Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 132 reacties

Bij een grote ddos-aanval is een functionaliteit in Wordpress misbruikt om de aanvalskracht te vergroten. Dat stelt een beveiligingsbedrijf. Het gaat om de xml-rpc-functionaliteit. Die kan worden misbruikt door http-requests te spoofen.

WordpressWeblogs gebruiken de xml-rpc-functionaliteit onder meer om andere blogs te laten weten dat er naar ze wordt gelinkt, zogeheten pingbacks. Die functionaliteit is echter ook te misbruiken, schrijft beveiligingsbedrijf Sucuri. Door http-requests te spoofen alsof ze van een bepaalde website afkwamen, richt een Wordpress-website zijn antwoord op die website.

Dat gebeurde in een recente aanval, waarbij 162.000 websites van nietsvermoedende Wordpress-gebruikers via xml-rpc hun pijlen richtten op andere Wordpress-websites. Daarbij werd de caching van de getroffen Wordpress-sites omzeild door willekeurige cijfers mee te sturen bij de request, waardoor de Wordpress-installatie bij elke request een nieuwe pagina moest serveren en de database moest raadplegen. Daardoor gingen de sites snel plat.

Het gaat niet om een beveiligingsprobleem in Wordpress, benadrukt Sucuri; de xml-rpc-functionaliteit wordt gezien als een feature. Desondanks kunnen beheerders van een Wordpress-website handmatig de pingback-functionaliteit uitschakelen. Het beveiligingsbedrijf heeft een tool gepubliceerd waarmee beheerders kunnen controleren of hun Wordpress-installatie bij de recente aanval is misbruikt.

Moderatie-faq Wijzig weergave

Reacties (132)

Als ontwikkelaar kan ik dan ook echt niet snappen waarom een systeem als WordPress nog zo populair is. De code is een groot bord spaghetti en het ene lek na het andere dient zich aan. Natuurlijk heeft dat ook iets met de populariteit te maken (lekken in populaire systemen worden nu eenmaal sneller gevonden/uitgebuit), maar WP is nou niet bepaald het schoolvoorbeeld van softwarearchitectuur.
Als ontwikkelaar denk ik dan "ik bouw zelf wel iets", maar ja, een community met duizenden plug-ins en thema's kun je niet 1,2,3 nabouwen.

[Reactie gewijzigd door Intrepidity op 12 maart 2014 09:31]

Je bent toch geen ontwikkelaar als je wordpress gebruikt? Meer een kok die een magnetron maaltijd in de magnetron stopt.

Ik vind wordpress persoonlijk erg jammer, websites hebben minder persoonlijkheid gekregen.
Ook ik vond dit een vermakelijke quote.

Ik ben zelf 15+ jaar werkzaam in de CMS-elarij en ken ze van
- kale HTML, Joomla tot RubyOnRails.
- Van VBs en PHP tot ASP.Net en C#.
Ik heb vele frameworks gebruikt en vele methodes gezien maar die van WP is gewoon een winnaar. Kom terug wanneer jouw oplossing 1 miljoen downloads per maand haalt.


En waar het op de communicatieafdeling van een website-vragend-bedrijf om draait is:
1) Idiotproof
2) Gisteren die nieuwe feature erbij
3) Budgetvriendelijk
4) Eigen uiterlijk
5) featurerijk, toekomstvast
6) connectief/integreerbaar

Nou, maak dat maar eens waar in een zelfgeschreven CMS. Je kunt niet alle honderden features die in een basis WP bestaan eenvoudig nabouwen in een eigen CMS en ook nog eens werken in alle browsers. Alleen de testtijd zou je al maanden kosten. Onze klanten hebben dan _allang_ een alternatief gehaald.

Bedenk: WordPress heeft:
1) eenvoudige page/posts publish tools voor wachtwoorden, datums/tijden
2) multiuser out-of-the-box (met heartbeat voor waarschuwing samen editen van 1 document)
3) pagina revisions
4) Uitgebreide drag-and-drop medialibrary
5) Diverse import mogelijkheden om content uit andere systemen over te zetten
6) Een gigantische community die fouten ontdekken of doorontwikkeling stimuleren
7) Plugin-in capaciteiten

En die laatsten zijn de killers. Geen enkel CMS ter wereld kan de mogelijkheden van 30000+ plugins zomaar evenaren. Natuurlijk zit er een hoop troep tussen, maar dan kun je DAT alsnog zelf realiseren in net geschreven code :) ) En als je het goed doet en je verkoopt je plug-in voor 10 dollar dan heb je 50 miljoen mogelijke klanten wereldwijd.

Ik ben vooralsnog erg gelukkig met plugins als: GravityForms, Idealpayments, WooCommerce die ik niet zelf hoef te onderhouden maar die mij keer op keer helpen om snel en degelijk een wens van een klant te realiseren. Dat lukt mij niet met een Sitefinity of een Typo3 waarbij ieder maatwerk dingetje weken ontwikkeling kost.


Voor de volledigheid: Wat mis ik nog echt wel in WP wat ik bij anderen beter uitgevoerd heb gezien:
- Mooie rechten structuur met users in groepen zodat je fijnmazig kan zeggen: John mag wel dit document beheren en Marijke alleen andere documenten.
Idd, Wordpress heeft weinig concurrentie in wat het doet en is niet voor niets onbetwist nummer 1. Maar:
Een gigantische community die fouten ontdekken of doorontwikkeling stimuleren
"The proof of the pudding is in the eating". Dat er hele volksstammen druk bezig zijn met themes ontwerpen en plugins schrijven zorgt niet automatisch voor goede code in de core - WP heeft wel veel lekken.

[Reactie gewijzigd door Dreamvoid op 12 maart 2014 13:43]

Helemaal mee eens.

Ik weet zelf geen hout van html, css, php en al die andere fantastische kreten. En toch krijg ik het met wordpress voor elkaar om een leuke site neer te zetten, en ondertussen leer ik ook nog wat.

Wat is het alternatief? Dat we als kleine vereniging een webdeveloper in de arm nemen, voor alles moeten bellen, emailen, veel meer geld kwijt zijn tegen lagere functionaliteit en minder flexibiliteit. Als je je geld verdient met internet kan dat waarschijnlijk wel uit, en is je aanwezigheid op het web van levensbelang. Als mijn site down gaat is dat vervelend, maar ook niet meer dan dat.

Ik denk dat Wordpress voor een aantal toepassingen precies de juiste tool is. Alle software heeft bugs en zwakke punten. Dat is niet direct een reden om het te mijden.

En, ja, een goeie rechtenstructuur zou een zegen zijn. Die is ook met plugins nog niet goed te krijgen, al komt het in de buurt.
Amen, vele malen dank voor het uitschrijven van deze reactie, je neemt de woorden uit mijn mond. Ben zelf ook fervent Wordpress ontwikkelaar (inmiddels 5 jaren achter de rug) en het werkt nog altijd prettig.

Mensen als ik wegschuiven als 'magnetron koks' slaat natuurlijk helemaal nergens op, de vraag naar Wordpress-websites is echt enorm, en eerlijk gezegd is het een lucratieve business als je op het goede niveau zit. Inmiddels heb ik honderden websites opgeleverd m.b.v. Wordpress.

Naast mijn Wordpress activiteiten doe ik nog steeds maatwerk. Hier en daar willen klanten inderdaad te veel in Wordpress waardoor de 'core functionaliteit' van Wordpress eigenlijk in zijn geheel verloren gaat, in deze gevallen raad ik mijn klanten dan ook vaak aan om gewoon een maatwerk CMS in elkaar te laten zetten.

Ook ik heb ervaring in andere systemen zoals Joomla! en Drupal e.d., maar zoals je zelf aangeeft slaan die vaak de plank mis als het gaat om het voldoen aan de wensen van de klant dan wel de developer.

En wat betreft de vulnerability, dit is gewoon een logisch gevolg van de populariteit en het feit dat het een open source systeem is. Enkele tips voor toekomstige gebruikers / developers:
- Verwijder de versienummers uit de broncode (voorkomt exploits)
- Dubbele auth op de back-end
- Controleer je plugins! De oorzaak van gehackte Wordpress sites ligt (voor zover ik dat meemaak) vrijwel altijd bij lekke plugins, plugins die bijv. 'Uploadify' gebruiken wat (standaard) zo lek als een vergiet is.
- Gebruik een sterk wachtwoord of verander je gebruikersnaam van 'admin' naar iets anders.
- Houdt Wordpress + plugins up-to-date!

[Reactie gewijzigd door iRobin op 13 maart 2014 12:13]

Je bent toch geen ontwikkelaar als je wordpress gebruikt? Meer een kok die een magnetron maaltijd in de magnetron stopt.
Nee tuurlijk, je bent pas een ontwikkelaar als je een eigen (het zoveelste) CMS hebt ontwikkeld... Pure onzin... Omdat ik een blogje bij wil houden hoef ik geen CMS/blog te ontwikkelen... Het voldoet waar ik het voor wil gebruiken, dus gebruik ik het en ga niet het wiel wederom opnieuw uitvinden...

Ik word er onderhand wel een beetje moedeloos van: als software ontwikkelaars hebben we altijd de mond vol van hergebruik van code, niet het wiel opnieuw uitvinden etc. etc...
Maar wat doen we in de praktijk:
Keer op keer vinden we het wiel opnieuw uit, zodoende hebben we inmiddels tientallen bibliotheken/frameworks per taal die precies dezelfde functionaliteit leveren (ga bijvoorbeeld maar eens zoeken naar bibliotheken voor JSON functionaliteit, of XML...)
Laten we het maar niet hebben over de duizenden standaarden die we inmiddels hebben omdat er blijkbaar altijd weer mensen zijn die vinden dat iets niet 'mooi' is... en maar weer wat 'nieuws' bedenken...
Oh? Echt?
Ik ben juist heel erg blij met WordPress. De code mag dan spaghetti zijn, maar de userinterface is vele malen beter dan Drupal of Joomla. Ook de out-of-the-box ervaring is 100x beter dan Drupal of Joomla. Waar ik bij Drupal 10 tot 20 plugins moet installeren om een redelijke gebruikerservaring te kunnen krijgen ben ik bij WP in 1 stap klaar. Automatische updates waren ook als eerste beschikbaar voor WP (was ook nodig, geef ik onmiddellijk toe :) ). Kwaliteit (in gebruik) van de plugins is bij WP onovertreffelijk, vele, vele malen beter dan Joomla of Drupal plugins. Om over de Thema's ook niet te spreken (ok, Drupal heeft tegenwoordig ook hele mooie!)

Om het als framewerk te gebruiken is WP niet echt geschikt, maar om een mooie website te bouwen die ook voor je gebruikers eenvoudig te gebruiken is, staat WP bij mij bovenaan.
Heb je Drupal 8 al eens geprobeerd? Een verademing ten opzichte van Drupal 7.

En is "10 to 20 plugins" niet wat overdreven? Ik heb voor een site van een klant 7 plugins moeten installeren, that's it. De rest was te doen met wat aanpassingen en regels code in mijn .theme bestand ;-)
Zolang er op de frontpage van Drupal.org staat: 'Drupal 8 is coming soon' lees ik dat niet als een aanbeveling het te gebruiken voor productie sites...

En nee, 10 tot 20 plugins is zeker niet overdreven: alleen al voor multlanguage tel ik bij drupal 7 al 13 modules. En waarom modules als Views (UI) en/of Variable nog steeds niet in core zijn opgenomen is me nog altijd een raadsel.

Het belangrijkste dat ontbreekt is bijvoorbeeld een WYSIWIG editor. Voordat je dat eens goed aan de praat hebt. Bij WP zit dit standaard ingebouwd, werkt het en staat het ook meteen goed ingesteld.

Het is al wel stukken beter geworden, bij drupal 7 zijn er al heel wat modules naar Core gegaan. Gelukkig.

[Reactie gewijzigd door [Yellow] op 12 maart 2014 14:50]

Zolang er op de frontpage van Drupal.org staat: 'Drupal 8 is coming soon' lees ik dat niet als een aanbeveling het te gebruiken voor productie sites...
Dat klopt, het is nog in aanbouw. Maar je moet toch ook weten wat de volgende versie gaat brengen ;-) Ik test het sowieso lokaal
En nee, 10 tot 20 plugins is zeker niet overdreven: alleen al voor multlanguage tel ik bij drupal 7 al 13 modules. En waarom modules als Views (UI) en/of Variable nog steeds niet in core zijn opgenomen is me nog altijd een raadsel.
Multilanguage, views en een WYSIWYG editor zitten in 8.x in de core gelukkig. Variable ken ik niet, ga ik eens even bekijken wat dat is, bedankt!
Helemaal mee eens. Voor veel mensen is het plug and play , al dan niet met een handgemaakt thema. Er is ook een Wordpress app voor android en iOS , kun je mooi bloggen vanaf je telefoon met foto upload en al.

Kwa plugins kan je het ook zo gek niet bedenken of het is er. Er zijn zelfs webshop plugins en een JSON API plugin.Is het ideaal ? Nee. maar het kan wel !

Ik heb laatst een eigen controllertje voor de JSON API plugin getypt en trek mijn nieuwsberichten via JSON naar mijn app, gewoon for the fun of it :+ ).
I call bullshit.

WordPress is dan wel een kant en klare oplossing, juist daarom is het zo populair; weinig werk (uren) kun je het cms ombouwen in hetgeen dat je nodig hebt. Heeft niets met persoonlijkheid te maken, de dingen die je er mee kan doen en de mogelijkheden van thema's die je ervoor kunt bouwen zijn nét zo oneindig als dat je het 'from scratch' bouwt. Het is gewoon een praktisch hulpstuk voor webdevelopers en klanten die niet veel budget hebben maar wel een goed, duidelijk en gebruiksvriendelijk systeem willen.

Als je uitgaat van de standaard templates en WordPress alleen als blogplatform ziet is het weinig geïnspireerd ja, in dezelfde manier dat elke auto ook vier wielen en een stuur heeft.
Fijn dat er toch nog mensen zijn die deze mening met mij delen.

Kom steeds meer en meer 'zichzelf verklaarde webdevelopers' tegen, ook op de werkvloer, die simpelweg wordpress/drupal/... installeren, plugins dr op gooien en wat CSS aanpassen.
Er zijn genoeg vacatures die enkel dat eisen.
Tja, als je klanten graag willen dat hun site of blog eruit ziet als een 13 in een dozijn website. Genoeg kleine concurrerende nieuwsblogs tegen gekomen die er op hun logo en kleur schema na allemaal identiek uitzien.

Nu ben ik maar hobbyist, maar mij is het gelukt om helemaal zelf in php/mysql een costom cms te maken. Helemaal toegespitst op mijn eigen wensen en eisen. Ik blijf het raar vinden dat er dus professionals zijn die genoegen nemen met een matig op hun klant toe gespitste maar makkelijk te installeren oplossing.

Eigenlijk wordt er misbruik gemaakt van onwetendheid van de massa. zo'n WordPress blog is door iedere pinda met een basic php/mysql hosting pakket zelf te installeren, binnen 5 minuten. waarbij de grootste bottleneck de upload tijd van het pakket is.
Eenheidsworst bij de looks van websites ligt meer aan luie developers samen met luie designers dan dat het aan Wordpress ligt. Als er JUIST iets makkelijk is in Wordpress is het wel om je Thema aan te passen of te ontwikkelen. Je hebt maar een aantal regels nodig om een pagina te genereren en kunt verder vrijwel alles binnen een handomdraai opzetten. Zeker voor goedkope websites werkt het maken van een unieke look echt vele malen sneller. Bij Drupal en Joomla ben je al een tijdje kwijt aan het opzetten van het systeem, bij Wordpress is dat in 5 min gebeurd en kun je je dus vrij snel richten op inhoud en looks.
Eenheidsworst bij websites ligt ook aan de aard van het fenomeen website natuurlijk. Dat is bij de meeste websites vooral informatie overzichtelijk presenteren. Folders zien er meestal ook tot op een bepaalde hoogte hetzelfde uit.

Ik erger me vaker aan een website die "origineel" is dan aan een die er uitziet als de dertiende in een dozijn. Het is echt een enorme kunst om een originele look met een overzichtelijke intuitieve interface te combineren. En persoonlijk snap ik jet best dat 98% van de websites dat niet kunnen.

Edit typo

[Reactie gewijzigd door millenaarg op 12 maart 2014 13:23]

Bij Drupal en Joomla ben je al een tijdje kwijt aan het opzetten van het systeem
Oh? Drupal opzetten kost me anders ongeveer 10 minuten. Toegegeven: het is niet sneller dan wordpress (met 5 minuten) maar toch is het niet echt lang ;-)
Ben je dan ook klaar met de structuur en opzet? Denk het niet!
Jep, voor de meeste sites is het installeren en de page types e.d aanmaken in 10 minuten gepiept.
Precies.
Zo heb je ook 100000000 websites die van bootstrap gebruik maken, die lijken pas op elkaar.
Ook dat hoeft niet eens...
Tja, als je klanten graag willen dat hun site of blog eruit ziet als een 13 in een dozijn website.
Dat is een beetje erg kort door de bocht: de websites van onder andere TIME, CNN, TED, Boing Boing, en TechCrunch zijn gebouwd op WordPress.
Er valt aardig aan te verbouwen dus.
Nooit gewerkt met filezilla? Met 4 connecties schiet het uploaden van een wordpress installatie bestwel op hoor. Het is de laatste jaren sterk verbeterd, met name de automatische update feature van security flaws.

Voor klanten ideaal. Eenmalig opzetten, een thema erbij plaatsen (Ik maak ze gewoon zelf) en gaan. Alles wat ze nodig hebben zit erin.

Echter, wordpress is zo naar om op een relatief kleine VPS te draaien. Geheugengebruik is vaak intensief, overbodige feeds in het admin paneel die de thuispagina van een plugin ontwikkelaar bezoeken en wat nog meer.

Eigenlijk ben ik eerder voorstander van wordpress light, gewoon kaal gestript zonder toeters en bellen. Zou het een stuk heiliger werken.

Plugins zijn met name de veroorzakers van hoge load, geheugengebruik en security flaws. Wordpress zelf is relatief stabiel.

Je ziet dat de laatste jaren de community in PHP scripts verhuisd is naar Wordpress en daar commercieel hun plugins aan zit te bieden.
Helemaal toegespitst op mijn eigen wensen en eisen.
Tja hier zit hem juist het probleem. Als je als serieuze ontwikkelaar aan de slag gaat dan heb je niet genoeg aan één klant. Meerdere klanten hebben ook meerdere verschillende wensen en eisen. En dan ontstaan de problemen met die toegespitstheid.

Of je kunt met het CMS alleen een hele specifieke soort sites bouwen, of je bouwt er steeds wat bij en het groeit al snel uit zijn klauwen, of je maakt het juist zo generiek mogelijk en bouwt er maatwerk bij... Dan ga je dat maatwerk in plugins stoppen en de verschillende stijlen in thema's en je bouwt een soort artikel database erachter zodat klanten zelf teksten kunnen schrijven en voor je het weet begint je CMS best wel op WordPress te lijken... Maar dan een CMS waar maar een paar mensen ter wereld van snappen hoe het werkt en waar maar een paar plugins voor zijn etc etc.

Ikzelf denk echt dat we in de komende jaren de dood van honderden van dat soort zelfbouw CMS gaan zien en dat er maar een paar overblijven.
Ik mag hopen van niet, dat zou een doodsteek zijn voor dynamiek op het internet. Plus als er in plaats van honderden zelfbouw of semizelfbouw CMSen drie grote spelers overblijven gaat dat vanzelf de aandacht trekken van hackers.

Dan vindt ik mijn eigen CMS waarbij ik een zekere vorm van security through obscurity heb, toch wel een erg fijn idee.
Lekker alles op een hoop gooien! Je bent toch geen autocoureur als je thuis in een automaat rijdt?! Wat een onzin joh. Ik krijg geregeld verzoeken om een website te maken voor mensen, en wordpress is een zegening. Je installeert het, helpt ze op weg, en daarna kunnen ze zelf uit de voeten. Anders moet je dus iedere week een woordje vervangen of een plaatje uploaden. Of schrijf jij een compleet CMS liever zelf? Kan een leuke oefening zijn, maar ik heb betere dingen te doen.
Veel developers/bureau's werken wel met eigen CMSen. Want als er een update komt voor een niet eigen gemaakt CMS, moet je dat voor al je klanten gaan doorvoeren, en dan mag je ze dus allemaal bij langs gaan om te kijken of er niet iets zit wat incompatibel wordt. En als je niet update ben je vatbaar voor exploits.
Maar met een grote groep van Wordpress gebruikers komen fouten ook sneller aan het licht. Plus er is meer expertise beschikbaar wat mogelijke beveiligingsrisico's ook sneller opmerkt. Een custom CMS zal sneller gehacked worden dan Wordpress is mijn ervaring.
Hangt van je doelgroep af. Wordpress is een makkelijk doelwit, omdat als je er eentje 'hackt', je meteen honderdduizend potentiële doelwitten erbij hebt. Afhankelijk van je doel (misbruiken voor eigen doeleinden) kan dat interessanter zijn dan een willekeurig, custom CMS te hacken.

Echter, als je doel is om die specifieke site plat te leggen, dan kan een eigen CMS inderdaad nadelen hebben. Waarbij het wel vaak zo is dat een eigen project wat al langere tijd meegaat ook de nodige security fixes heeft gehad. Vaak wordt er aan de eigen core minder ontwikkeld, waardoor die niet snel nieuwe exploits krijgt.

Maar goed, er is voor beide kant iets te zeggen. Uiteindelijk komt het altijd neer op de snelheid waarmee je problemen herkent en oplost.
Datzelfde argument heb je ook bij een zelf gemaakt CMS? Ook daar zullen updates voor uitgebracht worden lijkt me, die bij klanten doorgevoerd moeten worden en dan moeten voldoen aan alle specifieke installaties en addons en tweaks?
Daar weet je zelf exact wat je update. En dan kun je ook alleen een lek dichten, en niet ook nog allerlei nieuwe features en wijzigingen doorvoeren.
Waarna je weer een periode van testen in kunt gaan :p
Daar weet je zelf exact wat je update.
In mijn ervaring valt dat nogal tegen.
Tenzij je alleen 'de bakker op de hoek' type klanten hebt zullen de meeste klanten toch specifieke wensen hebben. Use cases die hun specifieke bedrijf ondersteunen. Met een zelfgemaakt CMS moet je veel nee verkopen... Of een heel groot en flexibel CMS hebben (wat heel veel geld kost om te ontwikkelen). Of, en dat is wat er in de praktijk gebeurt, er wordt maatwerk op gebouwd. Wat er nu in het pakket zit is bijna genoeg voor deze klant, maar hij mist net dat ene dingetje. Twee weken stevig programmeren en dat zit er ook bij... Zo eindig je met veel custom installaties.

Upgrades worden duurder en tenzij je er geld op toe wilt leggen moet je de klant ervan overtuigen dat dat moet gebeuren zodat je hem kunt factureren. Niet alle klanten gaan daarin mee dus klanten zitten op verschillende versies met verschillend maatwerk erin. Verder willen klanten vaak ook koppelen met hun backend systemen. Nog meer maatwerk en ditmaal ben je ook van de versie van het externe systeem afhankelijk...

Ondertussen zit je jaloers te kijken naar WordPress. Die extra functionaliteit, daar is bij WordPress gewoon een plugin voor te krijgen. 250 euro. Daar programmeer je niet tegenop. En als er een nieuwe versie van WordPress verschijnt hoef je alleen maar even een backup te maken (met, jawel, een standaard plugin) en vervolgens op de 'upgrade' link te klikken. Twee minuten later draait de site op de laatste versie van WordPress.

WordPress is een commodity aan het worden en dat is goud waard. Bovendien is het een zeer open systeem dus als je enige kennis van zaken hebt dan kun je het aanpassen aan je wensen.
Wij hebben bijvoorbeeld met al onze klanten update contracten voor WordPress en Drupal websites. Iedere maand worden alle updates geïnstalleerd en hier zijn ook goede tools voor, zodat je dit voor een deel kunt automatiseren en testen.
Prima denk ik dat ze hun eigen systeem ontwikkelen. Maar voor mij is dat niet zinnig en is wordpress de beste oplossing. Misschien zijn er inmiddels betere systemen, misschien is Wordpress niet 100% veilig of saai - ik kan er alles mee wat ik wil, en ik heb het nog niet meegemaakt dat iemand iets wilde wat niet kon.
Dan zou ik eerder iets a la concrete5 installeren. Ook een CMS, maar met een stuk beter track-record
Voor de bakker op de hoek is het anders volkomen overkill
Wordpress is voor de bakker op de hoek overkill ja, Concrete5 is lekker licht en makkelijk. Ik zou zelf voor C5 gaan ipv Wordpress voor de bakker op de hoek.

Is de klant veeleisender? Drupal.
Licht? H
Dat pakket is 3 keer groter dan WordPress.
Drupal is in mijn ogen het meeste complete CMS en tevens ook meest flexible, tuurlijk heeft het een lastige leer curve maar als je het eenmaal onder de knie hebt kan je er mee kanten mee op dan WordPress, Joomla, C5 of wat dan ook. Tevens heb je ook veel gratis modules die door iedereen aangepast kunnen en mogen worden.

Daarnaast in PyroCMS voor de meeste mensen veel gebruiksvriendelijker dan WordPress.
Welke van de 2 heb je het over? Drupal of Concrete5?
Klopt, maar voor die zou ik sowieso geen generiek CMS neer zetten. Want die omgevingen moeten wel bijgehouden worden
Ligt eraan hoe je Wordpress toepast. Die persoonlijk moet je creëren namelijk.
Juist. Eigen template maken en wat tweaken dat het niet meer standaard wordpress.

Al moet ik zeggen die nieuwe template twentyforteen geeft toch wel echt een premium template gevoel. alleen nog kleuren tweaken en klaar.

Want zelf een compleet systeem bouwen wat wordpress, je moet er maar tijd en de kennis voor hebben....

[Reactie gewijzigd door RobbyTown op 12 maart 2014 10:49]

Als ontwikkelaar kun je Wordpress als basis nemen. Ik bouw veel websites voor klanten. Sommige van deze klanten zijn al gewent aan Wordpress en kunnen zo sneller berichten posten. Ik als ontwikkelaar ontwikkel dan vaak zelf plugins en een thema die aan de wensen van de klant voldoet.

Dus ja, als echte ontwikkelaar zie ik nadelen in Wordpress maar voor klanten is het gebruiksvriendelijker. En door thema's op maat kun je echt niet meer zien of het Wordpress is of iets anders ;)
Ja en nee. Als een klant een simpele website wil met een paar pagina's en zelf de content wil beheren moet je wel naar Wordpress. Het zelf bouwen kost teveel werk en gaat de klant nooit betalen.
Deze quote heeft bij ons op de werkvloer een hoop hilariteit opgeleverd en onze dag weer een stukje beter gemaakt. :)

[Reactie gewijzigd door der_joachim op 12 maart 2014 09:42]

Zoekt u nog collega's? Bent u kok of ontwikkelaar?
'Ik bouw zelf wel iets" houd echter niet in dat je iets kan maken dat minder lekken bevat dan Wordpress. Ik snap je punt volkomen maar in jouw geval zal een community niet snel alle lekken vinden, oplossen of misbruiken inderdaad maar dat houd niet in dat ze er niet zijn of misbruikt worden.
Als je zelf een oplossing bouwt bovenop een opensource framework als Zend of Symfony minimaliseer je al een hoop risico's. Zelf iets bouwen wil niet zeggen dat je het wiel opnieuw moet uitvinden. Een slimme developer gebruikt componenten van derde partijen.
Daar heb je inderdaad een punt, al heb je dan weer een groot ingezet framework dat groots misbruikt kan worden. :)
Maar of je 3e partij dan Wordpress is of Zend maakt dan in feite niet uit. Ook daar kunnen fouten in komen.
Wat mij erg opvalt is dat wordpress steeds vaker "misbruikt" word het word niet alleen meer gezien als een blog systeem en static pages. Maar ook om volledige webshops in te bouwen. Terwijl magento of frameworks veel beter voor zulke toepassingen zijn. Dit heeft waarschijnlijk te maken met het feit dat in het MKB segment bedrijven veel te veel verwachten voor veel te weinig geld (teminste mijn ervaring). Hierdoor krijgen wij (developers) vaker de vraag van bouw het even in wordpress met die en die plugin.. terwijl we erg goed weten dat deze oplossing fragiel is (verre van de beste oplossing).

Al moet ik dan wel meteen weer bekennen dat drupal niet veel beter is. Allemaal CMS systeemen die vanuit een designer / non developer perspectief zijn gemaakt. Met hun dump alles in 1 tabel schema.. *nightmares for updates*

Terwijl systemen zoals silverstripe als CMS de developer veel meer controle geven. Net zoals een framework als laravel dit doet.
Hoewel een Magento erg uitgebreid is, is het vaak overkill. Een heleboel mensen willen gewoon een handvol producten verkopen via ideal en niets meer dan dat. Dan zijn de shops die je voor Wordpress kunt installeren gewoon erg handig. Plus dat het template-systeem ook vele malen beter in elkaar zit dat het aanpassen ervan ook veel sneller en makkelijker gaat.
Ligt een beetje aan het type klanten wat je hebt.
We bouwen hier vaak sites/shops voor klanten met vele opties in het assortiment. Producten met varianten, combinaties, productrelaties, verschillende (deel-)assortimenten op verschillende domeineinen, koppelingen met backend systemen, etc etc. In zulke gevallen is er in magento enorm veel mogelijk.

Het cms-deel in magento voor niet-assoriment pagina's is dan weer enorm beperkt en onhandig als je het vergelijkt met andere cms'en. Veelal gebruiken dan ook een ander cms voor de niet-assortiment delen en integreren deze twee met elkaar. Zo gebruik je de onderdelen van elk systeem waar het sterk in is.

Overigens gebruiken we hier maar weinig wordpress. Eigen cms'en hebben we ook een tijd ontwikkeld, maar praktisch gezien kun je als enkel bedrijf nooit op een zelfde tempo features ontwikkelen als dat een hele community doet. We maken tegenwoordig voor cms'en dan ook voornamelijk gebruik van concrete5. Een cms systeem met veel features, en erg gebruiksvriendelijk voor de beheerders (front-page editing bv). Verder is het stylen en aan te passen hoe je wilt, en heeft het inmiddels een aardige hoeveelheid plugins beschikbaar.
De eisen die je noemt zijn ook niet de doelgroep voor de Wordpress winkels...
Al moet ik dan wel meteen weer bekennen dat drupal niet veel beter is. Allemaal CMS systeemen die vanuit een designer / non developer perspectief zijn gemaakt. Met hun dump alles in 1 tabel schema.. *nightmares for updates*

Hah! Dat is de eerste keer dat ik Drupal ervan beschuldigd zie worden alles in één tabel te zetten. De klacht is doorgaans *teveel* tabellen.
Dat het uit een designer-perspectief is gemaakt is ook een mooie, de kracht van Drupal is juist de flexibiliteit en aanpasbaarheid via hooks terwijl er menige klacht over het gebrek aan aandacht voor designers is geweest. Toegegeven, die flexibiliteit was (pre-Drupal8) op een aparte manier geïmplementeerd, maar was wel ten gunste van ontwikkelaars.
Maar je wilt toch ook een CMS vanuit designer-perspectief? Je wilt de klanten niet opzadelen met een systeem dat ze niet snappen. Maar bij Drupal is het inrichten van de site misschien zonder coderen, maar het instellen van een module als Views gaat de gemiddelde blogger toch echt te boven. Het installeren en updaten van modules gaat dan wel eenvoudig, maar voor een core update moet je dan wel weer met FTP aan de slag. Maar meerdere sites runnen op 1 installatie zorgt dat dit eigenlijk geen probleem is.

Ik heb verschillende collega's die Drupal gebruiken om eigen modules te verkopen. Ik hoor eigenlijk niets dan lof of hoe eenvoudig het is om een plugin te maken die je zo in Drupal inprikt. Ik ben wel benieuwd waar jouw pijn dan zit.
Welke WP vervanger raad jij mensen dan aan, die weinig verstand hebben van website ontwerp, en waarmee je redelijk snel een goed ogende site in elkaar zet?
Er is niets zo makkelijk te verkloten als een HTML template. Zeker mensen die geen enkel verstand van zaken hebben zijn echt zoveel malen beter uit met Wordpress. Je wilt dergelijke mensen gewoon een WYSIWYG editor geven om hun content te generen. Die hebben geen zin om HTML tags te gaan onthouden. En even quotes vergeten (wat dergelijke doelgroepen wel snel doen) en je hele template is stuk
en hoe onderhoud jouw klant dan zijn eigen website? Zelf gaan HTML-en?
een stukje naar boven werd concrete5 genoemd. zelf geen ervaringen mee maar here goes nothing:

https://www.concrete5.org/

wellicht dat er hier pplz zijn die er wat over kunnen roepen
Leuk - maar zelf ontwikkelen slaat meestal nergens op aangezien je dan meer aan het ontwikkelen bent dat dat je je eigen bouwsel daadwerkelijk gaat gebruiken...

En als jij die wijsheid hebt weet je vast ook wel alternatieven - ik kan zo 123 niet verzinnen wat dezelfde functionaliteiten en dito community heeft ???
Bovendien ben je dan na het ontwikkelen ook nog aanzienlijk veel tijd bezig met het zoeken naar gaten in je werkje. Bij veel gebruikte pakketten wordt dat werk over vele mensen gespreid gedaan, met een zelfbouw dingetje heb je vaak maar een klein dev-team die dat voor je kan doen.
Bji 'zelf ontwikkelen' bedoelt men impliciet dat men niet naar gaten in het eigen werk gaat zoeken. Waarom zou je ook? Een zelfbouw CMS wordt bij zo weinig sites gebruikt dat het niet loont om te worden gehackt...
Het ligt natuurlijk aan de toepassing of het doel van de website die je ontwikkelt. Als het een eigen prive blog of pagina betreft maakt het inderdaad niet uit en kun je het achterwege laten.
Ontwikkel je het voor een klant of voor gebruik bij een bedrijf kun je het testen en zoeken naar gaten simpelweg niet achterwege laten. Hoewel je bij een zelfgemaakt framework natuurlijk vrijwel geen last hebt van 'scriptkiddies' en standaard scans, heb je wel degelijk rekening te houden met gerichte aanvallen.
De meeste systemen worden minder overzichtelijk naarmate de functionaliteiten toenemen.
Wordpress heeft een ietwat vreemde opbouw met z'n gedeeltelijke OOP, maar wordt steeds overzichtelijker een veel modules worden ge OOP 'ed
Het belangrijkste van Wordpress is dat het gemakkelijk en overzichtelijk is om een plugin voor te schrijven met hooks en actions. En ja er zijn al zoveel plugins voor, in een overzichtelijke site met reviews en forums erbij.

Bovendien is dit voor de verandering GEEN bug.
Als je het zo stelt is bijna alles op het internet een bug, alles wat verkeer verzend...
Dit is geen fout van/in Wordpress, maar een fout van de providers, de provider moet BCP38 toepassen en dus geen data uit het netwerk laten gaan wat niet uit het netwerk komt.
Oftewel als je op 192.168.1.1/24 zit en de router van het interne netwerk een packet krijgt wat van 8.8.8.8 komt moet de router dat niet doorsturen.
Zo kan je ook niet spoofen.

Tenzij Wordpress zelf in de packet stopt welke site wat verstuurt en het dus zelf afhandelt, in dat geval moeten ze daar wat aan doen, maar voor zover wordt dat nog niet gemeldt...
Het is geen bug nee, het is een flaw. Het zit fout bij het bedenken van de feature, niet bij de implementatie ervan.
ik moet eerlijk zeggen dat het afgelopen jaren sterk verbeterd is maar inderdaad ik blijf er liever bij uit de buurt.
De reden dat WP zo populair is, is dat het makkelijk te installeren is door een leek en er direct mee gewerkt kan worden. Dit is voor veel mensen belangrijker dan zaken die ze niet kunnen beoordelen.

De gemiddelde leek zal niet kunnen beoordelen of de claims over de veiligheid van een eigen CMS of van WP waar zijn of niet en maakt zich er vervolgens niet druk over.

Daarnaast zijn er veel kleine 'webdesigners' (ja tussen aanhalingstekens), die wordpress makkelijk vinden omdat het gratis is en ze zo zonder enige kennis van code een site met allerlei functionaliteiten en een cms kunnen bouwen voor hun klanten.

Deze beide doelgroepen zullen ook niet de pingback uit gaan zetten, omdat ze niet eens zullen weten dat deze exploit/feature bestaat.

[Reactie gewijzigd door theBazz op 13 maart 2014 10:54]

Deze beide doelgroepen zullen ook niet de pingback uit gaan zetten, omdat ze niet eens zullen weten dat deze exploit/feature bestaat.
Tja dat is weer zo'n generalisering. Bij ons op het werk gebruiken we nu ook WordPress voor een aantal zaken. De toegevoegde waarde van het systeem is toch wel heel groot. Neem bijvoorbeeld OpenShift. Dat is een cloud platform van Red Hat. Je hebt daar binnen een paar minuten een gratis account voor gemaakt. Dan kom je in een scherm waar je een nieuwe app kunt maken en wat zien we dan? WordPress. Gewoon aanklikken, minuutje wachten, wat gegevens invullen en klaar. Je hebt een WordPress installatie in de cloud. Of neem Bitnami. Die hebben voor 10 applicaties een quickstart knop recht op de homepage staan. En daar zit WordPress dus bij. Ook meer traditionele hosting partijen bieden heel vaak kant-en-klare WordPress installaties aan.

Heb je eenmaal een WordPress omgeving staan dan kun je op zoek naar Thema's om het jouw gewenste look & feel te geven en naar Plugins om functionaliteit toe te voegen. Van beide soorten zijn er honderden, zo niet duizenden gratis te downloaden die je met twee kliks kunt installeren. Af en toe kom je betaalde varianten tegen en dan vraagt men een paar tientjes voor een plugin bijvoorbeeld. Zet dat eens af tegen de duurdere (meer exotische) CMS en dan heb je het al snel over duizenden euros.
Wordpress is naast een paar programma's makkelijk te installeren, (zjin niet meer ver weg om het als app installatie te laten lijken) met alles wat je voor een blog/simpele website nodig hebt, en je hoeft er alleen 1 tot 3 uur in te stoppen om te krijgen wat je wild via een template.
Zelf heb ik alleen wat html en asp gedaan, maar ondertussen een website bouwen met een redelijke kwaliteit en CMS erbij gaat voor mij al veel te veel tijd kosten.
Op dat moment komt wordpress, joomla etc.. om de hoek kijken.

Geen extra kosten aan als het je toch niet bevalt.

However dat WP nu "misbruikt" wordt voor aanvallen is dan weer minder :(
Ik heb mij mijn websites die ping-feature altijd standaard uit staan. Pas als er vraag naar is, zal ik het aanzetten maar dat is dus eigenlijk nooit.
Mee eens nou moet ik zeggen dat als je reacties uitzet, xml-rpc uitzet en die rss functionaliteit uitzet het met wordpress al stukken meevalt.

Zelf heb ik een tijd stage gelopen bij een bedrijf die veel met wordpress, magento, dynamic web en hybris deed. En dit was daar soort van de standaard procedure bij wordpress.

Moet zeggen dat ik de sites die uiteindelijk met wordpress gemaakt werden meestal zeer aantrekkelijk vond.
xml-rpc staat bij standaard installaties al uit, die moet je juist aanzetten om t te kunnen gebruiken?

Reacties zijn wel een core functie. Uitzetten beperkt wel de functionaliteit behoorlijk. Toevoegen van een askimet key werkt ook prima, dan kunnen je reacties gewoon aan blijven staan ;)
Als ontwikkelaar kan ik dan ook echt niet snappen waarom een systeem als WordPress nog zo populair is. De code is een groot bord spaghetti en het ene lek na het andere dient zich aan. Natuurlijk heeft dat ook iets met de populariteit te maken (lekken in populaire systemen worden nu eenmaal sneller gevonden/uitgebuit), maar WP is nou niet bepaald het schoolvoorbeeld van softwarearchitectuur.
Als ontwikkelaar denk ik dan "ik bouw zelf wel iets", maar ja, een community met duizenden plug-ins en thema's kun je niet 1,2,3 nabouwen.
Ik ben ook erg blij met een reactie als deze. Niet om te propaganderen dat iedereen maar zijn eigen cms moet bouwen maar het Wordpress systeem is een vreselijke bult code onder de motorkap. Dat is nog steeds de voornaamste reden waarom ik mij er maar niet toe kan zetten om een systeem als Wordpress te adapteren. Er zijn inmiddels prachtige frameworks op de PHP markt. Als Wordpress de moeite zou nemen om een 4.x build te vervaardigen die daarop gefundeerd is (lees Laravel, Symfony 2 of Silex) dan zou het systeem in mijn ogen al een stuk robuuster zijn. Helaas zal dit gezien compabiliteit met oudere plugins, ervaring van bestaande developers etc bijna onmogelijk worden.

Dus zit je een vicieuze cirkel aangezien het Wordpress platform zo populair is dat daardoor de onderliggende architectuur nauwelijks te wijzigen is en je dus developers op het Wordpress platform blijft aanmoedigen om lelijke spaghetti code te schrijven.
Je ziet dit eigenlijk bij elk groot project gebeuren. Wet van de remmende voorsprong. Het kan nu mooier, met de kennis die men nu heeft. Maar je wilt ook dat mensen kunnen blijven upgraden. Dus blijf je verder knutselen aan oude code. Stapje voor stapje zal het steeds meer richting een net framework gaan. Maar tegen die tijd zijn de ideeën wat 'net' is mogelijk alweer veranderd.

Je kunt een nieuw project starten. Echter, zodra dat project een bepaalde community heeft die bepaalde eisen stelt (kunnen upgraden is daarin de belangrijkste), dan kom je al snel op hetzelfde punt.

Ik vind persoonlijk Wordpress ook enorme spaghetti code. Maar ik denk ook dat het voor een bepaald aantal websites een goede tool is. De juiste tool bij de juiste opdracht zoeken.
Ik snap dat wel.

Als amateur fotograaf wil ik een leuke website hebben. Mijn vorige was geheel in flash gemaakt, dus kon echt niet meer. Als particulier wilde ik een mooi vormgegeven website en deze ook zelf kunnen vullen. Wordpress bied mij al deze functionaliteit.

Dat het kwa software architectuur bagger is, kan mij als eindgebruiker niet schelen. Als hij het goed doet en bezoekers krijgen een vlotte en mooie website voorgeschoteld, dan kan het mij niks schelen wat er op de achtergrond gebeurd.

Daar komt bij, dat ik niet weet welke oplossingen beter zijn. Tja, ik kreeg eens een aanbod van een webbouwer, voor 1500 euro kon hij een mooie maken:O
Wat moeten we anders gebruiken? Ik heb een tijd mijn eigen CMS gemaakt en onderhouden voor klanten en mezelf, gebruikte het veel, maar het is gewoon niet goed bij te houden. Je hebt er zo ontzettend veel werk aan, voor dingen die gewoon allemaal al bestaan en vrij toegankelijk zijn. Er is totaal geen punt in het helemaal opnieuw beginnen aan een CMS met iets als WordPress binnen handbereik.
Ligt aan een heleboel dingen waaronder je scope (i.m.o. ga je geen wordpress als enterprise-oplossing neerzetten) en je wensen en eisen. Afgezien van het feit dat ik niet zeg dat het slecht is een standaard oplossing te gebruiken. Ik zeg dat ik de technische kwaliteit van wordpress zeer slecht vind.
Dat vind ik dus ook, en vergeet niet dat er genoeg alternatieven zijn te vinden, http://processwire.com/ is zo'n voorbeeld. Een krachtig cms waar met custom fields alles is aan te passen en gebruik maakt van de PHP 5.3 opties.

Wordpress heeft last waar de PHP community last van heeft, een ontzettend lage instap waardoor er heel snel ongestructureerde code geschreven kan worden. Wordpress heeft bijvoorbeeld met zijn WP_Query functie het mogelijk gemaakt om te pas en te onpas de database aan te spreken. Deze code zie je dus ook veel terugkomen in plugins op de vreemdste plaatsen.

Uiteraard worden er ook goede OOP plugins geschreven maar je merkt wel dat door het gebrek aan structuur er een wildgroei is aan assets (Lees 10 verschillende jQuery varianten) html en php mictures en op de vreemdste plekken aanroepen naar de database.

Voor het laatste als klanten zelf aan de slag gaan met Wordpress en denken even snel wat plugins er in te gooien merk je als snel dat Wordpress op de knieen gaat en je in een debug hel terecht komt.

[Reactie gewijzigd door juggle op 12 maart 2014 15:10]

Ik ben ook een programmeur en gebruik dan ook regelmatig Wordpress. Ik gebruik het eigenlijk enkel om snel websites op te zetten, gewoon omdat het werkt (thema's en plugins).

Verder gebruik ik veel PyroCMS, hier kun je tenminste met MVC werken.
dus jullie schrijven voor elk project elk stukje code opnieuw en gebruiken geen enkel "bestaand" scriptje?
dus jullie schrijven voor elk project elk stukje code opnieuw en gebruiken geen enkel "bestaand" scriptje?
Ik begrijp niet helemaal precies waarop je dit baseert? Er is ook code buiten Wordpress wat je kunt gebruiken. Het lijkt een beetje op een reactie van een typische Wordpress developer.

Ik noem maar even Composer, Packagist, Pear... Genoeg alternatieven om prachtig geschreven libraries te vinden die je zo kunt embedden in je project... Zelfs Wordpress doet voorzichtig stapjes op packagist.org.. Helemaal ondersteuning van Wordpress op composer is natuurlijk het beste. Als alle plugins en Wordpress Core nu ook de PSR-0 standaard gaan ondersteunen heb je een nog beter uitwisselbaar code systeem...
Jij weet als web Developer toch wel hoe je de boel moet beveiligen?
Weet je zeker dat ze via Wordpress zijn binnengekomen en niet door brakke beveiliging/instellingen van de server zelf?
Ligt het aan mij, maar ik dacht dat je die xml-rpc-functionaliteit/pingback toch gewoon kan uitzetten?
WordPress heeft enige tijd geleden besloten dat XML-RPC functionaliteit standaard ingeschakeld zou moeten zijn (vanaf WordPress 3.5) en heeft daarnaast besloten om de beheerder minder keuze te geven door de optie om het gemakkelijk uit te schakelen te verwijderen.

De functie is nog wel te verwijderen door:
<?php add_filter( 'xmlrpc_enabled', '__return_false' ); ?>

toe te voegen aan functions.php, of door deze plugin te installeren in WordPress.

[Reactie gewijzigd door Rubén89 op 12 maart 2014 11:48]

zou het niet standaard uit moeten staan?
deze staat standaard ook uit.
Ik zet deze juist aan om bijvoorbeeld de website bij te werken via de ipad die dit nodig is om te kunnen connecten met de app.

WP wordt wel erg snel afgedaan als zooitje, maar ik ben het daar niet echt mee eens.
Er zijn voldoende security updates/patches, en daarnaast zijn er plugins te installeren (betaald of gratis) die de beveiliging ten goede komen.

Wel gaan de geruchten de ronde dat er wordt gewerkt aan een volledig gereviseerde versie.
Eens afwachten wat dat precies gaat inhouden.
Incorrect. XML-RPC support staat standaard aan sinds WordPress 3.5.

http://codex.wordpress.org/XML-RPC_Support

Men kan met bijvoorbeeld een htaccess bestand makkelijk op IP adres filteren voor specifiek dat bestand. Dit doe ik al tijden voor mijn wp-admin directory en wp-login.php. Uiteraard ben je dan wel locatie gebonden.

Ik heb de vulnerability getest en het is wel erg goed bedacht. :+

[Reactie gewijzigd door Scraxxy op 12 maart 2014 21:18]

je zal ongetwijfeld gelijk hebben, echter installeer ik tenminste 1x per week voor diverse klanten en staat toch uit hoor.
Kan dit te maken hebben met taalversie misschien?

Installeer namelijk de NL versie en niet de engelstalige officiele verie.
Wel gaan de geruchten de ronde dat er wordt gewerkt aan een volledig gereviseerde versie.
Eens afwachten wat dat precies gaat inhouden.
Wat? Heb je daar meer informatie over, lijkt mij interessant, ik vind zo direct niks over dit. :)
kan, zijn dan ook gesprekken die ik opvang in fora, niet echt in openbaar.
is ook wel logische stap na al die tijd aangezien er geen revisie is geweest in de afgelopen jaren lol

maar die jongens kennende, zal het niet erg lang meer duren voor er ruchtbaarheid aan gegeven zal worden... :)

Let wel, zijn wel fora van developers die echt aan WP werken.
Heb eigenlijk geen idee waarom dit niet meer openbaar is, meld alleen wat ik mee heb gekregen van de beste mensen.

[Reactie gewijzigd door velenski op 12 maart 2014 22:39]

Klopt, dat wordt ook verteld in dit artikel. Ik schakel deze functionaliteit ook standaard uit wanneer ik een nieuwe WordPress website aan het configureren ben.

Ik heb wel even gebruik gemaakt van de tool die is vrijgegeven om te controleren of je website is getroffen door de ddos-aanval. Er zijn vier websites die ik heb gecontroleerd en ze zijn gelukkig allemaal niet getroffen volgens de tool. Dat neemt natuurlijk niet weg dat dit bericht maar opnieuw bevestigd dat je moet oppassen met WordPress of een andere CMS. Zeker, omdat dit systeem in grote lijnen hetzelfde is bij alle websites die op de dienst draaien. Kwaadwillenden kunnen daardoor een lek vinden in het systeem en daarmee veel websites in een keer beschadigen. Puur, omdat ze allemaal dezelfde architectuur hebben.
Nee, het ligt niet aan jou, en dat staat ook in het artikel.
Helemaal correct. Zouden ze in het artikel moeten zetten, dan is iedereen op de hoogte... oh wacht
Desondanks kunnen beheerders van een Wordpress-website handmatig de pingback-functionaliteit uitschakelen.
Als .NET developer heb ik eens verplicht een Wordpress website moeten opzetten (= goedkoper dan in .NET iets schrijven) . Wat een puinhoop: plugin hier, plugin daar, er bestaan zelfs plugins voor plugins om maar te zwijgen van 'javascript hacks' voor niet meer onderhouden plugins. Bij wonder draait alles nog redelijk. Maar je verliest de totale controle over efficient geschreven code, terwijl je het zelf doet over elke regel code bijna nadenkt.
Dit is iets wat je vaak hoort van .Net developers en wat ik dan weer mis van de .Net community is een voorbeeld dat ook net zo gebruiksvriendelijk (en gratis!) is als Wordpress. Zijn die er eigenlijk wel?
Tsja, niks is 'gratis' als het veel uren frustratie kost. Als je een beetje weg wilt van die hele wildgroei aan spaghetti code en eindeloze plugins van bedenkelijke kwaliteit kan je altijd je website in SharePoint 2013/Online bouwen, maar goed dat heeft alleen zin als je bedrijf ook intern SharePoint als CMS gebruikt. Voor een simpele hobby blog (waar WordPress zonder twijfel veruit marktleider is) is het totale overkill.

[Reactie gewijzigd door Dreamvoid op 12 maart 2014 12:10]

Wanneer ik voor een bedrijf een website moet maken in Sharepoint dan zit ik om tafel met de afdeling ICT en praten we over security en integratie;

Wanneer ik een site maak voor een organisatie met open-source pakketten praat ik met de afdeling communicatie over tracking, analytics, opmaak en call-to-action.

Een CMS is een commodity; een middel voor een doel. Communicatie is het doel dat voorop zou moeten staan voor een website. Dat doel bereik ik snel en goed met bijvoorbeeld een WordPress.
Communicatie is het doel dat voorop zou moeten staan voor een website.
Das een beetje een dooddoener, dat spreekt voor zich. Wat ik in de praktijk wel vaak zie, is dat projecten sterk vanuit de marketing/communicatie kant worden gepushed "zo snel mogelijk de site de lucht in, met alle toeters en bellen", en later problemen opduiken met, jawel, juist die "security en integratie".

Sharepoint (of vergelijkbare 'enterprise' platforms) is wat dat betreft ook niet een platform dat mijn eerste keus (of zelfs tweede, derde of vierde) is in het quick-and-dirty opzetten van een marketing site of blog, maar het voorkomt wel enigszins dat je jezelf na een paar jaar terugvindt in een aan alle kanten uit zijn jasje gegroeide Wordpress spaghetti. Ik zeg 'enigszins' want een prutser kan van Sharepoint ook een mooie puinhoop maken, en een goede developer kan Wordpress sites ook best netjes houden.

Maar goed, zoals met alles is het doorgaans al moeilijk genoeg om de juiste requirements voor een site samen te stellen, laat staan de toekomst te voorspellen hoe de site gaat groeien en wat de plannen over vijf jaar zijn.

[Reactie gewijzigd door Dreamvoid op 12 maart 2014 13:28]

Je hebt absoluut een punt, maar frustratie heeft ook gewoon een prijs. Programmeurs raken in de ogen van de opdrachtgever natuurlijk wel snel gefrustreerd als ze de code niet mooi vinden en het eigenlijk gewoon werkt... ;)
Umbraco, Sitefinity zijn zowat de bekendste .NET CMS'en. Of ze 100% gratis zijn, weet ik eigenlijk niet. Sowieso is er .NET community die van alles en nog wat gratis met elkaar delen, veel kleiner dan PHP community.
http://umbraco.com/products.aspx & http://www.sitefinity.com/purchase

Prijzen zijn niet mis…

Daarnaast allemaal leuk en aardig maar is het ook zo gebruiksvriendelijk als Wordpress? Het punt is namelijk dat (van mijn eigen bedrijf uitgaande) klanten een gebruiksvriendelijke CMS ervaring voorop staat. Dit scheelt mij extreem veel tijd om alles anders 10x uit te moeten gaan leggen. De meeste hebben al ervaring met Wordpress en willen daarnaast zelf hun eigen site zoveel mogelijk updaten.

Ik heb net een aantal van de websites van mijn klanten gecheckt en geen enkele was gebruikt onveilig/DDOS. Ik ga er dan ook vanuit dat dit voornamelijk bij WP websites gebeurd die al een poos geen updates hebben gehad.
Sitefinity is een drama. Zowel qua update (opnieuw compileren tegen nieuwe libraries die ineens jouw functies niet meer ondersteunen) + Torenhoge licentiekosten.

2 jaar gebruikt, maar ik kan er niet snel genoeg mee sturen.
"Umbraco is a free open source Content Management System built on the ASP.NET platform."
https://github.com/umbraco/Umbraco-CMS/
Okay, en nu wil de bakker om de hoek een mooie site en dan kom jij aan met:
We gaan eerst een CMS kopen va $3000 en vanaf dat punt gaan we verder werken.

Right....
Als .NET developer weet je dan ook dat er eigenlijk geen systeem - geschreven in .NET - is, dat net zo gebruiksvriendelijk en uitbreidbaar is. Ik ga niet zeggen dat de codebase van Wordpress zo geweldig is, maar het is altijd makkelijk afgeven op een systeem met een dergelijke leeftijd. Die daardoor ook rekening moet houden met een bestaande userbase en third-party plugins.

En nogmaals, zo gemakkelijk uitbreidbaar als Wordpress, dat zie je niet veel. Dat daardoor de kwaliteit van de code niet altijd zo geweldig is, vind ik een punt twee.
En zoals verwacht. De "echte "developers denken alleen naar de code en kijken niet naar de gebruiksvriendelijkheid van het systeem. Voor een klant maakt het niet uit dat je alles perfect MVC doet. Wel dat je gemakkelijk je site zelf kunt beheren.

WordPress zal hier ook wel wat op verzinnen.
Overal ik ben voor maar erken de kritiek.
Oh met wordpress is ook niks mis voor de standaard bedrijfs website / personal blog, waar waar ik wel een steeds groter probleem mee heb is het idee dat als je er gewoon 30 plugins aan kan koppelen en het dan in 1 keer een goede webshop word of een goede webapplicatie kan worden.

En die tendens lijkt steeds groter te worden terwijl wordpress daar echt niet voor bedoeld is.

[Reactie gewijzigd door schipperz op 12 maart 2014 14:55]

Tja "30 plugins koppelen" is dan toch echt wat een hobbyist onderscheid van een developer
Oh volledig met je eens dat dit zo is, maar er zijn zat websites die voor bedrijven door een hobbyist worden gebouwd. En die websites nadat de hobbyist er geen zin meer in heeft komen dan bij web development bedrijf.. " zijn de leukste opdrachten :P "

Het moet gewoon geen cultuur worden binnen een web development bedrijf (naar mijn mening) dat het wel goed is om 10 plugins aan wordpress te koppelen om bijvoorbeeld woocommerce net op die ene manier te laten werken die de klant vraagt.

En je ziet door de crisis dat bedrijven heel zuinig zijn gaan doen en dat opdrachten daarom de regels moeten buigen om maar binnen het budget te blijven terwijl je als developer het graag anders had willen doen vanuit een technisch onderhoudbaar standpunt.
Daar heb je een punt. Maar dan drijven we wel erg ver van het topic. Ik probeer altijd zo min mogelijk plugins te gebruiken. De plugins die ik gebruikt bekijk ik ook eerst goed. Ik instaleer nooit zomaar een plugin.
Leuke feature.
Het lijkt me dan wel zinnig om eens te gaan nadenken dat als een dergelijke dienst onderling word uitgerold er een soort authenticatie plaats vindt. Zoals een beveiligde sleutel die word uitgewisseld en gebruikt.

Dan ga ik me ook afvragen hoeveel website hierdoor kwetsbaar zijn. Dit soort reflectie aanvallen zijn niet nieuw, ik heb ook gelezen over NTP servers die met gespoofde pakketjes een grootter pakket naar de beoogde doel machine terug stuurt. En hetzelfde met DNS reply attacks.

Maar het is eigenlijk ook wel een gemis dat je bij een standaard request er dus niet vanuit kunt gaan dat je communiceert met server A en dat server A er dus ook niet vanuit kan gaan dat client A het pakketje heeft gestuurd (maar zich voor doet als client B ).

[Reactie gewijzigd door NEO256 op 12 maart 2014 09:35]

En de input van de tool wordt gebruikt om te inventariseren waar er Wordpress draait? hmmmzzzz
Als dat hun doel was, waren er makkelijkere manieren. Denk bijvoorbeeld aan Googlen op "inurl:/wp-admin/".
Ik ben geen programmeur en heb na eerst sites met Joomla gemaakt te hebben nu voor eigen gebruik sites met WP gemaakt. Om een eigen smoel aan mijn sites te geven gebruik ik Artisteer.
Korte leercurve.

Zowel voor Wordpress als voor Artisteer zijn er voldoende lessen met instructie-filmpjes op internet te vinden.

Als ik iets wil wijzigen, foto's of filmpje toevoegen: geen probleem.
Ik kan alles zelf doen in mijn eigen tijd op een moment dat het mij schikt.
Ik zie een hele hoop reacties van developers die afgeven op out of the box cms-en, en als ze al een out of the box cms gebruiken, komen de exoten om de hoek...
Ook zie ik Umbraco als open source cms voorbijkomen... ja Umbraco wel open, maar de rest om het te kunnen draaien is proprietair...
Simpelweg is een os cms als WP, Drupal, Joomla populair. Niet alleen omdat het 'gratis' is, maar ook omdat alle extra's (extensies, plugins, wdgets) reeds binnen de community zijn ontwikkeld en beschikbaar gesteld...
En zoals in elke stukje app/software/whatever zijn er security issues. Deze worden bij de grote drie regelmatig aangepakt en de lekken gedicht. Gratis en voor niks.Voor je eigen knutselwerk, kan je zelf op ontdekkingstocht gaan als het mis is... eigen tijd, eigen kosten... klant betaald er niet voor want het is jouw probleem...

Joomla is wellicht wel de meest bruikbare en veelzijdige van de 'grote drie' os CMS-en. Heeft ACL en het is relatief eenvoudig zelf extensies voor te ontwikkelen. Het systeem achter de designs: templates is wellicht het beste... wel e.e.a te regelen voor werkende SEO/SEF, maar als dat eenmaal geregeld is, geen omkijken meer naar.. Met wat simpele handelingen door de slimmerik is zelfs voor bots te verbergen dat het om een Joomla site gaat..
WP is de grootse speler met veel standaard features maar voor enterprise... net niet, geen ACL.. Wel handig dat SEO/SEF standaard goed is geregeld.. pluspunt..
Joomla en WP zijn makkelijk in het gebruik, zonder leercurve, voor de eindgebruikers.. de klanten..
Drupal is upcoming... maar vooral leuk waar dvelopers zich willen uitleven... minder intuitief dan bovenstaande, maar dat is relatief natuurlijk... geen standaard ACL. Jammer ook dat de Drupal site vaak zo traag is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True