Mijn baan verandert. Tenminste, dat hoop je altijd in je werk en gelukkig gebeurt het ook als ondernemer. Toen ik in 1994 begon met websites maakte ik een website in een tekstverwerker met HTML en had een website 1 plaatje, anders duurde het uren om hem binnen te halen. Het was voor de lokale omroep waar ik vrijwilliger was.

De techniek en de klanten veranderen. De websites werden complexer, maar er was ook software die hielp om die site te bouwen. Macromedia kwam met een pakket wat de mooie naam Dreamweaver had. Daarmee kon je in de eerste versies goede reproduceerbare sites maken waarbij toen het grafische pakket Fireworks erbij kwam je best heel veel vrijheid had in je ontwerp.

En toen kwam de vraag naar zelf content toevoegen en aanpassen. Het HTML/CSS gedeelte werd los getrokken van de content in de website zelf. En de eerste CMS’en (Content Management System) waren heel basic, veelal zelfgeschreven (ik heb ook het mijne zelf geschreven in PHP) en niet echt onderhoudsvriendelijk of gebruikersvriendelijk zoals we dat nu gewenst zijn. En op een gegeven moment zijn er een paar grote CMS’en overgebleven (Joomla, Wordpress en Drupal).

De volgende stap was om de uitdaging om een ‘template’ te maken voor het standaard CMS, waarbij het ouderwetse coderen weer van pas kwam in een tekstverwerker of met meer gespecialiseerde software. Iets meer passen en meten, maar het werkte wel heel goed samen.

Maar ook dat verandert weer, want er is tegenwoordig een veelvoud aan templates beschikbaar. Veel templates hebben een gratis versie zodat je het kan proberen hoe de website eruit kan zien en vaak zorgt de betaalde versie dat je net iets meer kan. Zeker bij een nieuwe site voor een laag budget is dat een goede manier om snel te ontwikkelen en aan te passen binnen de grenzen van de template. Iets minder ruimte voor creatieve vrijheid, maar snelle ontwikkeling.

Uiteindelijk kijk ik na 25 jaar terug en probeer ik te denken welke titel ik op het visitekaartje moet zetten. Ben ik een webdesigner, webdeveloper of iets anders? Ik hou het nog maar even op “meewerkend voorman” bij PJGDesign. En dan komen we er in het gesprek wel uit!

Het is donderdagavond en omdat ik morgen een drukke dag heb check ik nog even mijn mail voordat ik in slaap val even rond middernacht. Twee nieuwe berichten over een ingelogde beheerder op een website die ik beheer. Maar ik ken de beheerder niet en ze loggen in vanuit Rusland. Direct gaan bij mij alle alarmbellen rinkelen, want dit hoort niet te kunnen. In ieder systeem dat ik gebruik (meestal Wordpress of Joomla) ken ik de beheerders en die komen allemaal vanuit Nederland. En voor deze site weet ik het zeker. Wat nu?

Ik log in op de website en zie inderdaad dat er twee nieuwe beheerders zijn aangemaakt met hele rare namen. En dat ze ingelogd zijn (geweest). Actie 1: de beheerders verwijderen, actie 2, alle plugins op de site nalopen en actie 3, kijken of er misbruik is gemaakt van de toegang. De eerste 2 acties waren in een vloek en zucht gebeurd, maar de derde actie kostte al snel anderhalf tot 2 uur om alles na te lopen. Gelukkig was ik er snel bij en heb ik erger kunnen voorkomen. Maar wat is er nu gebeurd?

We, want ik beheer deze site niet alleen, gebruikte op deze site een algemene plugin om de AVG-boodschap te tonen onderaan de site. Die plugin is veel gebruikt (bijna 100.000 actieve sites maakte gebruik van die plugin) en blijkbaar was hij een dag eerder van de Wordpress site gehaald ivm een groot veiligheidslek. Een dag later was dat lek gedicht en konden gebruikers die plugin updaten. Nu is het zo dat een Wordpress site meestal zo’n 5-10 plugins heeft draaien die worden een paar keer per maand geüpdatet dus eigenlijk zou je dagelijks moeten inloggen om de plugins te updaten. En dat doet niet iedereen, maar ik probeer iedere week alles sites te updaten. In dit geval was ik er snel mee en heb ik om 18 uur de site geüpdatet. Maar het kwaad was al geschiet, want door het lek werden er in de middag rond half 3 twee nieuwe accounts geautomatiseerd aangemaakt. En daardoor konden de indringers in de weer-up-to-date-site inloggen rond middernacht.

Het heeft me aardig wat nachtrust gekost, maar was heel blij dat ik er zo snel bij kon zijn, want uiteindelijk hebben duizenden sites er wel problemen mee gehad omdat ze er te laat bij waren. En die sites zijn op allerlei verschillende manieren misbruikt, zoals ik in een eerder blog al eens vertelde. Gelukkig bleef de schade beperkt, maar het belang van regelmatig updaten is weer eens bewezen. Al moet ik eerlijk zeggen: zo’n groot veiligheidslek zie je niet vaak, zeker niet zonder grote aankondiging vooraf. Gelukkig!

Meer info over deze hack kun je hier vinden.

 

 

De afgelopen weken is het weer volop in het nieuws dat het bedrijf Trademark Office zich veel van zich laat horen. De telefoon gaat en een vriendelijke meneer/mevrouw vertelt je dat er een aanvraag is binnengekomen om een domeinnaam te registeren die heel erg op die van jou lijkt. Dus je hebt al de bedrijfsnaam pietjepuk.nl, maar nu is er iemand die pietjepuk.com wil registeren. En dit bedrijf is zo vriendelijk om eerst maar eens naar jou te bellen of jij hier zelf voor gekozen hebt. Of dat er een derde partij er met jouw domeinnaam vandoor wil gaan. Misschien vraag je nog even door, maar ze blijven volhouden dat het bij jou in de buurt is en mogelijk een concurrent. Maar je kan dit voorkomen door met hen een contract af te sluiten, dat kost 29,75. Kijk, dat is een mooie overzichtelijke prijs om problemen te voorkomen. Wat ze niet vertellen is dat dat voor 10 jaar is en dat je dat in 1 keer moet betalen. En wat ze niet vertellen dat er ieder jaar 60 euro verlengingskosten bij komen.

Al met al riekt dit natuurlijk naar oplichting en daarom is Berntsen Mulder Advocaten al een tijdje bezig met een collectieve klacht richting dit bedrijf. Want er zijn inmiddels een hoop instanties (zoals ook de officiële registrar van de NL domeinen, SIDN) die waarschuwen voor het bedrijf. Normale prijzen voor een domeinnaam zijn ook niet vergelijkbaar met de 90 euro per jaar voor alleen een domeinnaam die dit bedrijf vraagt. Daarnaast zal je nog hosting en andere zaken moeten regelen. Dus een gewaarschuwd mens telt voor twee. En als je je domeinnaam ook in andere extensies vast wil leggen, kijk even rond of ik wil je met alle plezier bij adviseren.

Het klinkt heel logisch als ik het zo zeg, maar toevallig werd ik er afgelopen week ineens weer aan herinnert dat het niet altijd zo is. Iemand post op Facebook een bericht waarbij zij stelt dat ze haar domeinnaam en hosting wil verhuizen van bedrijf A naar bedrijf B. En ze moet daar bij bedrijf A 160 euro voor betalen, want dat staat zo in de Algemene Voorwaarden. Mag dat wel, vraag ze zich af.

De mensen reageren snel en uitspraken als “Nee, verhuizen mag niets kosten!”, “Je kan alles wel opnemen in de Algemene Voorwaarden, maar als het tegen de wet is mag het niet!” en “Nee joh, dat kan je zelf makkelijk in gang zetten en anders aanvechten bij het SIDN, dan worden ze geroyeerd!”. Klinkt allemaal goed, dus verhuizen is gratis, de algemene voorwaarden zullen wel illegaal zijn en het bedrijf zal geroyeerd worden door het SIDN (de stichting die alle Nederlandse domeinnamen registreert). Het klinkt mooi, maar zo werk het helaas niet altijd.

Het belangrijkste om te checken is dat jouw website op jouw naam staat. Dat kan je, in beperkte mate, zien bij de SIDN (www.sidn.nl). Daar staat genoteerd wie de eigenaar van de domeinnaam is, bij welk bedrijf hij gehost wordt en nog wat technische gegevens. En daar lag hier ook het probleem. Er zijn namelijk best veel bedrijven waar je voor een klein bedrag per jaar je website kan maken via hun eigen systeem. En meestal werkt dat best goed, maar dit was zo’n bedrijf waar het niet goed ging. Een normale webbouwer overlegt met zijn klant wat hij wil als hij een domeinnaam registreert. Want het kan goed zijn dat iemand niet weet dat hij een domeinnaam vastlegt, maar meestal (in 95% van de gevallen gok ik) registreert de webbouwer de domeinnaam op naam van de cliënt. En als jij de eigenaar van de website bent kan je hem ten alle tijden verhuizen en in bijna 100% van de gevallen kan je hem dan ook gratis verhuizen van bedrijf A naar bedrijf B. En de uitzonderingen zitten dan in bijvoorbeeld nog openstaande rekeningen of langlopende contracten.

In dit geval was het de domeinnaam niet geregistreerd op naam van de cliënt, maar op naam van de webbouwer. En ja, dat stond heel goed verborgen in de algemene voorwaarden: “Domeinnamen die door <bedrijfsnaam> op verzoek van opdrachtgever worden, tenzij specifiek anders vooraf afgesproken, geregistreerd op naam van de opdrachtnemer. De opdrachtgever heeft het gebruikersrecht om, zolang zij de website bij <bedrijfsnaam> onderbrengt, van deze naam gebruik te maken”. (In de voorwaarden staat het niet dik gedrukt, dus het is heel makkelijk om overheen te lezen.) En tsja, als het jouw domeinnaam niet is, dan kunnen ze gewoon een bedrag vragen voor overdracht en verhuizing. En dat is dus 160 euro bij dit bedrijf. En wat zij doen is volkomen legaal, alleen niet leuk.