Het is donderdagavond en omdat ik morgen een drukke dag heb check ik nog even mijn mail voordat ik in slaap val even rond middernacht. Twee nieuwe berichten over een ingelogde beheerder op een website die ik beheer. Maar ik ken de beheerder niet en ze loggen in vanuit Rusland. Direct gaan bij mij alle alarmbellen rinkelen, want dit hoort niet te kunnen. In ieder systeem dat ik gebruik (meestal Wordpress of Joomla) ken ik de beheerders en die komen allemaal vanuit Nederland. En voor deze site weet ik het zeker. Wat nu?

Ik log in op de website en zie inderdaad dat er twee nieuwe beheerders zijn aangemaakt met hele rare namen. En dat ze ingelogd zijn (geweest). Actie 1: de beheerders verwijderen, actie 2, alle plugins op de site nalopen en actie 3, kijken of er misbruik is gemaakt van de toegang. De eerste 2 acties waren in een vloek en zucht gebeurd, maar de derde actie kostte al snel anderhalf tot 2 uur om alles na te lopen. Gelukkig was ik er snel bij en heb ik erger kunnen voorkomen. Maar wat is er nu gebeurd?

We, want ik beheer deze site niet alleen, gebruikte op deze site een algemene plugin om de AVG-boodschap te tonen onderaan de site. Die plugin is veel gebruikt (bijna 100.000 actieve sites maakte gebruik van die plugin) en blijkbaar was hij een dag eerder van de Wordpress site gehaald ivm een groot veiligheidslek. Een dag later was dat lek gedicht en konden gebruikers die plugin updaten. Nu is het zo dat een Wordpress site meestal zo’n 5-10 plugins heeft draaien die worden een paar keer per maand geüpdatet dus eigenlijk zou je dagelijks moeten inloggen om de plugins te updaten. En dat doet niet iedereen, maar ik probeer iedere week alles sites te updaten. In dit geval was ik er snel mee en heb ik om 18 uur de site geüpdatet. Maar het kwaad was al geschiet, want door het lek werden er in de middag rond half 3 twee nieuwe accounts geautomatiseerd aangemaakt. En daardoor konden de indringers in de weer-up-to-date-site inloggen rond middernacht.

Het heeft me aardig wat nachtrust gekost, maar was heel blij dat ik er zo snel bij kon zijn, want uiteindelijk hebben duizenden sites er wel problemen mee gehad omdat ze er te laat bij waren. En die sites zijn op allerlei verschillende manieren misbruikt, zoals ik in een eerder blog al eens vertelde. Gelukkig bleef de schade beperkt, maar het belang van regelmatig updaten is weer eens bewezen. Al moet ik eerlijk zeggen: zo’n groot veiligheidslek zie je niet vaak, zeker niet zonder grote aankondiging vooraf. Gelukkig!

Meer info over deze hack kun je hier vinden.

De afgelopen weken is het weer volop in het nieuws dat het bedrijf Trademark Office zich veel van zich laat horen. De telefoon gaat en een vriendelijke meneer/mevrouw vertelt je dat er een aanvraag is binnengekomen om een domeinnaam te registeren die heel erg op die van jou lijkt. Dus je hebt al de bedrijfsnaam pietjepuk.nl, maar nu is er iemand die pietjepuk.com wil registeren. En dit bedrijf is zo vriendelijk om eerst maar eens naar jou te bellen of jij hier zelf voor gekozen hebt. Of dat er een derde partij er met jouw domeinnaam vandoor wil gaan. Misschien vraag je nog even door, maar ze blijven volhouden dat het bij jou in de buurt is en mogelijk een concurrent. Maar je kan dit voorkomen door met hen een contract af te sluiten, dat kost 29,75. Kijk, dat is een mooie overzichtelijke prijs om problemen te voorkomen. Wat ze niet vertellen is dat dat voor 10 jaar is en dat je dat in 1 keer moet betalen. En wat ze niet vertellen dat er ieder jaar 60 euro verlengingskosten bij komen.

Al met al riekt dit natuurlijk naar oplichting en daarom is Berntsen Mulder Advocaten al een tijdje bezig met een collectieve klacht richting dit bedrijf. Want er zijn inmiddels een hoop instanties (zoals ook de officiële registrar van de NL domeinen, SIDN) die waarschuwen voor het bedrijf. Normale prijzen voor een domeinnaam zijn ook niet vergelijkbaar met de 90 euro per jaar voor alleen een domeinnaam die dit bedrijf vraagt. Daarnaast zal je nog hosting en andere zaken moeten regelen. Dus een gewaarschuwd mens telt voor twee. En als je je domeinnaam ook in andere extensies vast wil leggen, kijk even rond of ik wil je met alle plezier bij adviseren.

Het klinkt heel logisch als ik het zo zeg, maar toevallig werd ik er afgelopen week ineens weer aan herinnert dat het niet altijd zo is. Iemand post op Facebook een bericht waarbij zij stelt dat ze haar domeinnaam en hosting wil verhuizen van bedrijf A naar bedrijf B. En ze moet daar bij bedrijf A 160 euro voor betalen, want dat staat zo in de Algemene Voorwaarden. Mag dat wel, vraag ze zich af.

De mensen reageren snel en uitspraken als “Nee, verhuizen mag niets kosten!”, “Je kan alles wel opnemen in de Algemene Voorwaarden, maar als het tegen de wet is mag het niet!” en “Nee joh, dat kan je zelf makkelijk in gang zetten en anders aanvechten bij het SIDN, dan worden ze geroyeerd!”. Klinkt allemaal goed, dus verhuizen is gratis, de algemene voorwaarden zullen wel illegaal zijn en het bedrijf zal geroyeerd worden door het SIDN (de stichting die alle Nederlandse domeinnamen registreert). Het klinkt mooi, maar zo werk het helaas niet altijd.

Het belangrijkste om te checken is dat jouw website op jouw naam staat. Dat kan je, in beperkte mate, zien bij de SIDN (www.sidn.nl). Daar staat genoteerd wie de eigenaar van de domeinnaam is, bij welk bedrijf hij gehost wordt en nog wat technische gegevens. En daar lag hier ook het probleem. Er zijn namelijk best veel bedrijven waar je voor een klein bedrag per jaar je website kan maken via hun eigen systeem. En meestal werkt dat best goed, maar dit was zo’n bedrijf waar het niet goed ging. Een normale webbouwer overlegt met zijn klant wat hij wil als hij een domeinnaam registreert. Want het kan goed zijn dat iemand niet weet dat hij een domeinnaam vastlegt, maar meestal (in 95% van de gevallen gok ik) registreert de webbouwer de domeinnaam op naam van de cliënt. En als jij de eigenaar van de website bent kan je hem ten alle tijden verhuizen en in bijna 100% van de gevallen kan je hem dan ook gratis verhuizen van bedrijf A naar bedrijf B. En de uitzonderingen zitten dan in bijvoorbeeld nog openstaande rekeningen of langlopende contracten.

In dit geval was het de domeinnaam niet geregistreerd op naam van de cliënt, maar op naam van de webbouwer. En ja, dat stond heel goed verborgen in de algemene voorwaarden: “Domeinnamen die door <bedrijfsnaam> op verzoek van opdrachtgever worden, tenzij specifiek anders vooraf afgesproken, geregistreerd op naam van de opdrachtnemer. De opdrachtgever heeft het gebruikersrecht om, zolang zij de website bij <bedrijfsnaam> onderbrengt, van deze naam gebruik te maken”. (In de voorwaarden staat het niet dik gedrukt, dus het is heel makkelijk om overheen te lezen.) En tsja, als het jouw domeinnaam niet is, dan kunnen ze gewoon een bedrag vragen voor overdracht en verhuizing. En dat is dus 160 euro bij dit bedrijf. En wat zij doen is volkomen legaal, alleen niet leuk.

Goede vraag, ik heb geen idee! Beetje raar antwoord voor een webbouwer, maar het ligt wel heel dicht bij de waarheid. Want een website is niet een standaardproduct als een blok kaas, anderzijds is het wel weer een standaardproduct als een huis. Kijk, een blok kaas is een blok kaas. Daar kan je nog kijken wat voor andere smaken je wilt, maar het is en blijft kaas. Diezelfde vergelijking gaat ook op over een huis, maar de hoeveelheid vrijheid bij het samenstellen van een nieuw huis is vele male groter dan die van een nieuw blok kaas. Dat klinkt hopelijk wel logischer.

Met diezelfde logica wil ik graag kijken, naar de vraag “Wat kost een website?”. Want eigenlijk zijn er volgens mij drie manieren om een website te bouwen. En aan iedere manier hangt een eigen prijskaartje. Ik probeer wel de termen simpele website en uitgebreide website te vermijden. Want vroeger was de hoeveelheid pagina’s heel bepalend, tegenwoordig is voornamelijk de achterliggende techniek van invloed op de prijs van een website.

• CMS + Template
  Een CMS is een Content Management System en zorgt ervoor dat de techniek van de website in twee delen wordt opgedeeld. We kijken naar de inhoud van de website (teksten en foto’s) die je in het CMS-gedeelte plaatst. En we kijken naar de vormgeving van de website (lettertypes, plaats van de content, kleuren voor links, grafische vormgeving, etc.) die vastligt in een template. Door het gebruik van het CMS kan je ‘inloggen’ op je eigen site en heel makkelijk de inhoud aanpassen (teksten en foto’s) en met iets meer moeite kan je de vormgeving aanpassen.
  CMS’en zijn er vele smaken, maar de grote drie (Wordpress, Joomla en Drupal) zijn open source systemen die je gratis mag gebruiken. Voor die systemen zijn er ook veel gratis of ‘goedkope’ templates. Je betaalt je webbouwer eigenlijk voornamelijk voor de tijd die hij/zij bezig is om het CMS te installeren, in te richten en de template deels aan te passen (kleuren, indeling, etc.). Dat betekend dat dit vaak de goedkoopste oplossing is voor je website afhankelijk van de aanpassingen die je wilt laten doen. Maar dat betekend ook dat je moet zorgen dat het CMS en de componenten up-to-date blijven (zie eerdere blog over veiligheid).
• Handgemaakt (statisch)
  Een handgemaakte statische website wil zeggen dat alle pagina’s 1 voor 1 gemaakt zijn en op je hosting geplaatst. Dat is een manier waarin je veel meer vrijheid hebt in de vormgeving omdat je niet binnen de restricties van een CMS of template hoeft te werken. Dus het geeft je veel meer ruimte in het ontwerp, maar het heeft twee grote nadelen. Ten eerste is het onderhoud van de inhoud niet makkelijk te doen, dat zal de webbouwer voor je moeten doen en ten tweede zal het, omdat het handwerk is, meer tijd kosten. Daar betaal je dan ook voor.
• Handgemaakt (dynamisch)
  Een handgemaakte dynamische website waarbij de inhoud van de website uit een database komt. Dat kan bijvoorbeeld handig zijn als er veranderde inhoud op de site moet komen te staan (zie bijvoorbeeld de speeldata in cabagenda.nl). Dat betekend dat het technische gedeelte van de site moeilijker wordt. Er moet een maatgemaakte database opgezet worden, informatie in de database geplaatst worden (of ook dat moet deels geautomatiseerd worden) en er moet speciale code geschreven worden om de data uit de database op te halen en in de website te plaatsen. En apart daarvan moet er ook een vormgeving gemaakt worden. Dit zijn allemaal dingen die een CMS ook doet, maar nu moet het maatgemaakt worden dus is een CMS meestal niet meer behulpzaam. Je kunt je voorstellen dat dit voornamelijk heel veel werk kost, dus meestal is dit de meest dure optie.

Dus vandaar dat ik niet kan zeggen wat het kost om een website te maken. Het hangt af van de wensen van de opdrachtgever en voor mij is dat vaak de reden waarom ik graag eerst een gesprek heb met de opdrachtgever om in kaart te brengen wat de wensen zijn. En op basis daarvan kan ik dan een offerte maken. En om diezelfde reden wantrouw ik altijd als mensen op hun website kunnen zeggen: “Een website voor slechts X euro!”, want hoe kan je dat weten zonder dat de klant weet wat er kan?