU|CZ|SK|PL|US|CA|AU|NZ)$
RewriteRule ^(.*)$ /no-access/ [L]
</IfModule>

[Reactie gewijzigd door gooos op 23 juli 2024 04:55]

spep @gooos • 27 juli 2020 19:07

werkt niet met ip6

Hendrik53 @gooos • 28 juli 2020 00:13

Inderdaad. IPv6. Daarmee zijn onze sites ook toegankelijk. Op de Synology NAS werkt de blocking van landen wel, ook voor IPv6 voor zover ik kan zien.
In elk geval scoren al onze sites 100% groen bij internet.nl. Ook DANE e.d. Dat hebben we buiten Wordpress om op serverniveau geregeld (HTTPD e.a.)

En ja, Java ellende. CSP werkt bij meerdere plugins niet omdat er steeds een unieke ID wordt gegenereerd. Bij Joomla komen we dat ook tegen. Maar goed, je kunt wel een groot deel afvangen.

gooos @Hendrik53 • 28 juli 2020 02:42

Ai, goed om te weten. Heb zelf nog niet de mogelijkheid om via IPv6 het internet op te gaan. En eerlijk gezegd dus ook nog niet getest via een van de online IPv6 testers.

Maurits van Baerle @gooos • 27 juli 2020 10:24

Dat ziet er inderdaad wel goed uit. Ook netjes dat het taal en platform onafhankelijk is (mits je Apache gebruikt). Ik ben langzaamaan van PHP naar Python aan het verhuizen dus dat het volledig taal/framework agnostisch is is mooi meegenomen.

gooos @Maurits van Baerle • 27 juli 2020 10:41

Inderdaad fijn dat het geen plugin is, maar gewoon wat lean code in de .htaccess.

3raser @gooos • 27 juli 2020 11:49

Plugins maken de kwetsbaarheid van WP alleen maar erger. Nog een onderdeel wat stuk kan gaan. En of het de prestaties van je site ten goede komt is ook maar de vraag.
Als je dit soort aanvallen op het platform af kunt vangen in plaats van in de code dan is dat enorme winst. Iedere niet aangeroepen PHP file scheelt resources.

Verwijderd @gooos • 27 juli 2020 10:29

Cool ga ik testen.

Verwijderd @Verwijderd • 27 juli 2020 10:04

Tja, een shiny interface is natuurlijk belangrijker, daar win je zieltjes mee. En dan de zogenaamde webbouwers die een wp installatie vervolgens volgooien met brakke plugins om het maar enigszins te laten voldoen aan de eisen van de klant.

dakathefox @Verwijderd • 27 juli 2020 10:35

Inderdaad. Hoe meer plugins, hoe mooier het allemaal lijkt. Maar de basis wordt compleet vergeten. De website moet vooral snel zijn. Een F1 auto heeft toch ook geen airco of elektrische stoelversnelling?

(ik weet trouwens niet waarom je nu gemind wordt, want mijn reactie is vergelijkbaar alleen uitgebreider en krijgt vooral plussen)

[Reactie gewijzigd door dakathefox op 23 juli 2024 04:55]

PolarBear @dakathefox • 27 juli 2020 19:40

Inderdaad. Hoe meer plugins, hoe mooier het allemaal lijkt. Maar de basis wordt compleet vergeten. De website moet vooral snel zijn. Een F1 auto heeft toch ook geen airco of elektrische stoelversnelling?

Een F1 auto:

Heeft na een aantal rondjes al nieuwe banden nodig
Heeft een ervaren bestuurder nodig om op de baan te blijven
Kan alleen bij mooi tot redelijk weer de baan op.
Is afhankelijk van een heel engineering team

Nou ja niet een beste analogie...

dakathefox @PolarBear • 27 juli 2020 21:54

Je slaat de spijker op z'n kop.

Wie zijn online presence serieus neemt, zorgt ervoor dat hij het beste team samenstelt. Met een ervaren online specialist die de koers bewaakt en met de juiste engineers die beschikken over diepgaande kennis. Voorzie ze van de juiste technologische middelen en je zult zien dat ze beter performen dan een F1 auto met bij elkaar geraapte componenten van diverse makelij.

Zwarte_os @Verwijderd • 27 juli 2020 11:58

Een website die vervolgens niet gebruikt wordt heb je ook geen reet aan. Geen enkele CMS kan zo eenvoudig opgezet worden als Wordpress, en als je het nog een beetje kan en je aan de standaarden houdt dan is er een zeer fatsoenlijk geheel van te maken.

Schijt aan al die nerds die perse een obscuur framework willen omdat het aan de achterkant netter in elkaar zit.

Maurits van Baerle @Verwijderd • 27 juli 2020 08:47

Wat die aanvallen betreft, ik heb een aantal WordPress sites die niet de moeite waard zijn om over te zetten op een ander CMS. Ik heb daar een application firewall (WordFence) voorgezet en blokkeer al het verkeer vanuit Rusland, de VS en Oekraïne en dat scheelt ontzettend veel in aanvallen.

Maar goed, dat betekent natuurlijk wel dat die WAF alsnog cycles heeft moeten besteden aan het filteren en blokkeren.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 04:55]

renemax @Maurits van Baerle • 27 juli 2020 08:48

Als je verkeer vanuit de VS blokkeert dan is de kans groot dat je ook de Google Bot blokkeert.

Maurits van Baerle @renemax • 27 juli 2020 08:51

De Google bot kan me weinig schelen maar het lijkt erop dat Google niet zo dom is geweest om alleen maar vanuit de VS te scannen. Ik ben vast niet de enige die Amerikaans verkeer blokkeert dus het zou hun resultaten negatief beïnvloeden als ze alleen maar bots in de VS hadden.

Zwarte_os @Maurits van Baerle • 27 juli 2020 09:12

Wanneer je Rusland blokkeert heb je eigenlijk al 80% van al je security problemen opgelost

jinks26 @Zwarte_os • 27 juli 2020 11:37

Deze kunnen toch een ander ip gebruiken zodat ze niet vanuit Rusland surfen ?

Zwarte_os @jinks26 • 27 juli 2020 11:56

Je moet gewoon eens op traffic kijken bij een Wordpress website.
Ik ben overigens niet zo kritisch over Wordpress als de rest hier.

mamorunl @Zwarte_os • 27 juli 2020 15:51

Daar ben ik het niet helemaal mee eens. In mijn statistieken staan, voor de laatste 24 uur, weliswaar de IP adressen uit Rusland bovenaan, maar als ik het wat verder trek naar 30 dagen zie ik het merendeel uit Oekraine. Daarna Pakistan, Israel, Australie, Iran, Polen en dan pas Rusland.

Vermoedelijk dat er wel wat VPNs of VPSjes gebruikt worden, maar toch.

Wat ik nog wel mis is China. Op serverniveau zie ik veel meer Rusland en China, maar in WordPress komen ze amper voor.

DBreda @Verwijderd • 27 juli 2020 08:35

Tip: stap over van Yoast naar Rank Math.

abroes @DBreda • 28 juli 2020 17:30

Er zijn grote vermoedens dat Rank Math de data van hun gebruikers verzamelt en verkoopt, dus ik zou het je niet aanraden. De kwaliteit van hun code is wel redelijk goed.

stftweaker @DBreda • 27 juli 2020 10:36

Want?

NielsFL @Verwijderd • 27 juli 2020 08:52

Lastige positie voor Wordpress. Zelf hebben ze denk ik ook wel door een dat een complete re-write op zijn plaats is. Maar dan verlies je mogelijk een gigantische community. Ik zie het dan nog wel gebeuren dat veel mensen een fork gaan gebruiken die op termijn nog veel meer lekken heeft door gebrek aan onderhoud.

Oon

@Verwijderd • 27 juli 2020 09:50

Geloof me ik secure het vanaf het bot op apache niveau al maar het pakket zelf is gewoon ruk.

Het valt best mee als je weet waar je mee bezig bent. Er zijn gewoon een hele hoop plugins die niet veilig zijn en niet goed met resources omgaan. Vrijwel alle SEO/metadata plugins zijn enorm slecht voor je performance in WordPress. Dat WordPress zo populair is en zoveel WordPress-installaties slecht beveiligd zijn maakt het een heel interessant doelwit.

Full-page caching vanuit nginx, geen rare security plugins o.i.d. maar gewoon één 2FA plugin (en dat afdwingen) en rate limiting op de POST-requests, WP-installatie buiten de webroot (met alleen assets en WP core bestanden (zoals wp-login, wp-admin, index) bereikbaar van buitenaf) is in de meeste gevallen genoeg. Iedere plugin die je toevoegt introduceert weer kans op een attack vector, dus dat is je eigen risico.

MainframeX @Verwijderd • 27 juli 2020 10:06

Je zou eventueel fail2ban filter kunnen maken om bruteforcen op wp-login.php en xmlrpc.php tegen te gaan.

Mr. Bourbon BBQ @Verwijderd • 27 juli 2020 23:07

Ik heb een beetje met Ghost gespeeld. Mooi alternatief.

tomskio @Verwijderd • 28 juli 2020 20:32

Asking for a friend. Wat zou je dan aanraden als voor niet wordpress. Geen blog oid nodig. Redelijk statische site.

dakathefox 27 juli 2020 10:34

Wordpress... Als je het mij vraagt toch wel 1 van de meest overgewaardeerde CMS-pakketten ter wereld. Het is allang niet meer het snelle, eenvoudige CMS dat het was in 2004. Wat het wel is? Een complex, log en langzaam systeem, dat - bij voorkeur middels goedkope Themeforest templates met een beetje maatwerk - door wannabe-developers verkocht wordt aan onwetende klanten die in de veronderstelling zijn dat ze een state-of-the-art corporate website krijgen.

Ik heb meerdere projecten na afronding gezien, maar de shitload aan plugins om het nog enigszins SEO-proof / indexeerbaar / snel te houden is ongekend. En al die plugins zorgen alleen maar voor meer werk.

Zelf ben ik jaren terug al afgestapt van Wordpress, maar volledig over naar een Headless CMS. Zelfgeschreven, maar er zijn natuurlijk ook goede open source varianten beschikbaar. Eenmalig opzetten van de templates, daarna automatisch content vullen via een API. Mijn meest recente resultaat is een corporate multi-language website met een laadtijd van krap een seconde, en dat op een eenvoudige shared server van 2 euro per maand. Zonder CDN, zonder Nginx, maar gewoon met Apache en PHP 7. Oh, en nog veilig ook!

Daar kan geen Wordpress site meer tegenop.

chaozz @dakathefox • 27 juli 2020 11:05

Zelfgeschreven.. Oh, en nog veilig ook!

Dat kun je over je eigen werk niet echt zeggen, of je moet er een security audit door een externe partij op hebben losgelaten. Anders is het een beetje "Wij van WC-eend..".

En wat als jij onverhoopt morgen niet meer op je werk komt? Is alles zo gedocumenteerd dat een ander het zo kan overnemen?

Ik vind je suggestie van andere open source varianten zinvoller en verstandiger.

dakathefox @chaozz • 27 juli 2020 13:02

Dat kun je over je eigen werk niet echt zeggen, of je moet er een security audit door een externe partij op hebben losgelaten. Anders is het een beetje "Wij van WC-eend..".

Oh, maak je maar geen zorgen hoor... Security staat hier hoger aangeschreven dan bij de gemiddelde Vietnamese Wordpress plugin developer. Ik heb menig audit achter de rug, ook in opdracht van externe bedrijven, en dat leverde nog nooit iets op. Andersom heb ik als ethisch hacker vaak genoeg de security van websites of applicaties onderuit gehaald. Ik roep dus niet zomaar iets.

En wat als jij onverhoopt morgen niet meer op je werk komt? Is alles zo gedocumenteerd dat een ander het zo kan overnemen?

Vanzelfsprekend. Ik durf te wedden dat mijn cms eenvoudiger en inzichtelijker is dan Wordpress. Het lijkt me sterk dat jij inzicht hebt in de werking van die ene plugin die bovendien geüpdate wordt zonder dat je eigenlijk weet waarom. Daar zit het risico in.

PolarBear @dakathefox • 27 juli 2020 19:42

Ik geloof best dat je ervaring hebt, maar een echt ervaren developer weet dat hij over zijn eigen fouten heen kan kijken en zal niet claimen dat zijn werk foutloos is.

dakathefox @PolarBear • 27 juli 2020 21:58

Correct. Ook ik maak gewoon fouten, maar gelukkig heb ik een team van mensen die daarop toezien en ingrijpen. En ik ken dat team, in tegenstelling tot de developers van menig Wordpress plugin of template: die ken ik niet. Misschien zitten ze wel in een internetcafé, een lemen hutje of whatever, en hebben ze een plugin gebouwd door simpelweg wat code online bij elkaar te knippen en plakken.

Verwijderd @chaozz • 27 juli 2020 11:45

tja de truck is natuurlijk om de code enkel binnen een bedrijf te houden, en dan zodanig dat alleen mensen van dat bedrijf de code kunnen onderhouden. Even overstappen naar een andere goedkopere developer kan dan niet, zo deden de meeste van mijn vorige werkgevers dit. Gewoon een vendor lock in als het ware. Ook helemaal niks mis mee, gewone computer programmas zijn niet anders.

dakathefox @Verwijderd • 27 juli 2020 13:04

Vanzelfsprekend wordt de code altijd gedeeld met klanten.

oef! @dakathefox • 27 juli 2020 11:01

Heel fijn maar daar heeft 99,9999% van de wordpress gebruikers niets aan. Die hebben de skills, de motivatie en de tijd niet om zelf een oplossing te bouwen.

dakathefox @oef! • 27 juli 2020 12:55

Nee, maar die hoeven ook geen Wordpress te gebruiken. Er zijn genoeg andere oplossingen beschikbaar waarmee ze precies hetzelfde kunnen bereiken, voor minder geld en met minder kopzorgen.

BasZer @dakathefox • 27 juli 2020 18:31

Minder geld dan gratis? Zijn er cms waar je geld toe krijgt? Doe mij die link

dakathefox @BasZer • 27 juli 2020 21:45

Dit is natuurlijk flauwekul. Open source betekent natuurlijk niet dat iets gratis is. Je moet het kunnen installeren, configureren en alsnog aanpassen aan je eigen wensen en eisen. Daar is tijd en geld mee gemoeid, zeker als je een goede template wil, je eigen huisstijl wilt toepassen of omdat je simpelweg de kennis en tijd niet hebt.

De kosten voor het inzetten van een pakket bestaan niet uitsluitend uit het aanschaffen ervan. Ook de implementatie en het verdere onderhoud kost gewoon geld. Net zoals elk ander pakket.

PainkillA @dakathefox • 27 juli 2020 10:45

Eens, wordpress is echt een verouderde bak code vol met legacy spul. Persoonlijk ben ik overgestapt naar Statamic wat degelijk in elkaar zit en toch makkelijk in gebruik voor de eindgebruikers

rjtuijnman @dakathefox • 27 juli 2020 17:18

Ik ben sterk geneigd het met je eens te zijn. Ik durf me zelf nog niet eens bij benadering een expert te noemen, maar eerlijk gezegd is mijn ervaring met WordPress inderdaad dat het één grote onoverzichtelijke verzameling van plug-ins is waarbij heel veel derde partijen bij je website betrokken zijn. Daarbij is WYSIWYG iets waar ik in WordPress nog niet lekker tegenaan gelopen ben.
Verder vind ik de thema's vaak veel van hetzelfde. Uiteraard heb ik de honderdduizenden verschillende (betaalde) thema's niet allemaal op mijn scherm gehad, maar die modieuze bewegende onderdelen doen je website wapperen als een krant in een stormwind.
Ik ben er niet blij mee. Daarbij is het het 'Windows' van de websitewereld en dus geliefd doelwit van hackers. Mijn eerste probeersel was binnen een paar uur gehackt. later meer beveiliging (plug-ins) toegevoegd en nog wat andere maatregelen genomen, maar het blijft een krampachtige vertoning.
Zelf 'zie' ik liever wat ik met een website doe en vind ik een keurslijf dat een thema toch uiteindelijk is, niet prettig werken. De sites die ik zelf bouw worden dan ook niet met WordPress gebouwd. Wel zo'n veilig idee...

Soepstengel

@dakathefox • 27 juli 2020 11:18

Wel mooi dat je Wordpress tegenwoordig ook headless kan draaien. Dat is voor mij nu de reden om weer terug te gaan naar Wordpress en het te gaan proberen.

dakathefox @Soepstengel • 27 juli 2020 22:00

Zeker mooi, geef het een kans!

Raka

@dakathefox • 27 juli 2020 12:27

maar er zijn natuurlijk ook goede open source varianten beschikbaar.

Ik ga een heel eind mee in je betoog, echter heb ik niet de tijd om een eigen CMS te schrijven. Over welke open source varianten heb je het hier?

dakathefox @Raka • 27 juli 2020 17:31

Kijk bijvoorbeeld eens naar Grav CMS of Directus. Laatste is geen cms, maar je kunt er wel een site tegenaan ontwikkelen.

[Reactie gewijzigd door dakathefox op 23 juli 2024 04:55]

MrMarcie @dakathefox • 27 juli 2020 13:51

Ben helemaal met je eens, maar dat willen klanten vaak niet betalen.

dakathefox @MrMarcie • 27 juli 2020 14:49

Dat is kortzichtigheid en ijdelheid. Ik heb pasgeleden nog een Wordpress site gezien die ruim 10k had gekost in de afgelopen twee jaar en nog steeds niet naar behoren werkte. En dus moest er weer een zak geld tegenaan.

Uiteindelijk komt de klant op een punt van no return. Dan moet je ballen hebben om je fout toe te geven, maar ja, doe dat maar eens.

MrMarcie @dakathefox • 27 juli 2020 15:54

Precies, ze denken dat ze goedkoper uit zijn maar aan het eind is dat meestal niet zo. Hoe leg je dat nu aan ze uit?

dakathefox @MrMarcie • 27 juli 2020 22:01

Niet. Ik ben gestopt met uitleggen en laat gewoon het verschil zien. Als ze dan nog voor Wordpress willen gaan, dan is het gewoon niet mijn type opdrachtgever. Ik lever goed werk op en doe niet aan beunhazen.

MrMarcie @dakathefox • 27 juli 2020 23:27

Dat is ook het beste.

BerArtVD

27 juli 2020 10:40

I zie het nut niet in een sitemap die door WP gemaakt wordt, dit doet Yoast al erg goed, met alles waar daar bij komt kijken. Dit kan WP voorlopig nog niet. Ik zou als WP me gewoon aan de core houden en de rest aan de Pro's overlaten. WP = CMS, Yoast = SEO, Avada = Design, WordFence + Cloudflare = Security laten we dit vooral zou houden. Schoenmaker blijf bij je leest is MHO.

NielsFL @BerArtVD • 27 juli 2020 11:48

De kant-en-klare sitemap is eigenlijk niet de voornaamste wijziging. Belangrijker is dat er nu een uniforme API is waarmee andere plugins de sitemap kunnen manipuleren.

Vervolgens kunnen plugins zoals Yoast diezelfde API's gebruiken om te zien wat andere plugins willen en daarmee de gewenste sitemap genereren.

Het standaardiseren van dit soort API's lijkt me juist iets voor Core.

BerArtVD

@NielsFL • 27 juli 2020 11:49

Ah dat had ik nog niet begrepen daar heb je helemaal gelijk in!

Bender @BerArtVD • 27 juli 2020 12:41

Die mening deel ik niet.
Ik vind dat een sitemap, maar ook structered data onderdeel zouden moeten zijn van de core. Beide zou standaard aanwezig moeten zijn bij het hebben van een website op internet.

MrMarcie @Bender • 27 juli 2020 13:50

Precies, en scheelt weer een plugin.

Sn0wblind @BerArtVD • 27 juli 2020 14:03

Avada voor design? Leuk voor de hobby-ist maar extreem bloated, ouderwets, en gewoon net niet voor de professional. Leukk voor layouts die er uit zien alsof het nog 2010 is.

Sn0wblind 27 juli 2020 14:01

Eerlijk gezegd is de tijd nu wel voorbij van Wordpress, ja ik weet nog dat vele vele sites er gebruik van maken. Maar de technologie is verouderd, het is bloated, helaas maken er teveel ook gebruik van minder solide plugins etc. Tijd voor modernere frameworks.

Prismic+Gatsby JS voor kleine tot middelgrote projecten of Contenful+Gatsby JS voor groteren bijvoorbeeld. Wil je een E-Commerce platform erbij integreren dan koppel je er nog iets als Bigcommerce aan of als je echt groot wilt Cloud commerce.

hubris @Sn0wblind • 27 juli 2020 15:15

De tijd van WordPress voorbij? De groeicijfers van WordPress in de CMS-markt laten op dit moment eerder het tegenovergestelde zien.

Sn0wblind @hubris • 27 juli 2020 18:12

Denk niet dat je hobbyisten blogs als gelijke entry als een degelijke website moet zien. Qua techniek is wordpress nu toch echt wel achterhaald.

Ruffian @Sn0wblind • 27 juli 2020 15:20

Leuk benoemd maar die zijn niet gratis, daarom zit denk ik 99% van de gebruikers op WP.

Sn0wblind @Ruffian • 27 juli 2020 18:11

Wordpress ontwikkelen tot het niveau dat het mee kan komen met de huidige standaarden kost zeer veel tijd voor ontwikkeling, subscriptions voor premium plugins en natuurlijk hosting. Prismic en contentful worden voor jou gehost en zijn overigens gratis totdat jij meer dan 2 talen wilt gebruiken en of meer dan een bepaald aantal entries gebruikt.

tweakkjoost 27 juli 2020 08:36

Visuele paginabouwers zoals divi, elementor etcetera zijn het bestaansrecht van wordpress in combinatie met content management en sommige plugins. Wordpress core wordt inderdaad wel steeds beter. Oxygen builder gebruik ik tegenwoordig voor 'clean code'.

[Reactie gewijzigd door tweakkjoost op 23 juli 2024 04:55]

gooos @tweakkjoost • 27 juli 2020 11:59

Zou mooi zijn als al die verschillende pagebuilders niet meer vereist worden door de themes en als ze meer gebruik gaan maken van de ingebouwde blocks.

Verwijderd 27 juli 2020 09:15

Oh wow. Ik heb deze feature ingebouwd in het zelf-gebouwde CMS van het webdevelopmentbureau waar ik destijds voor werkte. Dat was in elk geval meer dan 12 jaar geleden, maar ik denk dat het eerder 15 jaar geleden was.

levdbas @Verwijderd • 27 juli 2020 11:56

Toch is het voormalige bureau waar je werkt hoogstwaarschijnlijk overgestapt naar WordPress ipv een zelfbouw CMS.

Linksquest Moderator Spielerij 27 juli 2020 17:30

Dat is een functie die ik graag had willen gebruiken, maar heb zelf sinds 2 weken geen website meer, dus helaas voor mij voor nu te laat. Wie weet ooit weer eens.

satoer 14 augustus 2020 20:48

Fijn dat dit kan. Ik zit namelijk niet maandelijks m'n website te updaten. Nadat hackers m'n domein ineens vol hebben gegooid met phishing meuk, heb ik de beveiliging maar eens hoger gezet. Nu ik wat meer inzicht heb met anti hack plugins ben ik redelijk verbaast over de grote hoeveelheid hackpogingen per dag. Inlog pogingen, truckjes om m'n configuratie bestand te downloaden, zooi proberen te uploaden... Man, soms denk ik dat het misschien wel veel handiger is de volledige site om te zetten naar good old html bestanden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (79)

Sorteer op:

Weergave: