מה לבקש מבוני אתרים?

לאחרונה שמתי לב שלקוחות המחפשים לעצמם בוני אתרים על מנת לבנות את האתרים שלהם, אינם מבינים מה לבקש ועל מה להתעקש, וכתוצאה מכך במקרים רבים אותם לקוחות נשארים עם חצי תאוותם ביידם, עם אתרים שנפרצים על ימין ועל שמאל (ולא חשוב איזה ספק אחסון הם מאחסנים את האתרים שלהם, בארץ או בחו”ל), עם אתרים שאי אפשר לשדרג ועוד.

לכן החלטתי לכתוב מספר כללים מומלצים כדי שלקוחות ידעו על מה לעמוד בעת המו”מ, על מנת שלא לתת לכל מיני בוני אתרים “חאפרים” לגבות כספים רבים ולתת חצי עבודה מבלי שהלקוח יודע בעצם שהוא מקבל מוצר נחות.

להלן ההמלצות:

  • לעבוד תמיד עם פלטפורמות ידועות ומוכרות ולא להתפתות לכל מיני פלטפורמות נישה שהיום הם כאן ומחר אף אחד לא יודע מה קורה איתן. הפלטפורמות המוכרות הן: WordPress, Joomla, Drupal. הפלטפורמות הנ”ל מפותחות ומתעדכנות תדיר, ובעיות אבטחה בהן נסגרות במהירות, והן מספיק גמישות לתת פתרונות מבוססי תוכן החל מאתר קטן ועד לבלוגים ענקיים (CNN לדוגמא משתמשים בוורדפרס לבלוגים שלהם).
  • להשתמש רק בגרסאות האחרונות היציבותשל הפלטפורמה. לא מעט בוני אתרים מנסים לחסוך זמן בכך שהם מעתיקים ממערכת אחרת שהם בנו, וכך הלקוח יקבל גירסה ישנה עם חורי אבטחה שינוצלו על ידי כל מיני ילדים ופורצים למיניהם. נכון להיום הגרסאות האחרונות של הפלטפורמות הנ”ל הן:
    • ב-Joomla נכון לכתיבת שורות אלו הגירסה היציבה האחרונה היא 2.5.7
    • ב-Wordpress נכון לכתיבת שורות אלו הגירסה היציבה האחרונה היא: 3.4.2
    • ב-Drupal נכון לכתיבת שורות אלו הגירסה היציבה האחרונה היא: 7.16
  • יש לציין בהסכם בין הלקוח לבוני האתר כי אסור שבוני האתר ישנה קוד בפלטפורמה. לצערי רבים מבוני האתרים מנסים “לחתוך פינות” ולשנות קוד בתוך הפלטפורמה. הבעיה? שדרוג גירסה (דבר שצריך לבצע לפחות אחת לחודש או חודשיים) יגרום לאתר לא לעבוד. בונה האתר, אם יש לו צורך בשינוי, צריך לכתוב או להשתמש במודולים חיצוניים ש”מתלבשים” על הפלטפורמה. אותו הדבר לגבי עיצובים – אם יש צורך בשינוי בעיצוב, השינוי צריך להיות בקוד העיצוב בלבד ולא בפלטפורמה.
  • בכל הנוגע לעיצובים, ההמלצה שלי היא לרכוש עיצוב מאתרים בחו”לולשלם לבונה האתר על תרגום/”גיור” העיצוב לעברית/ימין-שמאל. הסיבה לכך היא שלצערי לא מעט מבוני אתרים משתמשים בעיצובים שהם השיגו בעבר (בין בצורה חוקית ובין שלא) ובאותם עיצובים יש חורי אבטחה. כאשר רוכשים עיצוב מאתרים גדולים בחו”ל (בד”כ הסכום הוא בסביבות כמה עשרות דולרים), מקבלים חינם שנה של עדכונים לעיצוב, ובאתרים רבים, ניתן באותו מחיר לקבל מספר עיצובים, כך שאם אתם הלקוחות יש לכם מספר אתרים, תוכלו להוריד עיצוב שונה לכל אתר.
    • אם הזכרתי כבר עיצובים, כדאי לבחור עיצובים שתומכים בשפות נוספות (רבים מהעיצובים תומכים בכך, חלקם גם תומכים באתרים עם ימין-שמאל כמו עברית, ערבית, פרסית וכו’), כך שמתרגם העיצוב יצטרך לכתוב קובץ תרגום פשוט, וקובץ CSS למיצוב/עיצוב אלמנטים. במקרה ויהיה צורך בעדכון, ניתן יהיה לעדכן בקלות ויהיה צורך רק בהחלפת קובץ CSS לאחר העדכון.
  • בכל הקשור לחנויות, תוכנת OsCommerce כבר מזמן “מתה” (גירסה 2.3 לא עודכנה זמן רב וקיימות לה פריצות רבות, גירסה 3.0 נמצאת בפיתוח זמן רב והם לא ממליצים להכניס אותה לשימוש בחנויות פעילות או חדשות). יש פלטפורמה בשם Magnto בגירסה חופשית או מסחרית, אולם כיום ישנם תוספים רבים שיודעים להתלבש על הפלטפורמות שהזכרתי לעיל שנותנות פונקציונאליות זהה. לא מומלץ להשתמש בפתרונות קנייניים שבונה האתר כתב לדוגמא, הואיל ושימוש בפתרון כזה “כולא” אותך עם הפתרון הנ”ל ללא אפשרות לבחור פתרון אחר.
  • הסכם עדכונים: מומלץ לסגור בהסכם עם בונה האתרים כי אחת לחודש הוא יכנס לחשבונכם אצל הספק בו הינכם מאחסנים את האתר שלכם כדי לעדכן את כל מה שצריך עדכון: פלטפורמה, תוספים/מודולים,חבילת עיצוב. ללא הסכם כזה, אתם חשופים לפריצות שיתגלו בהמשך הדרך ולהפסד לקוחות והכנסות אם האתר יפרץ (שחזור של הספק אינו מהווה פתרון, ושום ספק אינו מקבל על עצמו לבצע עדכונים אלו ללקוח).
  • בחרו רק בונה אתרים שנותן להם באחריות אבטחה: ב-99% מהמקרים שאתר נפרץ, הבעיה אינה נמצאת בתשתית של הספק אלא ב-חורי אבטחה שהתגלו לאותה פלטפורמה שהאתר שלכם משתמש. לצערי לא מעט בוני אתרים מנסים להתחמק בכך שהם מאשימים את הספק וכל העולם, אך אינם בודקים את הקוד שלהם (או שהם אינם מבינים מספיק בקוד או באבטחת קוד). ראיתי מקרים בעבר שבונה אתרים המליץ ללקוחותיו להשתמש בכל מיני פתרונות CDN (טכנולוגיה שמפיצה את האתר שלך בשרתים אחרים בעולם הקרובים גיאוגרפית למשתמשים) כפתרון אבטחה, אולם פתרון זה ברוב המקרים כלל לא עוזר אם יש חורי אבטחה בקוד הפלטפורמה/מודולים/תוספים/עיצוב.

שימוש בהמלצות אלו יכול לחסוך לכם כאב ראש ונפילות אתרים, במיוחד אם אתם מרוויחים כסף מאותם אתרים. לצערי לא קל למצוא בוני אתרים מוכשרים שנותנים פתרונות טובים, אולם כדאי (לעניות דעתי) להשקיע במאמץ חיפוש ולא להתפשר על ילד/צעיר שעושה את צעדיו הראשונים ומבקש מחירי רצפה. מחיר הרצפה הזה יכול לעלות לכם ביוקר.

הערה: כפי שהעירו מספר אנשים, שרותים כמו אבטחה ושדרוג אינם ניתנים בחינם (בכל זאת, בונה האתרים צריך להרוויח, זה ביזנס), ולכן מומלץ לכרוך זאת בעיסקת החבילה.

Comments

comments

20 תגובות בנושא “מה לבקש מבוני אתרים?”

  1. ההמלצות שלך ברובן טובות לאתרים סטנדרטיים, אך יש לסייג כמה דברים:
    אם זה לא אתר סטנדרטי, אזי אפשר ללכת על פלטפורמות בפיתוח אישי (רצוי בשפה מוכרת ועל גבי סביבות מוכרות).
    רב ההמלצות שלך גם ידרשו ידרשו תשלום הרבה יותר גדול, למשל ההבדל בין האק של המערכת לבין שינוי שאינו האק יכול להיות מתורגם בלא מעט שעות עבודה, אני גם בעד להימנע מהאקים, אך לעיתים אין ברירה (ולו רק מהסיבה התקציבית)
    עדכון מערכת דורש חוזי תמיכה ותחזוקה, להרבה מאוד לקוחות אין רצון להתחייב כלפי בוני האתרים בחוזים כאלה (שדורשים תשלום קבוע) ולכן הם ניתקעים עם מערכות ישנות ויותר מועדות לפריצות.
    הנקודה האחרונה שהעלית:
    חורי אבטחה ישנם גם אצל הספקים וגם אצל בוני האתרים, ככה שהקביעה על 99 היא מוגזמת. אני לא חושב שמישהו יתן אחריות על חורי אבטחה (מה גם שמדובר במערכות קוד פתוח שמשלובים בהם לרב עוד רכיבים צד ג') ולכן דרישה לתעודת אחריות כזאת היא דרישה מאוד מוגזת, ושוב עלולה לגרום להעלאת מחיר דרסטית באתר (ושלא יהיה ניתן באמת לאכוף אותה).

    1. הבעיה המרכזית עם Hack היא שבאותו רגע ששינית את הקוד של הפלטפורמה, כל שדרוג שלה מבחינת אבטחה (minor upgrade) מיד ישבור אותה. אם הלקוח מסכם עם בונה האתרים שבונה האתר ישדרג אז זה non issue כי בונה האתר כבר יודע לטפל בעניין.
      בעניין ה-99%, אולי זה לא 99, זה 95. אני לא מדבר על מקרים של פריצה מאסיבית להרבה אתרים באותו ספק (כמובן שאם מישהו משיג root לשרת אז לא חשוב מה הלקוח ישים, הפורץ יכול לגשת ולשנות/למחוק כאוות נפשו), אבל ברוב המקרים שחוויתי עד היום הן אצלנו בעסק והן בזמנים שאני עבדתי בתמיכה טכנית ללקוחות עסקיים – הפריצות היו חורי אבטחה בפלטפורמה של הלקוח.

      אני לא אומר שהדברים זולים (מה גם שלדעתי הם לא חייבים להיות יקרים, הרי זה תלוי בעיסקת חבילה). אתר תדמית של 4 דפים לא יזדקק לכל זה, אולי שדרוג מדי פעם, אבל אתרים שמכניסים כסף ללקוחות, לדעתי שווה ללקוחות להשקיע עוד קצת כסף.

      1. חלק מהטיפים שלך מתאימים מאוד לעסקאות חבילה
        לרב בוני אתרים עצמאיים לא יעשו עסקאות חבילה, אלא מי שיעשה זה דווקא חברות.
        וכידוע אצל חלק גדול מהחברות יש הוצאות נלוות שמייקרות את העסק, החל משכ"ד גבוהה, דרך מזכירות, וכאלה במיסים גבוהים יותר.
        כמובן, שכל ההוצאות האלה מתגלגלות על הלקוח הסופי.

        לאתר תדמית של 4 דפים… אני מעדיף לא להתייחס 🙂

  2. אתה מתיחס כאן רק לבוני אתרים על תבניות, ומתעלם לחלוטין מטכנולוגיות מיקרוסופט (asp.net web form, asp.net mvc ) שלמעשה אלו הן שתי הטכנולוגיות המתקדמות ביותר (לדעתי) לפיתוח אתרים. שלא נדבר על כך שבאופן טיבעי שמכיוון שמי שמפתח אתרים בטכנולוגיות האלו מפתח הכל מהתחלה ועד הסוף, ואם הוא מקצוען הוא בהחלט יכול לתת אחריות לנושא פריצות אבטחה.
    אסף.
    סטודיו אסף.

    1. אני מתייחס לפלטפורמות, לא לטכנולוגיות. לא הזכרתי פה PHP או ROR או JAVA או דברים אחרים.
      כמובן, במקרה שלך אתה מפתח אפליקציות מאפס (או עם ספריות שונות), ואז במקרה כזה הכללים שונים לגמרי: אתה בנית ללקוח X, ורק אתה יכול לתקן/לעדכן את הדברים.
      אני מתייחס לחלק הארי של הלקוחות שמחפשים שיבנו עבורם אתרי תדמית, בלוגים, חנויות או כל דבר שאתה יכול להרים עם מערכת CMS בכמה שפחות תכנות נטו – שם נמצאת הבעיה העיקרית.

  3. נראה לי שהתשובה שאתה נותן יכולה להיות טובה ל90 אחוז מהמקרים באמת. אבל יש בה אלמנט דוגמאטי קצת. אנשים מסויימים ידגישו היבטים קהילתיים, שבהם CMS, די צולע. אתרי מסחר ניתן להקים בjoomla, אבל הם גם נראים כמו ילד שהלבישו בתחפושת. בסופו של דבר, אני מניח שהדרך היחידה, היא למצוא בונה אתרים אמין, ולסמוך עליו שאם הוא אומר "wordpress אינו הפתרון", אז הוא כנראה צודק. כל נסיון לעשות חוקי אצבע כאן, ייכשל.

    1. גורו ידידי, אתה בהחלט צודק, אבל כשאני מסתכל על השוק, אני רואה שהרוב מציעים את הפלטפורמות שציינתי לעיל, ובגלל זה התייחסתי לכך בפוסט.

  4. אני חולק עליך בנושא שימוש בלעדי במערכות ידועות ו"מוכרות"
    בארץ אמנם מכירים רק אחוז קטנטן מהאפשרויות, אבל מי שמכיר יודע שקיימות מערכות קטנות ופחות מוכרות (לפחות למפתחים בארץ) שעולות עשרות מונים על השלישיה שציינת.

        1. אוקיי, אני מכיר חלק מהמערכות שאתה מציין, אך יחד עם זאת הבעיה הגדולה ביותר (ספציפית בישראל) עם אותן מערכות זה שאם הלקוח התכסח עם בונה האתרים שלו (וזה קורה לא מעט), יהיה לו קשה למצוא מישהו אחר שיעשה עבורו עבודות תחזוק/שדרוג, הוספה והסרת חלקים וכו'.

          1. מסכים איתך, ולכן הגורם החשוב ביותר בבחירה הוא מפתח מקצועי ואמין שיודע מה הוא עושה ושהסיכוי להסתכסך איתו נמוך ככל האפשר.

  5. אני לא חושב שנכון להאשים ברוב המקרים את בוני האתרים בפריצות. פרצו לי להרבה אתרי וורדפרס סטנדרטיים ומעודכנים.
    הפריצה הייתה בדרך כלל בשינוי דף האינדקס או ישירות ל-db כך שהיא כנראה לא הייתה מתוך וורדפרס אלא לספק האירוח.

    1. שינוי דף האינדקס שנעשה כלל לא קשור לפריצה לשרת. קרו לנו מקרים שעשו את זה ללקוחות שלנו ובכל המקרים שבדקנו, היו חסרים עדכונים או שהיה קוד זדוני בעיצוב גנוב או ישן.
      גם לגבי DB קיימים לא מעט סקריפטים ומאמרים איך לנחש מה הפרטים של ה-DB ומשם הדרך לא ארוכה (במיוחד שיש סיסמאות חלשות) לשינויים ב-DB. אם זו היתה פריצה בשרת, אז הרבה חשבונות היו סובלים מכך.

  6. מעניין לפי דעתי האפשרות למנוע מספאמרים להכניס ספאם לפורומים הוא אפסי
    או להאקרים לפגוע באתרים כמו DoS.
    יותר קל לצד הראשון מלצד המונע
    אי אפשר לצפות שבונה האתר ישא בעתיד באפשרות שייפרצו לאתר
    כל עוד הוא נבנה כפי שכתבת בגרסאות מעוכנות ל- CMS
    אי אפשר לצפות לאחריות בתנאי חבלה
    זה כמו שטויוטה תקח מכוניות לריקול על חבלות חיצונית שיקרו להן
    מצד שני טויוטה כן יטפלו במכוניות שיצאו מאצלם עם תקלות.
    מי שאמון לנהל אתרים בחברות או בבטחון מידע זה מתפקידו
    מי שבונה לא יכול לשאת אחריות על האתרים לעתיד בייחוד לא פרילאנס

    1. תתפלא, האפשרות להכניס ספאם היא יחסית קלה לחסימה, כל עוד שיטת ההגנה שאתה משתמש היא "לוקאלית", כלומר לשאול שאלות שישראלים יענו (ובעברית) – וכך רוב הספאם מהעולם נחסם.
      כמפעיל פורומים שונים, קרו לי בעבר לאחר שהשתמשתי בשיטה זו שהיה ספאם עברי (פרסומות לכל מיני דברים בארץ) ואז במקרה כזה פשוט הייתי לוחץ על מחיקת המשתמש והודעותיו ותוך 2 דקות הפורום היה נקי מספאם.

  7. אני חייב להגיד שהפוסט הזה מגיע מנקודת מבט שיש רק סוג אחד של אתרים. המצב מורכב בהרבה ממה שתיארת. לדעתי ההגדרה של האתרים שדיברת עליהם כוללת אתרים בתקציב: 2500-5000 ש"ח כמות כניסות: 500-2000 בחודש, עסקים קטנים-בנוניים, ופרימיטיבים יחסית שלא דורשים דברים "מיוחדים" באתרים שלהם.

    יש עוד כל כך הרבה עסקים שצרכים אתר פשוט יותר בכמה רמות, שיכולים למצוא פתרון קלאודי מתאים יותר (שלדעתי כולן סגורות), שיוזיל את עלויות האחסון והתחזוקה (לאיזור של 20-40 ש"ח לחודש)

    כמובן שיש את הצד השני של אתרים שצרכים להיות מותאמים יותר לדרישות הלקוח.

    ולסיום לכל חסרון שרשמת יש גם יתרון מהצד השני, במקום לתת דעה היתי ממליץ לך לרשום את זה אוביקטיבית

    1. אוקיי גל, נעשה קצת סדר…
      פה בישראל, מה שאתה חושב שעולה 500-2000 שקל, עולה בין 10-40 אלף. זה לא אני אומר, תשאל לקוחות של בוני אתרים שונים ותשמע את זה מהם. כל האתרים הנ"ל מותאמים לדרישות הלקוחות כמובן.

      אני לא יודע על מה אתה מדבר מבחינת יתרון לצד שני. יש כמובן פתרונות אחרים, יש פתרונות של כתיבה מאפס, אני דיברתי על מה שהרוב מקבלים מבוני האתרים שלהם ומה שהדרישה פה הכי גדולה בארץ.

      אני רושם את הדברים בצורה אובייקטיבית, הואיל ואינני בונה אתרים ואינני מציע כלל שרותים כאלו.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *