• Pagina principala
  • Articole
  • Ghid
  • Întrebați barmanul: Este în regulă să furnizați acreditări de administrator WordPress personalului de asistență pentru pluginuri?

Întrebați barmanul: Este în regulă să furnizați acreditări de administrator WordPress personalului de asistență pentru pluginuri?

Publicat: 2021-06-16

Nu. Nada. nu. Nu. Asta e un negativ. În nici o împrejurare. Mama mea nu a crescut niciun prost. La naiba. Nu in viata ta. Și celelalte mii de moduri de a spune oricui solicită acreditările site-ului să se îndepărteze, chiar și personalului de asistență pentru pluginuri al unei companii de dezvoltare WordPress „de încredere”.

Acesta este felul meu de a spune că nu am încredere în nimeni. Nici tu nu ar trebui. Cu toate acestea, există cazuri în care este necesar să se acorde permisiuni de administrator personalului de asistență al unui plugin.

Partea de astăzi a seriei Ask the Bartender vine prin amabilitatea unui cititor pe nume Niko. Deoarece întregul text are peste 1.000 de cuvinte, voi pur și simplu să fac link la transcriere printr-un fișier .txt pentru cei care doresc să o citească în întregime. Aici, în postare, voi rămâne la elementele vitale. Sau cel puțin părțile pe care vreau să le abordez.

Unul dintre membrii grupului de Facebook al lui Niko a dat startul discuției.

„Este în regulă să trimitem detalii FTP unui dezvoltator de plugin pentru a remedia problema pe care o avem cu WooCommerce. Am furnizat deja acreditările de administrator WordPress.'

Aceasta este o practică destul de normală în lumea WordPress, nu? Dezvoltatorii de pluginuri ajută la probleme și, dacă nu pot replica o problemă, au nevoie de acces pentru a putea verifica dacă este o problemă de plugin sau de server și să remedieze lucrurile?

De-a lungul anilor, am văzut că acest lucru a devenit mai mult o practică obișnuită. Cu toate acestea, nu este o practică pe care o recomand nici din partea utilizatorului, fie a dezvoltatorului. Orice proprietar de site ar trebui să întrebe dacă are încredere în persoana căreia îi oferă acreditările. Dacă răspunsul la această întrebare este nu, aveți răspunsul la prima întrebare.

În peste un deceniu de rulare a unui magazin de teme și pluginuri, nu am avut niciodată nevoie de acces de administrator sau FTP pentru a rezolva o întrebare de asistență. Nu conta dacă era un plugin mare și complex sau unul mic. Deoarece eram singura persoană din companie, am răspuns personal la sute de mii de întrebări de asistență de-a lungul anilor. Totuși, nu m-am autentificat o dată pe site-ul unui utilizator pentru a-i ajuta. Asta mi s-a părut întotdeauna o problemă de răspundere, dar am folosit și scenarii precum momente de predare despre încredere și securitate.

Utilizatorii mi-au furnizat uneori acreditări fără ca eu să le întreb. Adesea le-au postat în text simplu în forumuri, e-mail sau Slack (de asemenea, nu ar trebui să faci asta niciodată). Dacă codul la fața locului trebuia schimbat, utilizatorii mei au efectuat ei înșiși sarcina sau au instalat o versiune fără erori a temei/plugin-ului pe care l-am predat.

Dacă nu știau cum să efectueze o sarcină prin intermediul administratorului, FTP sau altfel, mi-am făcut timp să îi învăț. Da, asta a necesitat mai multă energie la ambele capete, dar cred că am fost mai bine pentru asta. Nu o dată, acele momente i-au condus pe unii utilizatori pe calea de a deveni ei înșiși dezvoltatori, sau a fost cel puțin o piatră de treaptă mică pentru ei. Rămân astăzi prieten cu mulți dintre ei și sunt mândru că au început cu micul meu magazin WordPress solo.

Unele cazuri au fost mai dure decât altele. De multe ori, aș replica configurația lor (plugin-uri, temă etc.) pe mașina mea. De cele mai multe ori, acest lucru m-a condus la soluție - foloseam __doing_it_wrong() cu mult înainte ca WordPress să introducă ideea. Pe termen lung, am reușit să transmit nenumărate remedieri de erori în amonte altor dezvoltatori. Mi-am făcut o mulțime de prieteni dezvoltatori și în acest fel.

Nu am nicio îndoială că drumul pe care l-am parcurs a fost cel mai lung dintre cele două. Au fost momente în care am petrecut o oră, două sau chiar mai multe pentru a răspunde nevoilor unui utilizator. Apariția unora dintre administratorii lor WordPress ar fi fost un curs mai rapid.

Cu toate acestea, utilizatorii mei de temă și plugin nu au avut niciodată nevoie să-și facă griji dacă au avut suficientă încredere în mine pentru a oferi acel nivel de acces. În plus, nu am avut nicio șansă de a sparge accidental site-ul lor făcând modificări personalizate.

Există momente când personalul de asistență al unui plugin chiar are nevoie de acces? Probabil.

Întrebarea inițială era legată de WooCommerce. Este unul dintre cele mai avansate pluginuri tehnic existente pentru WordPress. Replicarea configurației unui utilizator în afara site-ului pentru aceasta este mai dificilă decât majoritatea celorlalți. Pot exista cazuri rare când trebuie să oferiți acces, dar nu ar trebui să aveți încredere în nimeni.

A doua parte a întrebării lui Niko se învârte în jurul Regulamentului general privind protecția datelor (GDPR) al Uniunii Europene și a datelor utilizatorilor. Este o parte vitală în a face față acelor momente în care decideți să predați cheile site-ului dvs.

În regulă, aici apare problema după ce ne gândim la GDPR. Dacă se întâmplă că acest dezvoltator se află în afara UE, atunci ar trebui să anonimizați datele clienților și să faceți un acord NDA cu acel dezvoltator sau companie exactă care se află în spatele pluginului, astfel încât să poată veni și rezolva lucrurile.

Voi prefața asta cu de obicei nu sunt avocat . Cu toate acestea, protejarea datelor utilizatorilor este întotdeauna o prioritate legală și etică pe orice site pe care îl conduceți, indiferent de jurisdicția în care vă aflați.

În acele cazuri – din nou, rare – în care trebuie să oferiți acces administratorului WordPress, există pași pe care îi puteți lua pentru a vă proteja mai bine site-ul și datele acestuia. Indiferent de încrederea unui dezvoltator sau a unui membru al personalului de asistență, există întotdeauna o regulă generală atunci când se ocupă de securitatea site-ului web: să nu ai încredere în nimeni și în nimic.

Primul pas ar trebui să fie întotdeauna instalarea unui sistem de rezervă. În cazul în care personalul de asistență sparge ceva, veți dori să reveniți site-ul la starea anterioară.

Nu oferiți niciodată acces complet la nivel de administrator. Recomand instalarea și activarea unui plugin de gestionare a rolurilor și capacităților. Acest lucru vă va permite să creați un rol personalizat pentru ajutor de asistență și să limitați zonele site-ului la care au acces. Apoi veți crea un cont de utilizator pentru ei cu acest rol. Odată ce și-au încheiat munca, ștergeți contul.

Dacă nu doriți ca aceștia să vadă utilizatorii înregistrați sau să facă nimic cu datele utilizatorului, asigurați-vă că rolul lor de utilizator nu are următoarele capabilități:

  • create_users
  • delete_users
  • edit_users
  • list_users
  • promote_users
  • remove_users

Există multe alte capabilități la nivel de administrator, cum ar fi edit_files , edit_plugins și edit_themes , pe care ar trebui să le evitați. În esență, nu permiteți majoritatea majusculelor din lista de administratori din documentația WordPress.

Cel mai probabil, echipele cu pluginuri ar putea avea nevoie de acces la capacitatea manage_options și la oricare care sunt personalizate pentru pluginul lor. Chiar și acestea pot fi periculoase, dar backup-ul pe care îl puneți ar trebui să atenueze eventualele probleme.

Cât despre o parolă FTP? Am încredere în foarte puțini oameni cu acest nivel de acces.

Acest răspuns probabil sună ca și cum nu cred că niciun magazin de pluginuri sau dezvoltatori sunt de încredere. Sincer, nu cunosc niciunul care să fi încălcat încrederea utilizatorilor folosind datele de conectare sau acreditările FTP în acest fel. Pe de altă parte, nu am de unde să știu dacă membrul personalului cu care vorbesc intenționează să renunțe la serviciu după-amiaza și este dispus să ardă totul dimineața.

Am văzut, de asemenea, câteva cazuri în care un dezvoltator a intervenit pentru a remedia ceva, dar a sfârșit prin a sparge site-ul pe parcurs. Backup-urile au fost cruciale în abordarea acestor probleme.

Această postare nu are scopul de a face dezvoltatorii de pluginuri sau companiile să pară nedemne de încredere. Majoritatea sunt oameni buni care încearcă doar să-și câștige existența cinstit. Cu toate acestea, a nu avea încredere în nimic este securitatea site-ului web 101. Este doar linia de bază în care utilizatorii ar trebui să opereze. Dacă intrați în orice interacțiune cu această mentalitate, ar trebui să vă ajute să luați decizii mai inteligente, de la caz la caz.