Webdeveloper vinden.

[beukenootjes]

Hallo Allemaal,

 

Nieuw hier, hoop dat jullie me in de goede richting kunnen wijzen:

 

Ongeveer twee jaar geleden heb ik een klein webdevelopment bureau (via via gevonden) de opdracht gegeven een website te bouwen. De website is in de loop van twee jaar met tussenpozen ontwikkeld op basis van een custom, door de developer zelf geprogrammeerd CMS. Helaas verloopt de samenwerking de laatste tijd wat minder soepel en zou het me goed uitkomen het geheel over te dragen aan een nieuwe programmeur/beheerder. Nu weet ik niet waar ik moet beginnen met het vinden van een nieuwe redelijk geprijsde programmeur (zeg €65,- per uur). Hij/zij zal zich het systeem eigen moeten maken en wijzigingen door moeten kunnen voeren.

 

Hebben jullie tips waar ik een dergelijke programmeur kan vinden en waar ik op moet letten?

 

Elke hulp wordt zeer gewaaardeerd, dank!

 

Michael.

[Ab Bauer]

Ik heb voor de lol de hele discussie hier vanaf bladzijde één nog eens doorgelezen.

Tot mijn verbazing geeft Highio al meteen het naar mijn mening enig juiste antwoord en advies:

Beste TS, kunnen jullie de koppen nog eens bij elkaar steken om tot een werkbare situatie te komen, of is dat werkelijk een gepasseerd station? Is er tijdgebrek bij de ontwikkelaar, betaal je onvoldoende, zijn jullie verschillende persoonlijkheden (tegenpolen) of wat is de achtergrond van het probleem?

 

Het kan een riskante route zijn, maar heeft de ontwikkelaar geen kandidaat waar jullie beide mee op goede voet kunnen staan? Anders zou ik afhankelijk van de kosten overstappen naar open source om niet nog een keer tegen hetzelfde probleem aan te lopen.

 

Daarna volgen pagina's lang de bekende stokpaardjes waar niemand vanaf wil komen.

Leuk om te lezen met een bakje chips en cola, maar niet echt nuttig.

 

[Norbert Bakker]

Ter voorkoming van complottheoriën en PM-discussies: de persoon die die reus heeft gegeven, is niet actief in dit topic.

 

Verder wil ik verzoeken de discussie over deze reus en tekst hierbij te beëindigen. De HL Godwin is immers al bereikt.

 

 

 

 

[Norbert Bakker]

Ik heb voor de lol de hele discussie hier vanaf bladzijde één nog eens doorgelezen.

Tot mijn verbazing geeft Highio al meteen in het naar mijn mening enig juiste antwoord en advies

Maar Hans, je weet toch: "meningen zijn net aambeien" :). Deze hele discussie gaat al lang niet meer over de vraag van TS.

 

Maar de meeste kleine ondernemers hebben ook helemaal geen dure maatwerk applicatie nodig. Die willen gewoon een betaalbare, gebruiksvriendelijke website die goed vindbaar is in Google, en dat is precies wat ze bij mij krijgen.

Maar is het ook een veilige website, die ook veilig gehouden wordt? Want dat lijkt me ook voor kleine ondernemers steeds belangrijker worden.

 

[Bob de webbouwer]

Moet elke website nou in een cms worden gebouwd? Wat is er mis met nog steeds de ouderwetse manier van 'static' html?

 

Ik heb ook een aantal eigen websites, die zijn gewoon in statische HTML gebouwd. Maar ik denk dat het tegenwoordig wel een vereiste is dat een website eenvoudig kan worden aangepast, zeker in deze tijd van content marketing enzo. Voor mij is het aanpassen van een gewone HTML website een eitje, maar voor de meeste klanten is dat natuurlijk alleen mogelijk met een CMS.

 

Daarnaast maakt een CMS als WordPress ook veel meer functionaliteiten mogelijk, zeker voor een "ontwikkelaar" zoals ik die zelf geen PHP of javascript kan schrijven. Maar ook al kan een ontwikkelaar dat wel, dan nog is WordPress een veel goedkopere optie in de meeste gevallen.

 

@ Norbert, is die veiligheidsdiscussie niet al lang genoeg aan de orde geweest in dit topic ;) Samengevat, als je Wordpress, alle plugins gewoon up to date houdt, betrouwbare plugins gebruikt en niet "admin" in combinatie met een zwak wachtwoord gebruikt is WordPress veilig genoeg, zeker voor kleine bedrijven. Dat lang niet iedereen dat goed bijhoudt is een tweede natuurlijk...

[Ab Bauer]

Maar is het ook een veilige website, die ook veilig gehouden wordt? Want dat lijkt me ook voor kleine ondernemers steeds belangrijker worden.

De discussie of WordPress een verstandige keuze is voor kleine ondernemers is inderdaad zinvoller dan de "aambeien discussie".

 

Naar aanleiding van de nieuwe wet over 'datalekken melden' ben ik echt behoorlijk in verwarring.

Zou het echt zo kunnen zijn dat als ik een WordPress site oplever voor een klant, en we alle 'common sense' dingen doen (auto-updates, ontiegelijk lang wachtwoord, geen plugins behalve de allerbekendste, enz), dat ik dan tóch verkeerd bezig ben en problemen kan krijgen. Zelfs een boete van tienduizenden euro's?

 

Kortom; is WordPress echt 'verboden' of kun je prima zonder angst voor boetes werken met WordPress als je je maar houdt aan bepaalde regels? Als WordPress echt 'not done' gaat worden de komende jaren dan heb je inderdaad een behoorlijke kwestie te pakken.

 

*update*:

@Bob Ik geloof dat Norbert nog niet helemaal in jouw eindconclusie mee gaat.

[Bob de webbouwer]

@Bob Ik geloof dat Norbert nog niet helemaal in jouw eindconclusie mee gaat.

 

Dat hoeft ook niet, ieder zijn mening natuurlijk.

 

Dat WordPress sites regelmatig gehackt worden staat wat mij betreft niet ter discussie, dat is absoluut waar. Maar wat is de oorzaak daarvan? Zijn er vage plugins gebruikt, is e.e.a. niet up to date, is het wachtwoord te zwak?

 

Natuurlijk zijn er ook weleens lekken in betrouwbare plugins (zoals laatst bij de revolution slider), of in WordPress zelf, maar die worden over het algemeen snel genoeg ontdekt door de enorme community.

 

Er worden niet voor niets zoveel updates uitgebracht voor WordPress en plugins, maar zolang gebruikers zelf nog op de "updaten" knop moeten klikken zal het nooit echt veilig worden aangezien heel veel klanten hun site zelden bijwerken en dus ook zelden inloggen op de admin.

[fvddungen]

Dat ligt niet aan WordPress, maar dat ligt aan het vele gebruik van WordPress. Doordat het zoveel gebruikt wordt is het een geliefd doelwit van 'hackers'. Sterker nog: het zijn vaak gewoon online scriptjes ooit door iemand gemaakt, die het hele web af gaan op zoek naar lekke WordPress installs. Het is niet zo dat een specifieke website het doelwit is van een specifieke hacker (uitzonderlingen daargelaten). Maar dat betekent niet dat WordPress slechter of beter is dan elk ander CMS. Elk systeem heeft gaten. Het is net zoals Windows, die zo vatbaar is voor virussen e.d. en in ieder geval veel meer dan bij Apple of Linux systemen. Maar dat betekent zeker niet dat Windows lekker en onveiliger is dan andere operating systems. Het komt gewoon doordat Windows zo dominant is op de pc markt, dat dit systeem een geliefd doelwit is van de hackertjes op de wereld. Het aandeel van Linux en Apple systemen is zo relatief klein tegenover Windows dat de hackers daar geen moeite in willen stoppen. Ik geloof zelfs dat door alle updates en beveiligingen op gevonden lekjes dat Windows intussen veiliger is dan een Linux of Apple systeem.

 

 

[Ab Bauer]

Dat ligt niet aan WordPress, maar dat ligt aan het vele gebruik van WordPress.

Dat snap ik, een hacker kiest voor het meest gebruikte systeem.

 

Maar waar het mij om gaat is om heel precies te formuleren waar de verantwoordelijkheden liggen als het mis gaat.

 

Ik ga even van het ergste uit. Een ondernemer dreigt een boete van meer dan achthonderdduizend euro te krijgen voor een datalek. Let wel, een lek waar nog geen schade uit is voortgekomen maar waar alleen schade uit had kunnen voortkomen.

 

Nu begint het spel... De ondernemer probeert natuurlijk onder die enorme boete uit te komen. Hij wijst naar mij als bouwer van de site. Ik wijs weer naar de software (WordPress) die ik gebruikt heb plus de 'handleiding voor veilig WordPress gebruik' die ik na oplevering van de site heb mee gegeven.

 

Er wordt een IT expert bij gehaald (want de Overheid zal toch iets moeten bewijzen wat strafbaar is) die naar de WordPress code van de site gaat kijken. Als die code er nog is tenminste.

 

Stel dat het 'lek' nu een zwakke plek in de WordPress code is die ten tijde van het opleveren van de site bij mij (en zelfs bij de makers van WordPress) nog niet bekend was en waar ook nog geen update voor beschikbaar was ten tijde van het 'lek'.

 

Wie is nu de schuldige in deze en wie krijgt die boete in zijn maag gesplitst. De ondernemer, de webbouwer, de makers van WordPress, of de hacker?

 

 

[Bob de webbouwer]

Naar aanleiding van de nieuwe wet over 'datalekken melden' ben ik echt behoorlijk in verwarring.

 

Voor zover ik begrijp kun je een boete krijgen als er gegevens gestolen zijn en je verzuimt dat te melden. Je krijgt dus geen boete omdat de beveiliging niet orde was.

 

Daarnaast worden in de meeste databases (bij WordPress althans) helemaal geen gegevens van klanten opgeslagen, behalve bij webshops dan.

 

 

 

 

 

[R.I.P. | Peter Bonjernoor]

Wel jammer dat zo iemand dan niet ff zijn naam erbij zet zodat we ook zijn/haar bedrijf kunnen beoordelen op kennis en kunde.

Want...je mag alleen een mening hebben als je jezelf op een of andere manier bewezen hebt? ;)

 

Overigens nog een andere dwarsstraat: Moet elke website nou in een cms worden gebouwd?

Nee, natuurlijk niet - en daar zit natuurlijk ook een deel van de onenigheid in de discussie. Voor een simpele website die alleen dient om online aanwezig te zijn kun je een HTML-website prima uit de voeten.

 

Als je af en toe wat aan wilt passen, of een artikeltje wilt plaatsen, dan wordt vaak voor WordPress of iets vergelijkbaars gekozen, en daar waar je hele specialistische functionaliteiten nodig hebt voor maatwerk. Ik zit bijvoorbeeld 99% in dat laatste segment, dus ik heb alleen daardoor al een heel andere kijk op open source CMSen.

[Christine]

Ik weet wat Scrum is. Scrum sluit gestructureerd werken niet uit.

 

Dat zegt ook niemand. Ik doelde meer op het zinnetje "komt zij eerst met duidelijke functionele omschrijving en schermen?" In Scrum gebruik je user stories die door de klant zijn gemaakt en op basis waarvan de functionaliteit wordt gebouwd, eerder in de zin van een mockup of prototype dan in de vorm van documenten. Niet dat ik voorstander ben van Scrum, overigens.

Het maken van mockups en prototypen is wel wat TS zou helpen om snel te kunnen beoordelen wat er gebouwd wordt en of dat is wat gewenst is.

 

 

[Ab Bauer]

Je krijgt dus geen boete omdat de beveiliging niet orde was.

 

???

 

De een zegt dit, de ander dat, ik raak in paniek van boetes van honderdduizenden euro's, twijfel of ik aansprakelijk gesteld kan worden voor iets dat mijn klant nalaat.... Ik hoop echt dat iemand in deze discussie stapt en me een beetje gerust kan stellen want ik ben enorm in verwarring...

 

 

[Christine]

Maar waar het mij om gaat is om heel precies te formuleren waar de verantwoordelijkheden liggen als het mis gaat.

 

 

Die ligt bij de beheerder van de site. Dat is meestal de organisatie van wie de site is. Die zal niet worden aangesproken op het bestaan van een zero day exploit in één van de tools of libraries die in de site worden gebruikt, maar wel op het niet onmiddellijk patchen ervan zodra een patch beschikbaar is.

 

In het onderzoek dat we jaren geleden jaarlijks deden met WebWereld naar lekken in webmail systemen van providers vonden we bij iedere provider altijd een lek. Dat kon een nieuwe exploit zijn, een reeds bekende, of een programmeerfout van de beheerders. Een flink deel van de providers stuurde dan een bedankmail en patchte het onmiddellijk, maar de meer low end providers deden dat niet. Als na drie maanden het lek nog bestond (waarbij de mail van alle klanten gewoon op straat lag) dan kwam de provider met het slechte nieuws in Webwereld. Volgens de nieuwe wet zou die laatste groep providers de maximale boete krijgen (3 maanden is immers veel te lang).

 

Het kan de beste gebeuren, zo'n lek. Microsoft en Google reageerden altijd sympathiek, en soms met het verzoek om het lek nog een paar dagen onder de pet te houden zodat ze snel een fix konden uitbrengen. Die zouden daar zeker geen boete voor krijgen, neem ik aan.

 

 

 

De een zegt dit, de ander dat, ik raak in paniek van boetes van honderdduizenden euro's, twijfel of ik aansprakelijk gesteld kan worden voor iets dat mijn klant nalaat.... Ik hoop echt dat iemand in deze discussie stapt en me een beetje gerust kan stellen want ik ben enorm in verwarring...

 

Als jouw klant iets nalaat krijg jij geen boete. Mits je de klant verteld hebt dat ze updates voor de tools en libraries die je hebt gebruikt onmiddellijk aanbrengen. Voor jou zou het een dienstverlening kunnen zijn: voor een x bedrag per maand hou jij bij welke bugs en fixes er zijn in de tools die je gebruikt (dat moet je voor jezelf toch al bijhouden) en je mailt de klant als ze een update moeten doen. Dat is business, en daarmee dek je je in tegen aansprakelijkheid voor lekken en bugs.

 

Dat is ook een tip aan TS: ga in zee met een partij die het patchen en fixen van je site als product aanbiedt.

 

 

 

[Bob de webbouwer]

Je krijgt dus geen boete omdat de beveiliging niet orde was.

Ik hoop echt dat iemand in deze discussie stapt en me een beetje gerust kan stellen want ik ben enorm in verwarring...

 

Ik had ook even de bron moeten vermelden, excuses. Hierin staat o.a. "Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp". Het heet ook niet voor niets meldingsplicht datalekken natuurlijk ;)

 

Maareh dit is volgens mij wel heel erg offtopic ;D

[Ab Bauer]

Dank je Christine voor de uitleg. Het stelt me ook enigszins gerust.

Ik concludeer (voorlopig) het volgende voor mezelf:

 

- WordPress gebruiken is het probleem niet

- Lever de site aan de klant op met zo veilig mogelijke settings (wachtwoord, plugins enz)

- Lever een handleiding 'veilig houden van WordPress' mee (die moet juridisch dan wel waterdicht zijn)

- Zorg dat de klant een handtekening zet dat hij/zij na oplevering van de site zelf verantwoordelijk is voor beveiliging (tenzij je dat als dienst blijft leveren)

- Wijs de klant op de verplichting om datalekken te melden aan de Overheid (en de hoge boete bij verzuim)

- Een lek is alleen een lek als er daadwerkelijk data is gestolen. Niet dat je 'de achterdeur een tijdje had open staan' maar dat op tijd zelf ontdekt hebt en gefixed voordat iemand er misbuik van heeft gemaakt.

 

 

[Ab Bauer]

Maareh dit is volgens mij wel heel erg offtopic ;D

 

Het oorspronkelijke topic is al lang verlaten. De TS heeft alleen in het begin twee berichten geschreven.

Ik hoop overigens wel dat TS nog iets van zich laat horen, want er zijn door ons allen aardig wat uren advieswerk gestoken in zijn case. ;)

 

[fvddungen]

En ik heb weer een anonieme kneus te pakken van een persoon, die niet helemaal mijn post goed heeft gelezen en begrepen. Ik had het nergens over Windows vs Linux servers, maar had het over desktops e.d. Nou ja, prima joh. Dat sneue gedoe ook altijd om een mening waar je het niet mee eens bent in een kneus te stoppen, waar vervolgens niet meer op gereageerd kan worden, in plaats van in de discussie zelf blijf ik triest vinden.

 

 

 

 

[Norbert Bakker]

En ik heb weer een anonieme kneus te pakken van een persoon, die niet helemaal mijn post goed heeft gelezen en begrepen. Ik had het nergens over Windows vs Linux servers, maar had het over desktops e.d. Nou ja, prima joh. Dat sneue gedoe ook altijd om een mening waar je het niet mee eens bent in een kneus te stoppen, waar vervolgens niet meer op gereageerd kan worden, in plaats van in de discussie zelf blijf ik triest vinden.

 

Het is een buitengewoon trieste kneus inderdaad, zo te zien van iemand die de mores van kneuzen niet kent. Al gecompenseerd.

 

Verder wil ik iedereen verzoeken in dit topic van de reus- en kneusknoppen af te blijven als dat alleen maar misbruikt wordt om een anonieme mening te ventileren. Zo niet, dan gaat het topic op slot.

 

 

 

 

[Christine]

- Lever een handleiding 'veilig houden van WordPress' mee (die moet juridisch dan wel waterdicht zijn)

 

 

Ik denk dat een mededeling bij de oplevering "klant is zelf verantwoordelijk voor security updates" voldoende is. Een checklist is extra service van jouw kant (doen dus). En ik was serieus over het update-contract: klant betaalt jou per maand voor het up to date houden van de installatie. Voor CipherMail doen we dat ook: we testen alle externe security updates eerst zelf, en de klant krijgt de updates dan aangeboden. Als ze een maintenance contract hebben tenminste.