바텐더에게 물어보세요: 플러그인 지원 직원에게 WordPress 관리자 자격 증명을 제공해도 됩니까?

아니 나다. 아니. 아니요. 그것은 부정적인 것입니다. 어떤 상황에서도. 우리 엄마는 바보를 키우지 않았어요. 젠장. 당신의 인생에 없습니다. 그리고 사이트 자격 증명을 요청하는 사람에게 "신뢰할 수 있는" WordPress 개발 회사의 플러그인 지원 직원을 포함하여 누구에게나 알릴 수 있는 다른 수천 가지 방법이 있습니다.

그것은 내가 아무도 믿지 않는다는 나의 방식입니다. 당신도 마찬가지입니다. 단, 플러그인 지원 담당자에게 관리자 권한을 제공해야 하는 경우가 있습니다.

Ask Bartender 시리즈의 오늘 기사는 Niko라는 독자가 제공한 것입니다. 전체 텍스트가 1,000단어 이상이므로 전체를 읽고 싶은 분들을 위해 .txt 파일을 통해 간단히 스크립트를 링크합니다. 여기 포스트에서, 나는 중요한 비트에 충실할 것입니다. 또는 적어도 내가 다루고 싶은 부분.

Niko의 Facebook 그룹 회원 중 한 명이 토론을 시작했습니다.

' 플러그인 개발자가 WooCommerce에서 겪고 있는 문제를 해결하기 위해 FTP 세부 정보를 보내도 될까요? 우리는 이미 WordPress 관리자 자격 증명을 제공했습니다.'

이것은 WordPress 세계에서 매우 일반적인 관행입니다. 맞습니까? 문제를 도와주는 플러그인 개발자가 문제를 복제할 수 없는 경우 플러그인 문제인지 서버 문제인지 확인하고 문제를 해결할 수 있도록 액세스 권한이 필요합니까?

수년에 걸쳐 나는 이것이 더 일반적인 관행이 되는 것을 보았습니다. 그러나 사용자 측이나 개발자 측에서 권장하는 방법은 아닙니다. 모든 사이트 소유자는 자격 증명을 제공하는 사람을 신뢰하는지 물어봐야 합니다. 해당 질문에 대한 답변이 아니오인 경우 첫 번째 질문에 대한 답변이 있습니다.

10년이 넘는 기간 동안 테마 및 플러그인 상점을 운영하면서 지원 질문을 처리하기 위해 관리자 또는 FTP 액세스가 필요하지 않았습니다. 크고 복잡한 플러그인이든 작은 플러그인이든 그것은 중요하지 않았습니다. 나는 회사의 유일한 사람이었기 때문에 또한 수년 동안 수십만 개의 지원 질문에 개인적으로 답변했습니다. 그러나 나는 한 번도 그들을 돕기 위해 사용자의 사이트에 로그인하지 않았습니다. 그것은 항상 나에게 책임 문제처럼 보였지만 신뢰와 보안에 대한 순간을 가르치는 것과 같은 시나리오도 사용했습니다.

사용자는 때때로 내가 묻지 않고 자격 증명을 제공했습니다. 종종 포럼, 이메일 또는 Slack에 일반 텍스트로 게시했습니다(또한 절대 그렇게 해서는 안 됩니다). 현장 코드를 변경해야 하는 경우 사용자가 직접 작업을 수행하거나 내가 넘겨준 테마/플러그인의 버그 없는 버전을 설치했습니다.

관리자, FTP 등을 통해 작업을 수행하는 방법을 모르는 경우 시간을 내서 가르쳤습니다. 예, 양쪽 끝에서 더 많은 에너지가 필요했지만 우리가 더 좋았습니다. 그런 순간들이 몇몇 사용자들을 스스로 개발자가 되는 길로 인도하거나 최소한 그들에게는 작은 디딤돌이 되었습니다. 나는 오늘날 그들 중 많은 사람들과 친구로 남아 있으며 그들이 나의 작은 단독 WordPress 상점으로 시작했다는 것을 자랑스럽게 생각합니다.

어떤 경우는 다른 것보다 더 거칠었습니다. 여러 번 내 컴퓨터에서 설정(플러그인, 테마 등)을 복제했습니다. 대부분의 경우 이것이 나를 솔루션으로 이끌었습니다 . WordPress가 아이디어를 도입하기 훨씬 전에 __doing_it_wrong() 을 사용하고 있었습니다. 장기적으로 나는 수많은 버그 수정을 다른 개발자에게 업스트림으로 전달할 수 있었습니다. 이런 식으로 개발자 친구도 많이 사귀었습니다.

나는 내가 갔던 길이 그 둘 중 더 길었음에 의심의 여지가 없다. 한 사용자의 요구 사항을 해결하는 데 한 시간, 두 시간 또는 그 이상을 소비한 적도 있습니다. WordPress 관리자 중 일부를 방문하는 것이 더 빠른 과정이었을 것입니다.

그러나 내 테마 및 플러그인 사용자는 해당 수준의 액세스를 제공할 만큼 나를 신뢰하는지 여부에 대해 걱정할 필요가 없었습니다. 또한 사용자 지정 변경을 수행하여 실수로 사이트를 중단할 기회가 없었습니다.

플러그인의 지원 직원 이 실제로 액세스해야 하는 경우가 있습니까? 아마.

원래 질문은 WooCommerce에 관한 것이었습니다. 현존하는 WordPress용 플러그인 중 가장 기술적으로 발전된 플러그인 중 하나입니다. 이를 위해 사용자 설정을 오프사이트로 복제하는 것은 대부분의 다른 것보다 까다롭습니다. 드물게 액세스 권한을 제공해야 하는 경우가 있지만 절대 누군가를 신뢰해서는 안 됩니다.

Niko 질문의 두 번째 부분은 유럽 연합의 GDPR(일반 데이터 보호 규정) 및 사용자 데이터에 관한 것입니다. 귀하의 웹사이트에 키를 넘겨주기로 결정한 시점을 처리하는 것은 매우 중요한 부분입니다.

자, 여기 GDPR에 대해 생각한 후에 문제가 발생합니다. 이 개발자가 EU 외부에 있는 경우 고객 데이터를 익명화하고 플러그인 뒤에 있는 정확한 개발자 또는 회사와 NDA 계약을 체결하여 문제를 수정할 수 있도록 해야 합니다.

나는 이것을 평소와 같이 나는 변호사가 아닙니다 . 그러나 사용자 데이터 보호는 귀하가 속한 관할권에 관계없이 귀하가 운영하는 모든 사이트에서 항상 법적 및 윤리적 우선 순위입니다.

워드프레스 관리자에게 액세스 권한을 제공해야 하는 드문 경우지만 사이트와 데이터를 더 잘 보호하기 위해 취할 수 있는 조치가 있습니다. 개발자나 지원 직원의 신뢰성에 관계없이 웹사이트 보안을 다룰 때 항상 경험하는 한 가지 규칙이 있습니다. 아무도 믿지 않고 아무것도 믿지 않는 것입니다.

첫 번째 단계는 항상 백업 시스템을 준비하는 것입니다. 지원 직원이 무언가를 망가뜨렸을 때 사이트를 이전 상태로 되돌리고 싶을 것입니다.

완전한 관리자 수준 액세스를 제공하지 마십시오. 역할 및 기능 관리 플러그인을 설치하고 활성화하는 것이 좋습니다. 이렇게 하면 지원 도움말에 대한 사용자 지정 역할을 만들고 액세스할 수 있는 사이트 영역을 제한할 수 있습니다. 그런 다음 이 역할을 사용하여 사용자 계정을 만듭니다. 작업을 완료하면 계정을 삭제합니다.

등록된 사용자를 보거나 사용자 데이터에 대해 아무 것도 하지 못하도록 하려면 해당 사용자 역할에 다음 기능이 없는지 확인하십시오.

• create_users
• delete_users
• edit_users
• list_users
• promote_users
• remove_users

edit_files , edit_plugins 및 edit_themes 같은 다른 많은 관리자 수준 기능도 피해야 합니다. 기본적으로 WordPress 설명서의 관리자 목록에서 대부분의 대문자를 허용하지 않습니다.

대부분의 경우 플러그인 팀은 manage_options 기능 및 플러그인에 대한 사용자 정의 기능에 액세스해야 할 수 있습니다. 그마저도 위험할 수 있지만 백업을 하면 잠재적인 문제를 완화할 수 있습니다.

FTP 비밀번호는? 나는 그 정도 수준의 액세스 권한을 가진 사람을 거의 신뢰하지 않습니다.

이 대답은 아마도 플러그인 상점이나 개발자가 신뢰할 수 없다고 생각하는 것처럼 들릴 것입니다. 솔직히 말해서, 이런 식으로 로그인 또는 FTP 자격 증명을 사용하여 사용자 신뢰를 위반한 사람을 알지 못합니다. 반면에, 내가 이야기하고 있는 직원이 화를 내며 오후에 직장을 그만둘 계획이고 아침에 기꺼이 모든 것을 태워버릴 의향이 있는지 여부는 알 길이 없습니다.

나는 또한 개발자가 무언가를 수정하기 위해 들렀다가 도중에 사이트를 깨는 소수의 경우를 보았습니다. 백업은 이러한 문제를 해결하는 데 중요했습니다.

이 게시물은 플러그인 개발자나 회사를 신뢰할 수 없는 것처럼 보이게 하기 위한 것이 아닙니다. 대부분의 좋은 사람들은 정직하게 살기 위해 노력합니다. 그러나 아무것도 믿지 않는 것은 웹 사이트 보안 101입니다. 사용자가 작동해야 하는 기준일 뿐입니다. 이러한 사고 방식과 상호 작용하면 사례별로 더 현명한 결정을 내리는 데 도움이 됩니다.