-

Magento development: hoe doen de beste bureaus van Nederland dat?

Magento is een zeer populair e-commercesoftwarepakket vanwege de veelzijdigheid en flexibiliteit ervan, maar zoals elk open source systeem vraagt het onderhouden ervan aandacht en kennis. Veel webshops worden daarom beheerd door professionele Magento developmentbureaus. Hoe zorgen deze bureaus ervoor dat jouw shop altijd snel en veilig is? 

De beste Magento bureaus? Wie zijn dat dan?

Sinds begin 2017 is er een kwaliteitslabel voor Magento developmentbureaus. De beste bureaus mogen zich Hypernode Certified Agency noemen. Dit kwaliteitslabel wordt uitgegeven door Magento hostingspecialist Byte. Voor het verkrijgen van het certificaat doorlopen de bureaus een uitgebreide audit. Ze worden beoordeeld op output (security, performance) en op de processen die zijn ingericht om de kwaliteit altijd op een voorspelbaar hoog niveau te houden. Natuurlijk is er niet one-way-to-go. Elk bureau is anders en werkt op een andere manier. Maar als bovenstaande goed op orde is, weet je als klant van zo’n bureau dat de geleverde kwaliteit gewoon goed is. Op dit moment hebben 16 bureaus dit kwaliteitslabel.

De Best Practices van Magento development

Performance optimalisatie

Alle grotere Hypernode Certified bureaus hebben vaste processen die worden doorlopen als het gaat om performance optimalisatie. Op elke shop wordt in principe dit, dit en dit gedaan, tenzij het niet kan voor die shop. Vaak is dit caching (bijna altijd Redis, Lesti FPC en indien mogelijk Varnish). Op bijna elke shop draait de Hypernode Image Optimizer in een crontab. New Relic, Blackfire en MageReport Premium worden gebruikt voor analyse en monitoring. Het merendeel van de shops gebruikt PHP 7. Soms lukt dit niet i.v.m. budget van de klant (voor Magento 1 is dit bijvoorbeeld iets meer werk) en wordt ervoor gekozen om dit later met een migratie naar Magento 2 mee te nemen. Ook valt op dat de shops relatief weinig botverkeer hebben. Sommige bots heb je nu eenmaal nodig, maar heel veel ook niet (zoals die van de concurrent die jouw prijzen elk uur scant). En als het percentage afkomstig van bots meer dan 30% van het totale verkeer is, kost dit onnodig veel performance. De shops in het beheer van gecertificeerde bureaus hebben gemiddeld 5 – 20% botverkeer.

Magento security patches

Bij Magento 1 heb je nu eenmaal te maken met security patches. Het is goed dat ze er zijn, maar ze komen altijd onverwacht en zolang ze niet geïmplementeerd zijn loopt je shop gevaar. Wat dat betreft een crime voor bureaus, want ze gooien altijd de planning in de war en ze kosten uren waarvan de klant niet altijd het belang begrijpt. Hoe zorgen Hypernode gecertificeerde bureaus ervoor dat shops toch binnen acceptabele tijd gepatched zijn?

Toestemming van de klant?

Bij het merendeel van de bureaus is het doorvoeren van security patches verplicht gesteld. Daar is geen discussie over mogelijk. Vaak is dit voor alle klanten standaard het geval, soms is het opgenomen in een SLA. Daarbinnen zijn er twee vormen: het ene bureau heeft met de klant afgesproken dat de patches zonder toestemming van de klant worden geïmplementeerd, en andere bureau voert de patch door, maar laat de klant vervolgens eerst de change goedkeuren op een stagingomgeving. Dat laatste is netjes, maar kost ook (kostbare) tijd waarin een shop nog kwetsbaar is. Het bureau zal dan de tijdsdruk die heerst bij patchen goed moeten kunnen overbrengen op de shopeigenaar.

Bewust wachten met doorvoeren Magento patch

Een aantal bureaus wacht inmiddels eerst 24 – 48 uur met het implementeren van de patch, omdat in het verleden is gebleken dat de Magento patches soms complicaties met zich meebrengen. Ze monitoren dan eerst nauwlettend de feedback uit de community. Hierbij speelt voor hen ook mee of wij als hun hostingpartner al een bescherming op serverniveau hebben kunnen maken. Zo ja, dan geeft dat nog iets meer rust en tijd om de kwaliteit van de patch af te wachten. Wel wordt in alle gevallen de patch binnen 4 weken doorgevoerd.

Magento 2: geen patches maar updates

Een nieuwe uitdaging hierin is Magento 2: hierbij worden bij security issues geen patches aangeboden, maar versieupdates. Dat is lastiger: Magento 2 updates worden nog niet altijd als stabiel ervaren en/of third parties blijken dan nog niet altijd compatible te zijn. De bureaus zijn enthousiast over Magento 2, maar dit is voor hen nog een uitdaging die ze per keer beoordelen.

Het gebruik van SSL-certificaten

Bij alle gecertificeerde bureaus is SSL-beveiliging voor Magento shops verplicht, of wordt het zo overtuigend geadviseerd dat alsnog elke shopeigenaar ervoor kiest. In bijna alle gevallen gaat het ook om de volledige shop, niet enkel de check-out. Argumenten die hiervoor worden aangedragen zijn uiteraard veiligheid, maar ook wetgeving en SEO.

Hacks opsporen en oplossen

Zo goed als alle gecertificeerde bureaus hebben een proces voor proactieve hackdetectie ingericht. Dit betekent dat zij proactief monitoren of een shop mogelijk gehackt is en direct tot actie overgaan indien dit het geval is. Binnen en buiten kantoortijden. Hiervoor worden tools gebruikt: vaak New Relic voor het monitoren van verdachte performance pieken en de Magento Malware Scanner (Yara). In alle gevallen werd gebruik gemaakt van MageReport. Veel bureaus laten ook alarmbellen afgaan zodra er code changes op de productieserver worden gedetecteerd. Monitoring vindt tijdens kantoortijden vaak plaats met grote tv-schermen op kantoor en buiten kantoortijden met bijvoorbeeld SMS alerting.

Magento deployment

Voor het doorvoeren van wijzigingen, security fixes en updates maken de bureaus gebruik van een soort OTAP-straat wat staat voor verschillende omgevingen voor Ontwikkeling, Testen, Acceptatie van de klant en Productie.

Versiebeheer

Alle bureaus maken gebruik van versiebeheer. Dit houdt in dat elke wijziging aan je shop wordt bijgehouden, zodat later altijd een eerdere versie opgevraagd en/of teruggezet kan worden.  Bijna allemaal gebruiken ze de tool Git, met pull requests en branches. Vaak in combinatie met Bitbucket.

Wijzigingen in de productieomgeving?

Wijzigen aan de live-shop doorvoeren kan voor problemen zorgen. Een wijziging in code kan soms op een onverwachte plek voor fouten zorgen en je hebt het dan niet eerst getest in een testomgeving. Het merendeel van de gecertificeerde bureaus vindt dit daarom niet alleen heel onwenselijk, maar heeft het zelfs onmogelijk gemaakt. Veel gebruiken hiervoor de tool Composer. Wijzigingen aan de core (basiscode) van Magento zijn hiermee ook onmogelijk gemaakt overigens.

Maar er zijn ook bureaus die alleen lead developers toegang geven tot de productieomgeving, of geven aan dat het wel mogelijk is, maar dat het bij de eerstvolgende release toch weer overschreven wordt.

Codekwaliteit

Hoe netter de code geschreven wordt, hoe minder foutgevoeliger het is. Wat ook helpt is als elke developer binnen een bureau op dezelfde manier code schrijft. Alle Hypernode gecertificeerde bureaus hebben daarom een soort van interne codekwaliteitrichtlijn opgesteld waar elke developer zich aan moet houden. Daarnaast moeten developers binnen een jaar een Magento certificaat behalen en/of wordt er gewerkt met black-/whitelists van third party modules.

Ook is er altijd sprake van een 4-ogen-principe: alle code wordt door een collega-developer gereviewd voor het naar productie gaat. Al dan niet een lead/senior developer.

Ben jij eigenaar van een Magento webshop en heb je een partner voor development of zoek je er een? Gebruik de bovengenoemde best practices dan in je voordeel. Vraag bijvoorbeeld eens aan je developmentpartij hoe zij bepaalde zaken geregeld hebben. Dat hoeft echt niet op de hierboven besproken manier te zijn, elk bureau is immers anders. Het belangrijkste is dat ze in processen hebben gewaarborgd dat de kwaliteit van webshops onder hun beheer op een voorspelbaar hoog niveau blijft. De bovenstaande best practices helpen jou misschien wel om te bekijken waar je op kunt letten en wellicht brengt het bureaus nog interessante inzichten.

Benieuwd welke bureaus het kwaliteitslabel al hebben ontvangen? Op de website van Byte vind je alle Hypernode Certified Agencies.

9 Reacties

Sanne

“kwaliteitslabel voor Magento developmentbureaus”

Wat een onzin, je krijgt het label als je klant bij Byte bent voor Magento hosting.

Dit is een advertorial en inhoudelijk nietszeggend artikel.

Peter

Helemaal mee eens Sanne! Ik heb helemaal niets tegen Byte als bedrijf en heb er zelfs prima ervaringen mee, maar dit is gewoon pure reclame verpakt als adviesblog. Wees in ieder geval transparant en geef dit bij het artikel aan!

Jaspet

Hallo, emerce. Beetje blijven opletten. Ook tijdens de kerstdagen. #advertorial

Mirko

Uhmm mensen, dit is niet helemaal waar. Je krijgt een Hypernode certificaat pas na een test en goedkeuring door Byte. Bureaus kunnen maar eens per half jaar hieraan mee doen om zich te laten certificeren en daarbij, niet iedereen haalt het. Even ter kennisgeving 🙂

Wiard

Het idee achter zo’n certificering is natuurlijk leuk. De vraag is echter hoe leuk het is als een hosting partij dit gaat doen met o.a. de voorwaarde dat je klant van hun bent? Niet onafhankelijk dus.

Het is dus een “certificering” (niet vanuit Magento zelf overigens..) van Byte, voor zijn klanten only. De titel mag dus ook best zijn: Hoe halen een select aantal bureau’s een aantal requirements van een hostingpartij?

Kom alsjeblieft met een onafhankelijk kwaliteitslabel, dus niet vanuit een hostingpartij, webbureau of wat dan ook. Pas dan mag je het naar mijn mening ook een kwaliteitslabel noemen!

Arnoud

@Mirko Aha, een test en ook nog goedkeuring door Byte. Dat is nogal een strenge selectie…Niet echt dus.

Dit is inderdaad echt een hele duidelijke gratis advertorial door Byte. Dit gebeurd natuurlijk aan de lopende band, maar niet echt netjes van Byte om hier niet transparant in te zijn. Op zich wel slim gedaan verder om zo’n zogenaamd kwaliteitslabel op te richten. Uiteraard moet je wel eerst bij Byte alle hosting afnemen om in aanmerking te komen voor dit strenge en zeer objectieve keurmerk 🙂

Sjoerd

Iedereen kan meedoen (dus ook kleine partijen met slechts 5 pakketten bij Byte).

@wiard: onafhankelijk is een mooi streven naar wie gaat dit betalen? De bouwers?

@sanne: je moet er wel iets meer moeite voor doen dat hoor 😉

Wiard

@Sjoerd

“Iedereen kan meedoen”, hoe doe ik mee als ik niet bij Byte host?

Het is een mooi initiatief en het helpt ook zeker in de algemene kwaliteit & veiligheid. Laat ik het daar dan bij laten 🙂

Suzanne Snoeijink - de Lange - Byte

Het is inderdaad nodig om een aantal Magento webshops op ons Hypernode platform te hebben staan, omdat we dan tijdens de audits ook diep in de code kunnen duiken. Maar dan ben je er als agency nog lang en breed niet. Ter illustratie: in de afgelopen 2 audits heeft ‘slechts’ 50% van de aanmeldingen daadwerkelijk het certificaat ontvangen. De werkwijzen genoemd in dit artikel zijn dus echt ‘best’ practices 😉 Naast het certificeringsprogramma zelf, wat vinden jullie daarvan?

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond