バーテンダーに質問する：プラグインサポートスタッフにWordPress管理者の資格情報を提供しても大丈夫ですか？

いいえ、灘。 いや。 いいえ。 それはネガティブです。 いかなる状況下で。 私のママは馬鹿を育てませんでした。 ヘックナウ。 あなたの人生ではありません。 そして、「信頼できる」WordPress開発会社のプラグインサポートスタッフでさえ、サイトのクレデンシャルを要求する人に盗聴するように伝える他の何千もの方法。

それは私が誰も信用していないという私の言い方です。 あなたもそうすべきではありません。 ただし、プラグインのサポートスタッフに管理者権限を付与する必要がある場合があります。

今日のAskthe Bartenderシリーズの記事は、Nikoという名前の読者の好意により提供されています。 テキスト全体が1,000語を超えているため、完全に読みたい人のために、.txtファイルを介してトランスクリプトにリンクするだけです。 この投稿では、重要な部分に固執します。 または、少なくとも私が取り上げたい部分。

ニコのFacebookグループメンバーの1人が議論を開始しました。

'プラグイン開発者にFTPの詳細を送信して、WooCommerceで発生している問題のトラブルシューティングを行っても大丈夫ですか。 WordPress管理者の資格情報はすでに提供されています。

これはWordPressの世界ではごく普通の習慣ですよね？ プラグイン開発者が問題を支援し、問題を再現できない場合は、プラグインの問題なのかサーバーの問題なのかを確認して修正できるようにアクセスする必要がありますか？

何年にもわたって、私はこれがより一般的な慣行になるのを見てきました。 ただし、ユーザー側または開発者側のどちらからもお勧めする方法ではありません。 サイトの所有者は、資格情報を提供している人を信頼しているかどうかを尋ねる必要があります。 その質問に対する答えが「いいえ」の場合、最初の質問に対する答えがあります。

テーマとプラグインショップを運営してきた10年以上の間、サポートの質問に対処するために管理者やFTPアクセスは必要ありませんでした。 それが大きくて複雑なプラグインであるか小さなプラグインであるかは問題ではありませんでした。 私は会社の唯一の人物だったので、何十万ものサポートの質問にも個人的に答えました。 それでも、ユーザーのサイトにログインしてユーザーを支援したことは一度もありません。 それは私にとって常に責任の問題のように思えましたが、信頼とセキュリティについての瞬間を教えるなどのシナリオも使用しました。

ユーザーは、私に尋ねることなく、クレデンシャルを提供してくれることがありました。 多くの場合、彼らはフォーラム、電子メール、またはSlackにプレーンテキストで投稿しました（また、決してそうすべきではありません）。 オンサイトコードを変更する必要がある場合は、ユーザーが自分でタスクを実行するか、渡したテーマ/プラグインのバグのないバージョンをインストールしました。

管理者やFTPなどを介してタスクを実行する方法がわからない場合は、時間をかけて教えました。 はい、それは両端でより多くのエネルギーを必要としました、しかし私はそれのために私達がより良かったと信じています。 何度も、それらの瞬間は、一部のユーザーを開発者自身になる道へと導きました、またはそれは彼らにとって少なくとも小さな足がかりでした。 私は今日も彼らの多くと友達であり、彼らが私の小さなソロのワードプレスショップから始めたことを誇りに思っています。

いくつかのケースは他のケースよりも粗かった。 多くの場合、私は自分のマシンでそれらのセットアップ（プラグイン、テーマなど）を複製していました。 ほとんどの場合、これが解決策につながりました— WordPressがアイデアを導入するずっと前から、私は__doing_it_wrong()を使用していました。 長い目で見れば、私は無数のバグ修正を他の開発者に上流に渡すことができました。 私もこの方法でたくさんの開発者の友達を作りました。

私が旅した道は2つのうち長い方だったことは間違いありません。 1人のユーザーのニーズに対応するために、1時間、2時間、またはそれ以上を費やしたことがありました。 彼らのWordPress管理者の何人かに立ち寄るのはもっと速いコースだっただろう。

ただし、私のテーマとプラグインのユーザーは、そのレベルのアクセスを提供するのに十分なほど私を信頼しているかどうかを心配する必要はありませんでした。 さらに、カスタム変更を行って誤ってサイトを壊してしまうこともありませんでした。

プラグインのサポートスタッフが本当にアクセスする必要がある場合がありますか？ 多分。

元々の質問はWooCommerceに関するものでした。 これは、WordPress用に存在する最も技術的に高度なプラグインの1つです。 ユーザーの設定をオフサイトで複製することは、他のほとんどの場合よりも注意が必要です。 アクセスを提供する必要がある場合はまれですが、だれも信用してはいけません。

ニコの質問の2番目の部分は、欧州連合の一般データ保護規則（GDPR）とユーザーデータを中心に展開しています。 あなたがあなたのウェブサイトに鍵を渡すことに決めるとき、それはそれらの時代に対処することの重要な部分です。

GDPRについて考えた後、ここで問題が発生します。 この開発者がたまたまEU圏外にいる場合は、顧客データを匿名化し、プラグインの背後にいる正確な開発者または会社とNDA契約を結んで、問題を解決できるようにする必要があります。

私は弁護士ではない通常のことでこれを前置きします。 ただし、ユーザーデータの保護は、どの管轄区域に属するかに関係なく、実行するすべてのサイトで常に法的および倫理的な優先事項です。

WordPress管理者へのアクセスを提供する必要があるこれらの（まれに）ケースでは、サイトとそのデータをより適切に保護するために実行できる手順があります。 開発者やサポートスタッフの信頼性に関係なく、Webサイトのセキュリティを扱う際には、常に1つの経験則があります。それは、誰も信用せず、何も信用しないということです。

最初のステップは、常にバックアップシステムを導入することです。 サポートスタッフが何かを壊すという偶然の機会に、サイトを以前の状態に戻したいと思うでしょう。

完全な管理者レベルのアクセスを提供しないでください。 役割と機能の管理プラグインをインストールしてアクティブ化することをお勧めします。 これにより、サポートヘルプのカスタムロールを作成し、アクセスできるサイトの領域を制限できます。 次に、この役割を持つユーザーのユーザーアカウントを作成します。 作業が完了したら、アカウントを削除します。

登録ユーザーを表示したり、ユーザーデータを操作したりしたくない場合は、ユーザーロールに次の機能がないことを確認してください。

• create_users
• delete_users
• edit_users
• list_users
• promote_users
• remove_users

edit_files 、 edit_plugins 、 edit_themesなど、他にも多くの管理者レベルの機能を避ける必要があります。 基本的に、WordPressドキュメントの管理者リストからのキャップのほとんどを禁止します。

ほとんどの場合、プラグインチームは、 manage_options機能およびプラグインにカスタムされている機能にアクセスする必要があります。 それらでさえ危険である可能性がありますが、あなたが配置したそのバックアップは潜在的な問題を軽減するはずです。

FTPパスワードは？ そのレベルのアクセス権を持つ人はほとんどいないと思います。

この返信は、プラグインショップや開発者が信頼できるとは思わないように思われるかもしれません。 正直なところ、この方法でログインまたはFTPクレデンシャルを使用してユーザーの信頼を侵害したものはありません。 一方で、私が話しているスタッフが、怒り狂って午後に仕事を辞め、朝にすべてを焼き尽くそうとしているのかどうかを知る方法はありません。

また、開発者が何かを修正するために立ち寄ったが、途中でサイトを壊してしまったというケースもいくつか見ました。 これらの問題に対処するには、バックアップが不可欠でした。

この投稿は、プラグインの開発者や企業を信頼できないように見せることを意図したものではありません。 ほとんどの人は正直な生活を送ろうとしているだけの善良な人々です。 ただし、何も信頼しないのはWebサイトのセキュリティ101です。これは、ユーザーが操作する必要のあるベースラインにすぎません。 この考え方と相互作用する場合は、ケースバイケースでより賢明な意思決定を行うのに役立つはずです。