Как предоставить разработчику доступ к WordPress (безопасно!)

WordPress

Получаете ли вы поддержку по проблеме или привлекаете нового разработчика, наступает момент, когда вам нужно предоставить разработчику доступ к вашему сайту. Но вам нужно выяснить, как это сделать, не ставя под угрозу безопасность вашего сайта.

Распространены плохие практики, такие как предоставление разработчикам вашего имени пользователя администратора и вашего собственного пароля, которые могут привести к серьезным проблемам безопасности. С другой стороны, большинство разработчиков просто хотят делать свою работу, не прыгая через обручи.

Есть правильный и неправильный способ предоставить разработчикам доступ к WordPress, и мы хотим помочь вам сделать это правильно. Эта статья проведет вас через то, как предоставить разработчикам доступ к WordPress эффективно и безопасно.

Почему важен безопасный доступ

Во многих случаях вам может понадобиться предоставить разработчику доступ к WordPress. Возможно, вы столкнулись с серьезной проблемой и вам нужен разработчик для отладки вашего сайта WordPress. Возможно, вы наняли временного разработчика для добавления определенной функции или вы нанимаете кого-то на полный рабочий день.

В любом случае, теперь вам нужно предоставить кому-то, скорее всего, незнакомцу, доступ администратора к вашему сайту WordPress. Это сопряжено с рядом рисков, в том числе:

  • Утечка имен пользователей или паролей при предоставлении разработчику доступа к своей учетной записи
  • Проблемы конфиденциальности данных, связанные с доступом разработчика к данным
  • Случайное нарушение или несанкционированные изменения, внесенные разработчиком
  • Злонамеренность (хотя и редко)
  • Уязвимости безопасности, вызванные пользовательским кодом
  • Несоблюдение правил из-за изменений, внесенных застройщиком

Вам необходимо принять надлежащие меры предосторожности для защиты вашего веб-сайта и вашей учетной записи администратора.

Некоторые из этих мер предосторожности включают предоставление разработчику его собственного аккаунта, который вы можете заблокировать или отозвать при необходимости. Это также означает предоставление им доступа к их аккаунту безопасным способом, а не просто отправку им по электронной почте имени пользователя и пароля.

С другой стороны, слишком строгое отношение и отсутствие надлежащих разрешений только усложнят жизнь разработчика. Вам нужно будет найти баланс – и это именно то, что мы поможем вам сделать в этом посте.

Что нужно для доступа разработчика WordPress

Прежде чем мы перейдем к некоторым из предлагаемых способов предоставления разработчикам безопасного доступа к WordPress, есть несколько лучших практик, которым вы должны следовать. Вот некоторые ключевые вещи, которые вы всегда должны делать:

  1. Создайте новую учетную запись пользователя – Одна вещь, которую вы определенно не должны делать, это предоставлять разработчикам доступ к вашей основной учетной записи администратора. Разработчики, временные или постоянные, всегда должны иметь свою собственную учетную запись.
  2. Принудительная смена пароля при первом входе в систему. Заставляя разработчика устанавливать новый пароль при первом входе в учетную запись, вы гарантируете, что первоначальный пароль, предоставленный разработчику, не может быть использован злоумышленником для входа в систему.
  3. Используйте безопасные каналы связи – Будьте осторожны при отправке учетных данных по незащищенным каналам. Они могут быть перехвачены третьими лицами.
  4. Установите ограничения на доступ – Если вы предоставляете разработчику временный доступ, не забудьте закрыть учетную запись, как только он закончит. Вы также можете использовать такие вещи, как геоблокировка и ограничение IP-адресов входа пользователей, чтобы еще больше повысить безопасность входа. Это дает различные преимущества, включая дополнительную защиту от атак методом подбора.
  5. Регистрируйте действия, предпринятые разработчиком. Регистрируя изменения, внесенные разработчиком, вы можете проверить все: от потенциальных проблем с соответствием до причин ошибок или конфликтов плагинов.
  6. Аудит нового кода и плагинов. Если разработчик добавляет на ваш сайт пользовательский код или устанавливает плагины не из официального репозитория WordPress, стоит попросить кого-нибудь проверить код, чтобы убедиться, что он написан безопасно и внутри нет ничего нежелательного.

Как безопасно предоставить разработчику доступ к WordPress

Когда вы предоставляете разработчику доступ к вашему сайту, ему, скорее всего, понадобятся права администратора, чтобы он мог выполнять свою работу должным образом. Это дает ему полный доступ к вашему сайту и возможность вносить конфиденциальные изменения, поэтому вам следует быть очень осторожным и следовать принципу наименьших привилегий.

Эти методы гарантируют безопасность вашего сайта и в то же время предоставляют разработчику необходимые разрешения для выполнения своей работы.

Создайте специальные учетные записи пользователей

Вместо того, чтобы передавать пароль от своей учетной записи, лучше всего создать новую учетную запись пользователя для вашего разработчика. Это гарантирует, что им будут предоставлены необходимые разрешения для выполнения их работы, и что их действия можно будет отслеживать.

1: В панели управления WordPress перейдите в раздел Пользователи > Добавить нового пользователя.

Добавить нового пользователя WordPress

2: Заполните все необходимые данные и выберите роль администратора — большинство других ролей слишком ограничены для разработчиков, чтобы они могли выполнять свою работу, но вы можете ознакомиться с документацией WordPress по ролям и возможностям.

Форма для добавления нового пользователя WordPress

3: Отправьте разработчику свое имя пользователя и пароль по защищенному каналу или установите флажок «Отправить уведомление пользователю», чтобы получать уведомления автоматически.

Вы можете использовать плагин User Role Editor, чтобы создать пользовательскую роль и удалить некоторые ненужные разрешения.

1: Установите редактор ролей пользователей через Плагины > Добавить новый.

Установите плагин User Role Editor

2: Перейдите в Пользователи > Редактор ролей пользователей. Нажмите Добавить роль на правой панели и создайте новую роль для разработчиков.

Главный экран плагина User Role Editor

3: Назначайте возможности на основе того, что необходимо разработчику для выполнения его работы. Вы можете ограничить определенные разрешения, которые могут быть ненужными, в зависимости от того, для чего был нанят разработчик, например, создание новых пользователей, удаление страниц, редактирование сообщений в блоге или публикация самих страниц.

Назначение возможностей ролей пользователей с помощью редактора ролей пользователей

4: Вернитесь в раздел Пользователи > Все пользователи и нажмите «Изменить созданную вами учетную запись разработчика». Прокрутите до раздела Роль и установите для нее новую роль, которую вы создали.

Назначьте пользовательскую роль пользователю WordPress

Защитите аккаунт

Еще одна хорошая практика — добавить функции безопасности входа на ваш сайт, например, установить строгие политики паролей или срок действия пароля. С Melapress Login Security вы можете настроить политики безопасности входа для определенных ролей.

1: Установите Melapress Login Security из Плагины > Добавить новый или приобретите премиум-версию.

2: Перейдите в раздел Безопасность входа > Политики безопасности входа и отметьте галочкой пункт Включить политики безопасности входа.

Включить политики безопасности входа в WordPress

3: Настройте политики для всего сайта (применяются ко всем пользователям, включая вашу учетную запись администратора) по своему усмотрению.

4: Наведите указатель мыши на вкладку «Политики на основе ролей» и выберите свою пользовательскую роль разработчика.

Политики входа в WordPress на основе ролей

5: Снимите отметку с параметра Наследовать политики безопасности входа. Теперь задайте пользовательские политики роли разработчика. Возможно, вы захотите быть более строгими, чем ваши роли на сайте, установить политику истечения срока действия пароля, ограничить IP или ограничить время входа пользователей в систему рабочими днями.

Ограничить время входа пользователя в WordPress

Одна из функций политики, на которую стоит обратить внимание, — это ограничение IP-адресов для входа. Здесь вы можете ограничить количество IP-адресов, с которых разработчики (или кто-либо еще) могут входить в систему. Если пользователь попытается войти с другого IP-адреса, он получит сообщение об ошибке.

IP-адреса можно легко сбросить на странице учетной записи пользователя, что гарантирует продолжение работы после получения разрешения.

Ограничить IP-адреса пользователей WordPress

Создание выделенной учетной записи FTP

Наконец, вам также следует создать специальную учетную запись FTP для вашего разработчика, если ему понадобится доступ к файлам вашего сайта WordPress. Вам понадобится доступ к панели управления хостингом; для этого примера мы будем использовать cPanel.

1: Войдите в cPanel и прокрутите вниз до раздела «Учетные записи FTP».

FTP-аккаунты на cPanel

2: Создайте новую учетную запись FTP для вашего разработчика. Если вы хотите ограничить доступ или отменить доступ, вы можете установить Directory в корневой каталог WordPress или другой подкаталог.

Добавить FTP-аккаунт в cPanel

3: Отправьте разработчику учетные данные FTP-аккаунта через защищенное соединение.

Благодаря изолированным аккаунтам вы можете внимательно следить за действиями своего разработчика.

Лучшие практики доступа разработчиков WordPress

Теперь вы знаете шаги по предоставлению разработчикам доступа к вашему сайту WordPress, но есть еще несколько важных рекомендаций, которые нужно рассмотреть. Придерживайтесь этих советов, прежде чем предоставлять права администратора кому-либо, кого вы не знаете.

Нанимайте надежных разработчиков

Важно нанимать опытных разработчиков, которым вы можете доверять. Специальные платформы, такие как Upwork, могут отслеживать отзывы и рейтинги разработчиков, или вы можете искать на LinkedIn или других платформах WordPress.

Надежные разработчики часто имеют профессиональный веб-сайт и портфолио, демонстрирующее их предыдущие работы, а также большую базу контактов и клиентов, которые могут служить рекомендациями.

Хорошие разработчики автоматически будут следовать большинству лучших практик безопасности входа, и у вас будет гораздо меньше риска, что они внесут ошибочный код или будут иметь какие-либо вредоносные намерения. Они опытны и знают, как безопасно работать на сайте.

Сделайте резервную копию вашего сайта

Одна из самых важных вещей, которую вы можете сделать, чтобы минимизировать потенциальный ущерб, — это сделать резервную копию вашего сайта прямо перед тем, как вы передадите доступ разработчику. Таким образом, если что-то пойдет не так, вы сможете просто откатить свой сайт до рабочей версии.

Ваш хостинг-провайдер может иметь собственное решение для ручного резервного копирования, поэтому проверьте панель управления хостингом. В противном случае вы можете использовать плагин WordPress для создания ручного резервного копирования.

Создать промежуточный сайт

Помимо создания резервной копии, хорошей практикой является также создание промежуточного сайта. Это создает копию вашего сайта, над которой разработчики могут работать, не влияя на ваш работающий сайт.

Промежуточный сайт предотвращает сбои в работе вашего работающего сайта в случае сбоя нового кода и позволяет вам тщательно тестировать и проверять любые новые изменения перед их реализацией на предмет непредвиденных или скрытых ошибок.

После того, как разработчик закончит, вы сможете просмотреть изменения и перенести их на свой работающий сайт.

У вашего хостинг-провайдера может быть встроенный способ создания промежуточных сайтов в его панели управления, или вы можете установить плагин, например WP Staging.

1: Установите WP Staging из Плагины > Добавить новый.

2: Из WP Staging > Staging Sites нажмите Create Staging Site. Введите необходимую информацию, затем нажмите Start Cloning.

Создайте промежуточный сайт с помощью WP Staging

3: Нажмите «Открыть тестовый сайт» ; затем вы сможете отправлять разработчиков на работу.

Использовать ограничения на вход

Хорошей идеей будет ограничить учетные записи разработчиков. Например, нужен ли разработчику круглосуточный доступ к вашему сайту или он должен работать только с понедельника по пятницу в течение дня? Должны ли их пароли периодически истекать?

Выше мы показали вам, как настроить Melapress Login Security и создать политики на основе ролей. Вот некоторые политики, которые вы, возможно, захотите реализовать.

1. Политика паролей. Установите строгие требования к паролям, чтобы гарантировать, что учетные записи разработчиков с правами администратора не могут быть легко взломаны.

Установка политик паролей WordPress

2: Истечение срока действия пароля – Если вы нанимаете разработчика на длительный срок, рассмотрите возможность истечения срока действия его пароля. Это снижает влияние любых нарушений или утечек учетных записей.

3. Сброс пароля при первом входе в систему. Аналогичным образом вы можете заставить их создать новый пароль при входе в систему, и если электронное письмо с их первоначальным паролем будет раскрыто, никто не сможет войти в систему.

4: Политики неудачных попыток входа в систему — деактивация учетных записей после определенного количества неудачных попыток входа в систему, предотвращение атак методом подбора паролей.

Установить политики WordPress для неудачных входов в систему

5. Ограничьте время входа пользователей в систему. Разрешите разработчикам входить в систему только в обычные рабочие часы.

6. Ограничьте количество IP-адресов. Разрешите разработчикам входить в систему только с известных IP-адресов, чтобы предотвратить взломы учетных записей.

Ограничить IP-адреса входа пользователей WordPress

Настройка журналов аудита

Даже если вы нанимаете надежного разработчика с большим количеством рекомендаций, следить за его действиями — это просто лучшая практика. Если что-то пойдет не так, вы сможете легко отследить причину проблемы, увидеть, какие изменения были сделаны, и отменить их.

Для этого вам понадобится плагин журнала активности, например WP Activity Log.

1: Из Плагины > Добавить новый установите WP Activity Log или установите премиум-версию после ее покупки в Melapress.

2: В WP Activity Log > Log Viewer нажмите Filter View вверху и введите имя пользователя учетной записи разработчика. Или просто следите за любыми критически важными записями журнала.

Фильтры просмотра журнала активности WordPress

3: В WP Activity Log > Reports вы можете сгенерировать полный отчет о действиях конкретного пользователя, вместо того, чтобы фильтровать список всех действий. Отфильтруйте по определенному пользователю и по любым другим параметрам, по которым вы хотите фильтровать, затем нажмите Generate Report. Вы найдете свой новый отчет на вкладке Generated & saved reports.

Отчеты журнала активности WordPress

4: При желании настройте уведомления в WP Activity Log > Email & SMS Notifications. Это предупредит вас о любых опасных действиях, которые может предпринять разработчик, или просто будет отправлять вам сводку его действий каждый день.

Также рассмотрите возможность установки Melapress File Monitor, чтобы отслеживать, как именно изменяются файлы вашего веб-сайта.

1: Установите Melapress File Monitor в Plugins > Add New. Следуйте подсказкам мастера установки.

2: Периодически проверяйте новый раздел «Мониторинг файлов» на предмет каких-либо признаков измененных файлов.

Мониторинг событий измененных файлов WordPress

Запретить доступ, если он больше не нужен

После того, как ваш разработчик завершит свою работу, вам следует немедленно закрыть доступ к любым учетным записям пользователей и учетным записям FTP, которые они использовали. Таким образом, никто другой не сможет взломать эти учетные записи с высокими привилегиями, чтобы использовать их в своих гнусных целях.

1: Перейдите в раздел Пользователи > Все пользователи. Нажмите Удалить под временной учетной записью разработчика.

2: При желании прокрутите страницу до пункта «Новый пароль», чтобы задать новый пароль.

Установить новый пароль для пользователя WordPress

3: Войдите в свою панель хостинга (в данном примере cPanel). Прокрутите вниз до раздела FTP Accounts и откройте его. Найдите созданную вами учетную запись разработчика FTP и нажмите Change Password или Delete.

Удалить учетную запись FTP на cPanel

Безопасный и надежный доступ для разработчиков

Предоставление доступа разработчика к WordPress не обязательно должно быть риском безопасности. Лучшие практики, такие как резервное копирование вашего сайта, использование временных плагинов входа, удаление неиспользуемых учетных записей и настройка журналов аудита, могут гарантировать, что ваш сайт останется безопасным и защищенным, даже если вы столкнетесь с проблемами.

Установка плагинов безопасности, таких как WP Activity Log и Melapress File Monitor, поможет вам следить за разработчиками, пока они выполняют свою работу. Вы можете обеспечить безопасность своего сайта и следить за нежелательными изменениями, предоставляя разработчикам пространство для эффективной работы.

Оцените статью
Добавить комментарий

Adblock
detector