• 主頁
  • 文章
  • 指導
  • 詢問調酒師:是否可以向插件支持人員提供 WordPress 管理員憑據?

詢問調酒師:是否可以向插件支持人員提供 WordPress 管理員憑據?

已發表: 2021-06-16

不,納達。 不。 不。 那是負面的。 在任何情況下。 我媽媽沒有養出一個傻瓜。 見鬼。 不是你的生活。 而且,還有其他數千種方法可以告訴任何要求站點憑據的人,甚至是“受信任的” WordPress 開發公司的插件支持人員。

這就是我說我不信任任何人的方式。 你也不應該。 但是,在某些情況下,需要向插件的支持人員提供管理員權限。

今天的“問酒保”系列由一位名叫 Niko 的讀者提供。 因為整個文本超過 1,000 字,我將通過 .txt 文件簡單地鏈接到成績單,供那些想要完整閱讀的人使用。 在這篇文章中,我將堅持重要的部分。 或者至少是我想要解決的部分。

Niko 的 Facebook 群組成員之一拉開了討論的序幕。

'是否可以向插件開發人員發送 FTP 詳細信息以解決我們在 WooCommerce 上遇到的問題。 我們已經提供了 WordPress 管理員憑據。

這在 WordPress 世界中是很正常的做法,對吧? 插件開發人員幫助解決問題,如果他們無法複製問題,他們需要訪問權限,以便他們可以檢查是插件問題還是服務器問題並修復問題?

多年來,我已經看到這變得越來越普遍。 但是,這不是我從用戶或開發人員端推薦的做法。 任何網站所有者都應該詢問他們是否信任他們提供憑據的人。 如果該問題的答案是否定的,那麼您就有第一個問題的答案。

在經營主題和插件商店的十多年中,我從不需要管理員或 FTP 訪問權限來處理支持問題。 它是一個大而復雜的插件還是一個小插件都沒有關係。 因為我是公司唯一的人,多年來我還親自回答了數十萬個支持問題。 儘管如此,我還沒有一次登錄用戶的網站來幫助他們。 這對我來說似乎總是一個責任問題,但我也使用了諸如關於信任和安全的教學時刻等場景。

用戶有時會在沒有我詢問的情況下向我提供憑據。 他們經常在論壇、電子郵件或 Slack 中以純文本形式發布它們(而且,你永遠不應該這樣做)。 如果現場代碼需要更改,我的用戶自己執行任務或安裝我移交的主題/插件的無錯誤版本。

如果他們不知道如何通過管理員、FTP 或其他方式執行任務,我會花時間教他們。 是的,這在兩端都需要更多的能量,但我相信我們做得更好。 不止一次,這些時刻讓一些用戶走上了自己成為開發者的道路,或者這對他們來說至少是一個小小的墊腳石。 今天我仍然是他們中的許多人的朋友,並為他們從我的小型 WordPress 獨立商店開始而感到自豪。

有些案件比其他案件更粗糙。 很多時候,我會在我的機器上複製他們的設置(插件、主題等)。 大多數時候,這讓我找到了解決方案——早在 WordPress 引入這個想法之前,我就在使用__doing_it_wrong() 從長遠來看,我能夠將無數的錯誤修復傳遞給其他開發人員。 我也通過這種方式結交了很多開發者朋友。

我毫不懷疑我走過的路是兩者中較長的一條。 有時我會花一個小時、兩個小時甚至更多時間來滿足一個用戶的需求。 進入他們的一些 WordPress 管理員會是一個更快的過程。

但是,我的主題和插件用戶從不需要擔心他們是否足夠信任我來提供這種級別的訪問權限。 另外,我沒有機會通過自定義更改意外破壞他們的網站。

插件的支持人員是否真的需要訪問權限? 大概。

最初的問題是關於 WooCommerce。 它是 WordPress 現有技術最先進的插件之一。 為它複製用戶的異地設置比大多數其他設置要棘手。 有時您可能需要提供一些訪問權限,但您永遠不應該信任任何人。

Niko 問題的第二部分圍繞歐盟的通用數據保護條例 (GDPR) 和用戶數據展開。 當您決定將密鑰交給您的網站時,這是處理那些時間的重要部分。

好吧,在我們考慮 GDPR 之後,問題就來了。 如果此開發人員碰巧不在歐盟,那麼您需要匿名客戶數據並與插件背後的確切開發人員或公司簽訂 NDA 協議,以便他們可以過來解決問題。

我將以通常的“我不是律師”作為開頭。 但是,無論您屬於哪個司法管轄區,保護用戶數據始終是您運營的任何網站的法律和道德優先事項。

在您需要提供對 WordPress 管理員的訪問權限的那些(同樣罕見)的情況下,您可以採取一些步驟來更好地保護您的網站及其數據。 無論開發人員或支持人員的可信度如何,在處理網站安全時始終有一條經驗法則:不信任任何人,也不信任任何人。

第一步應該始終有一個備份系統。 如果支持人員破壞了某些東西,您將希望將站點恢復到以前的狀態。

永遠不要提供完整的管理員級別訪問權限。 我建議安裝和激活角色和能力管理插件。 這將允許您創建自定義角色以獲得支持幫助並限制他們可以訪問的站點區域。 然後,您將使用此角色為他們創建一個用戶帳戶。 完成工作後,刪除他們的帳戶。

如果您根本不希望他們看到註冊用戶或對用戶數據做任何事情,請確保他們的用戶角色沒有以下功能:

  • create_users
  • delete_users
  • edit_users
  • list_users
  • promote_users
  • remove_users

您還應該避免使用許多其他管理員級別的功能,例如edit_filesedit_pluginsedit_themes 。 本質上,不允許 WordPress 文檔中管理員列表中的大多數大寫字母。

最有可能的是,插件團隊可能需要訪問manage_options功能以及為其插件自定義的任何功能。 即使是那些也可能是危險的,但是您放置的備份應該可以緩解任何潛在的問題。

至於FTP密碼? 我相信很少有人擁有這種級別的訪問權限。

這個回复可能聽起來我不認為任何插件商店或開發人員是值得信賴的。 老實說,我不知道有任何人以這種方式使用登錄或 FTP 憑據破壞了用戶信任。 另一方面,我無法知道我正在與之交談的工作人員是否打算在下午憤怒地辭去工作,並願意在早上燒毀一切。

我還看到了一些案例,其中開發人員介入修復某些問題,但最終在此過程中破壞了網站。 備份對於解決這些問題至關重要。

這篇文章並不是要讓插件開發人員或公司顯得不可信。 大多數都是好人,只是想過上誠實的生活。 然而,不信任任何東西是網站安全 101。它只是用戶應該操作的基線。 如果您以這種心態進行任何互動,它應該可以幫助您根據具體情況做出更明智的決定。