Előszó
A blogcikkünk nem szakmai cikk, nem tűzdeljük tele informatikai fogalmakkal, a célcsoportunk az az átlagos számítógép/okostelefon ismeretekkel rendelkező felhasználó, aki szeretne most vagy a közeljövőben saját weboldal, webáruház üzemeltetésébe fogni.
Igyekszünk átadni – a teljesség igénye nélkül – azt a 15 éves tapasztalatot, ami fontos lehet ahhoz, hogy önállóan döntést tudjon hozni a felhasználó azzal kapcsolatban, megfelelő-e számára egy sablonos megoldás vagy egyedi fejlesztésre van-e szüksége. (Bár a cím elég árulkodó a végkifejletet illetően, )
A téma már nagyon régi, lényegében a web 2.0 -val egy idős, bár az igazi löketet a WordPress 2003-ban történt bejelentése/megjelenése adta. Azóta vita tárgya a weboldalt használók és a weboldalt készítők között is. Mindenki másra esküszik, mindenki azzal elégedett amit használ és amíg minden rendben van, mindenki azt is fogja ajánlani a másiknak.
Mi miért nem foglalkoztunk eddig ezzel, miért nem írtunk erről korábban?
A válasz egyszerű: nem szükséges ügyfeleket szereznünk, a partnereink meggyőződésből választanak bennünket és megbíznak bennünk. A 2020. tavaszán hazánkat is elérő Covid-19 helyzet azonban olyan szakmai hígulást okozott az állami webprogramozói átképzések miatt, ami komoly problémák tömkelegét hozta magával az amúgy is nehéz helyzetben lévő kisvállalkozások számára, hogy kénytelenek vagyunk erről írni.
Arcátlanságnak tartjuk, hogy a hirtelen online működésre kényszerülő kisvállalkozások számára nulla tapasztalattal és alapvető informatikai (tárhely, hálózatok, stb) ismerettel sem rendelkező, WordPress-t összekattintgató „webmesterek” készítenek úgy weboldalt, hogy az adott étterem vagy kisbolt az utolsó anyagi tartalékait teszi bele egy ilyen projektbe. Majd amint egyedi igény vagy hiba van a weboldallal kapcsolatban, eltűnik az, aki összerakta, hiszen képtelen megoldani az adott kérést vagy problémát. Tisztelet azon kivételeknek, akiknél ez nem így van és igenis tanulni, fejlődni akarnak és felelősségteljesen vállalnak csak el munkát.
Tehát ezúton kérjük a webfejlesztő kollégákat, hogy ne vegyék a cikket magukra, amennyiben Ők ezen modulrendszerek valamelyikében mély, valós programozói tudással, tapasztalattal és üzemeltetési készségekkel rendelkeznek. A cikk nem róluk, nem nekik szól.
Mi a baj a készen, ingyenesen bárki számára letölthető weboldal motorokkal?
Bizonyára a legtöbb olvasó hallott már arról, hogy vannak komoly autógyártói visszahívások, pl hibás légzsák, váltó, motor, stb miatt. Ezek a sorozatgyártással együtt járó problémák.
Az ingyenesen használható modulrendszerekről (pl: Joomla, WordPress, Drupal, stb) a felhasználók nagyobb része nem gondolja, hogy nagyon hasonló csapdába eshetne bele. A csapda pedig ott van, hogy bizony ezek a rendszerek számos ismert biztonsági problémát tartalmaznak (amit a minden erre épülő weboldal magával hordoz).
A helyzetet tovább súlyosbítja, hogy ezen hibák/rések kihasználásáról a youtube.com-on és egyéb portálokon, videóban, szövegesen leírt step by step útmutatókat találunk, hogy hogyan törhetnénk fel ezeket a weboldalakat. (Google-ben keressünk rá a kifejezésre: "How to hack a wordpress website")
Az is nyilvánvaló, hogy a legtöbb ingyenes modulrendszer ugyanazt a fájlstruktúrát használja, így a weboldal forráskódját (ami mindenki számára megtekinthető a CTRL + U billentyű kombinációval) megnézve azonnal kiderül bárki számára mivel is áll szemben, így tudja mihez nyúljon.
Az emberi tényező is kifejezetten hibás, hiszen rengetegszer halljuk a fenti modulrendszereket használóktól, hogy „Túl kicsi vagyok ahhoz, hogy az én oldalamat törjék fel…Ugyan, miért törnék fel a weboldalam?” A válaszunk pedig meglepően rövid lesz:
„…mert csak…”
Képzeljük el, hogy a suli után hazatérő diákok, ebéd közben/után vagy csak szimpla unaloműzés miatt keresgélnek és törik fel mások weboldalait. De van olyan is, hogy kifejezetten előre megfontolt szándékkal teszik mindezt, pl kártékony scripteket töltenek fel, átirányításokat, spam URL-eket helyeznek el a weboldalra vagy egyszerűen a weboldalt használják fel, hogy minél gyorsabban, minél több SPAM levet küldjenek ki, így pedig a domain és/vagy IP cím is tiltásra kerül, akadályozva a megfelelő működést, ne adj isten az ugyanazon IP címen lévő összes többi ügyfelet is kár érheti…
Min múlik, hogy feltörhető-e egy pl WordPress weboldal?
A tárhely sebezhetősége volt a feltörések 40%-áért a felelős, a maradék 50%-on osztozik a WordPress template-ek és plugin-ok biztonsági rései és 10% pedig a nem kellően biztonságos jelszavak a felelősek.
Van jó hírünk is azért: vannak frissítések pl a WordPress esetében is!
Vannak persze… na de a kérdés, hogy a frissítés feltelepíthető-e? Ha igen, akkor okoz-e valamilyen egyéb problémát? Igen… okozhat… Az WordPress alap forráskód (core) verziója ugyan javításra kerülhet, de a feltelepített template (megjelenés) vagy funkció (plugin) nem biztos, hogy támogatja már az új WordPress verziót. Előfordulhat, hogy soha nem is támogatja az újat, mert egész egyszerűen nem állt érdekében a plugin fejlesztőjének egy ingyenes plugin javítgatása.
„Hát persze, az ingyenes, de én fizettem érte!”
Az esetek 99%-ban elmondható, hogy a fizetett összeg a wordpress weboldalt összerakó cég számára került kifizetésre és maga a plugin egyébként díjmentes volt. Nagyon kevesen akarnak használni fizetős plugin-t, de olyat is láttunk, hogy valaki torrent oldalakról töltötte le, ami újabb biztonsági kockázatot jelent, illetve jogi kérdéseket is felvet.
Tegyük fel biztonságosan működik a már kész WordPress weboldal, de van egy egyedi igény. Hogyan tovább?
Az ügyfeleink elmondása alapján az egyedi igény megfogalmazását követően a weboldal összekattintgatója rendszerint keresgélt pluginokat, ezeket egyesével feltette, hogy megmutassa és egyeztessen megfelelő-e -kompromisszummal- az ügyfél számára. Ha teljesen egyedi igényről volt szó, akkor pedig azt mondta a weboldal készítője, hogy „kivitelezhetetlen”. (mi megcsináltuk)
Egyedi igény alatt nem szükséges feltétlenül nagyon speciális igényekre gondolni, ide tartozik akár egy SZÉP kártyás vagy bankkártyás fizetés, amihez például még nem írta meg senki a plugin-t.
Alapvetően elmondható -ismét tisztelet a kivételnek-, hogy az ingyenes modulrendszerben dolgozó „webmesterek” nagy része megtanulta (jó esetben) jól összekattintani az egyes weboldalakat, de egyedi igényt, programozói hibajavítást pont a programozói tudás hiánya miatt nem képes elkészíteni.
Tehát a probléma boncolgatásával eljutottunk ahhoz a részhez, ahol a megkérdezzük, hogy mégis miért? Kinek jó ez a megoldás és kinek nem?
A rövid válasz pedig az, hogy akinek viszonylag gyorsan egy végtelenül egyszerű, egyedi igényekre a következő 5 évben nem is gondoló, nem bevételt termelő(!) weboldalról van szó, azoknak ideális megoldás lehet az ingyenes modulrendszerek használata. Aki pedig vállalkozását az online megjelenésére (weboldal, webáruház) helyezte és biztonságot, következetességet és szakmai hozzáértést szeretne, akkor csak hozzáértőre bízza. (Hozzáértő alatt gondolunk arra is, aki core szinten is ismeri az ingyenes modulrendszereket)
Szemezgettünk néhány olyan post kérdést egy olyan Facebook Csoportból, ami bárki számára fellelhető és ilyen ingyenes modulrendszereket üzemeltető embereket tömörít magába és már minimális, valós szakmai tudás birtokában 1-2 percen belül megoldhatták volna a problámájukat:
Az egyedi fejlesztés jobb?
Jobb, ha figyelembe veszünk néhány szempontot. Például a weboldal nem összekókányolt „spagetti-kód” (de rég használtuk ezt a kifejezést :D ), hanem MVC tervezés mintának megfelelő, jól meghatározott programozási módszertanok alapján került elkészítésre. Így az esélye is megvan, hogy egy másik programozó is viszonylag gyorsan fel tudja venni a fordulatot és képes a munkát megfelelően folytatni.
- Nincs a világon több százezer klón a weboldalból, így kisebb az érdeke bárkinek is, hogy feltöréssel próbálkozzon (hacsak nem kifejezetten pont azt az egy oldalt szeretné feltörni).
- Nem tartalmaz felesleges funkciókat, amelyek esetleg értelmetlenül lassíthatják a weboldalt. (Igen, általános probléma, hogy az ingyenes modulrendszerek lassabbak mint egy egyedileg adott feladatra létrehozott weboldal) Emiatt az adminisztrációs felület használhatósága is sokkal jobb, hiszen csak azokkal kell foglalkoznia, amelyek a weboldalhoz ténylegesen szükségesek. (nem kell SEO vagy egyéb alapvető modult külön telepíteni, stb.)
- A funkciók az ügyfél által megfogalmazott elvárásoknak megfelelő, nem kell kompromisszumot kötnie
- Amennyiben hibával találkozik az ügyfél, biztos lehet benne, hogy szakmailag megfelelően felkészült ember/emberek dolgoznak majd a probléma elhárításán.
- Több tárhelyszolgáltató fogja felengedni a weboldalt a szerverére, mert kisebb a biztonsági kockázat.
Összegzés
Mi a Raccoon Lab tiszteletben tartjuk, hogy a Wordpress alapmotor biztonságos, bizonyos feladatok ellátására (például blog motor, amire született) kiválóan használható. Néhány biztonságos pluginnal még fel is lehet új funkciókkal vértezni, de hosszú távon, bevételi forrásként használva senkinek sem ajánljuk.
Felelős vezetőként vállalkozása munkáját mindenképp bízza olyan weboldalra, webáruházra és az azt készítő és üzemeltetésre képes csapatra akire számíthat, akinél megfelelő szakmai felkészültség, tapasztalat áll rendelkezésre.
Dolgozzon velünk!