询问调酒师:是否可以向插件支持人员提供 WordPress 管理员凭据?

ask-the-bartender-is-it-ok-to-provide-wordpress-admin-credentials-to-plugin-support-staff 问酒保:是否可以向插件支持人员提供 WordPress 管理凭据?

不,纳达。 不。 不。 那是负面的。 在任何情况下。 我的妈妈没有培养任何傻瓜。 哎呀。 不在你的生活中。 而且,还有其他数千种方法可以告诉任何要求提供站点凭据的人,甚至是“受信任”的 WordPress 开发公司的插件支持人员。

这就是我说我不相信任何人的方式。 你也不应该。 但是,在某些情况下,需要向插件的支持人员提供管理员权限。

今天的分期付款 询问调酒师 系列由一位名叫 Niko 的读者提供。 由于全文超过1000字,我将简单地链接到 通过 .txt 文件转录 对于那些想要完整阅读它的人。 在这篇文章中,我将坚持重要的部分。 或者至少是我想要解决的部分。

Niko 的 Facebook 小组成员之一开始讨论。

‘可以向插件开发人员发送 FTP 详细信息以解决我们在 WooCommerce 中遇到的问题吗? 我们已经提供了 WordPress 管理员凭据。

这在 WordPress 世界中是很正常的做法,对吧? 插件开发人员帮助解决问题,如果他们无法复制问题,他们需要访问权限,以便他们可以检查是插件问题还是服务器问题并解决问题?

多年来,我已经看到这变得更加普遍。 但是,这不是我从用户端或开发人员端推荐的做法。 任何网站所有者都应该询问他们是否信任他们提供凭据的人。 如果该问题的答案是否定的,那么您就有了第一个问题的答案。

在经营主题和插件商店的十多年里,我从不需要管理员或 FTP 访问来处理支持问题。 它是一个大而复杂的插件还是一个小插件都没有关系。 因为我是公司唯一的人,多年来我也亲自回答了数十万个支持问题。 尽管如此,我一次也没有登录用户的站点来帮助他们。 这对我来说似乎总是一个责任问题,但我也使用了诸如教授关于信任和安全的时刻之类的场景。

用户有时会在没有我询问的情况下向我提供凭据。 他们通常在论坛、电子邮件或 Slack 中以纯文本形式发布它们(此外,您永远不应该这样做)。 如果需要更改现场代码,我的用户自己执行任务或安装我移交的主题/插件的无错误版本。

如果他们不知道如何通过管理员、FTP 或其他方式执行任务,我会花时间教他们。 是的,这需要两端更多的能量,但我相信我们做得更好。 那些时刻不止一次地引导一些用户走上成为开发人员的道路,或者至少对他们来说是一块小小的垫脚石。 今天我和他们中的许多人仍然是朋友,我很自豪他们是从我的小型 WordPress 独立商店开始的。

有些案件比其他案件更艰难。 很多时候,我会在我的机器上复制他们的设置(插件、主题等)。 大多数情况下,这让我找到了解决方案——我正在使用 __做错了() 早在 WordPress 引入这个想法之前。 从长远来看,我能够将无数错误修复上游传递给其他开发人员。 我也通过这种方式结交了很多开发者朋友。

我毫不怀疑我走过的路是两条路中较长的一条。 有时我花了一个小时、两个小时甚至更多时间来满足一个用户的需求。 进入他们的一些 WordPress 管理员会是一个更快的过程。

但是,我的主题和插件用户从不需要担心他们是否足够信任我以提供该级别的访问权限。 另外,我没有机会通过进行自定义更改而意外破坏他们的网站。

插件的支持人员是否真的需要访问权限? 大概。

最初的问题是关于 WooCommerce。 它是 WordPress 现有技术最先进的插件之一。 在场外复制用户的设置比大多数其他人更棘手。 您可能偶尔需要提供一些访问权限,但您永远不应该信任任何人。

Niko 问题的第二部分围绕欧盟的通用数据保护条例 (GDPR) 和用户数据展开。 当您决定移交网站密钥时,这是处理那些时期的重要组成部分。

好吧,在我们考虑 GDPR 之后,问题就来了。 如果此开发人员碰巧在欧盟以外,那么您需要对客户数据进行匿名处理,并与插件背后的确切开发人员或公司签订 NDA 协议,以便他们可以解决问题。

我将以通常的我不是律师作为序言。 但是,保护用户数据始终是您运行的任何网站的法律和道德优先事项,无论您属于哪个管辖范围。

在那些需要提供对 WordPress 管理员访问权限的情况下(同样是罕见的),您可以采取一些措施来更好地保护您的网站及其数据。 无论开发人员或支持人员的可信度如何,在处理网站安全问题时总是有一个经验法则:不信任任何人,也不信任任何人。

第一步应该总是有一个备份系统到位。 如果支持人员破坏某些东西,您将希望将站点恢复到以前的状态。

永远不要提供完整的管理员级别访问权限。 我建议安装并激活角色和能力管理插件。 这将允许您为支持帮助创建自定义角色并限制他们有权访问的站点区域。 然后,您将为他们创建一个具有此角色的用户帐户。 他们完成工作后,删除他们的帐户。

如果您根本不希望他们看到注册用户或对用户数据执行任何操作,请确保他们的用户角色不具有以下功能:

  • 创建用户
  • 删除用户
  • 编辑用户
  • list_users
  • 推广用户
  • 删除用户

还有许多其他管理员级别的功能,例如 edit_files、edit_plugins 和 edit_themes,您也​​应该避免使用。 从本质上讲,禁止从 WordPress 文档中的管理员列表.

很可能,插件团队可能需要访问 manage_options 功能和任何对其插件自定义的功能。 即使这些也可能是危险的,但是您实施的备份应该可以缓解任何潜在问题。

至于FTP密码? 我相信很少有人具有这种​​访问级别。

这个回复可能听起来像我不认为任何插件商店或开发人员是值得信赖的。 老实说,我不知道有任何人以这种方式使用登录或 FTP 凭据破坏了用户信任。 另一方面,我不知道和我谈话的那个工作人员是否打算在下午愤怒地辞职,并愿意在早上把一切都烧掉。

我还看到过一些案例,其中开发人员为了修复某些东西而在此过程中最终破坏了网站。 备份对于解决这些问题至关重要。

这篇文章并不是要让插件开发人员或公司显得不可信。 大多数都是好人,只是想过上诚实的生活。 然而,不信任任何东西是网站安全 101。它只是用户应该操作的基线。 如果您以这种心态进行任何互动,它应该会帮助您根据具体情况做出更明智的决定。

像这样:

喜欢加载…

来源

原创文章,作者:WPJIAN,如若转载,请注明出处:https://wpjian.com/tips/2021061646352.html