8 отличных способов сделать wordpress безопасным для клиентов

Статья читается: 2 мин.

И снова здравствуйте!

Рад приветствовать тебя. подписчик или посетитель моего маленького блога zacompom.ru

Тема сегодняшнего дня будет скорее интересна веб-разработчикам, которые делаю сайты или блоги на ВордПресс. Когда вы администрируете сайт сами — это очень хорошо. Вы знаете что и где лежит, как все правильно добавить и оформить. А если ваш клиент сам хочет управлять своим сайтом или блогом? Вот об этом и пойдет сегодня речь.

WordPress позволил огромному количеству людей начать создавать собственный бизнес на веб-дизайне. Особенно, если у вас есть некоторые навыки для веб-разработки, основа — идеальный инструмент для зарабатывания денег, создавая веб-сайты для других.

В то же время WordPress является отличной стартовой CMS для клиентов. Простой, но мощный интерфейс позволяет им быстро и легко заботиться о своем сайте. Он дружелюбен к новичкам, прост в использовании и обучении, а также предлагает множество других преимуществ. Клиенты ценят возможность заботиться о своих собственных веб-сайтах.

Однако в то же время это создает риск. Поскольку бэкэнд WordPress настолько силен, он также обладает большим потенциалом для случайного нанесения вреда или полного удаления сайта. Случись что с неопытным клиентом, который не всегда уверен, что он делает, и для вас это обернется катастрофой.

Это особенно важно, потому что, в конце концов, вы, как специалист WordPress, скорее всего и получите нагоняй за все, что пойдет не так, или, по крайней мере, окажется плохо. По этой причине, передавая сайт, вам нужно серьезно подумать о том, сколько власти нужно дать этому клиента. Это особенно касается тех клиентов, которые будут поддерживать сайт самостоятельно.

К счастью, есть много хуков, какие вы можете сделать, чтобы другие не вмешивались в вашу тяжелую работу. В этой статье мы поговорим о том, как сделать WordPress безопасным для клиентов перед передачей сайта. Это важная тема, поэтому отнеситесь к ней очень серьезно!

Создание веб-сайтов на WordPress

Ниже вы узнаете, какую меру предосторожности вы можете предпринять, чтобы сделать бэкэнд WordPress безопасным для клиентов и использовать сценарии с нахудшим концом менее вероятными.

Создание информации о клиенте для входа в систему

Мы все знаем, что создание безопасных данных для входа в систему — это безопасность №1 в WordPress. Правильные имена пользователей и надежные пароли являются первой линией защиты от атак с использованием брутфорс (brute force) и других попыток взлома.

Тем не менее, пока вы это знаете, и я знаю, что клиент может этого не сделать. Фактически, клиент может быть склонен использовать тот же самый простой для запоминания (читай небезопасный) пароль, который он используют повсюду — если это им позволить.

Однако вам это не нужно. Совершенно разумно идти вперед и создавать безопасный пользовательский логин для них во время настройки сайта. Таким образом, они связаны с информацией, которую вы предоставляете, и вы знаете, что по крайней мере позаботитесь об этой части.

Управление ролями пользователей

В дополнение к безопасным данным для входа в систему, в зависимости от того, сколько вы будете делать обслуживание сайта для клиента, вы можете ограничить ему доступ к частям сайта. Именно для этого нужны роли пользователей.

Если все, что требуется клиенту, это изменение содержимого, роль пользователя в редакторе вполне достаточна. На самом деле, если это вообще возможно, всегда держите пользователя admin для себя. Большинство клиентов не нуждаются в роли админа, которую он предоставляет, поэтому нет необходимости рисковать им.

Однако, что если сайт не останется в ваших способных руках для обслуживания? В этом случае вы должны по-прежнему рекомендовать своим клиентам воздерживаться от использования учетной записи администратора, за исключением случаев, когда это абсолютно необходимо. Большую часть времени более ограниченная роль пользователя адекватна их повседневным потребностям и устраняет риск того, что они что-то натворят и испортят.

Кроме того, у вас также есть плагины для управления тем, что пользователи могут делать и видеть на сайте. К ним относятся редактор ролей пользователей и редактор меню администратора. Последний даже позволяет создавать пользовательские меню, указывающие на то, где вы хотите, включая внешние ссылки.

Оптимизируйте панель инструментов WordPress

Помимо пользовательских ролей и разрешений вы также можете настроить панель управления через functions.php. В коде, приведенном ниже, разрешается скрыть части главного меню WordPress. Таким образом, вы можете уберечь своих клиентов в рискованных местах.

function custom_remove_menu_pages() {
  // remove_menu_page( 'index.php' );                  //Это панель инструментов (Dashboard)
  // remove_menu_page( 'jetpack' );                    //Это плагин Jetpack (Jetpack*)
  // remove_menu_page( 'edit.php' );                   //Это посты (Posts)
  // remove_menu_page( 'upload.php' );                 //Это медиа-файлы (Media)
  // remove_menu_page( 'edit.php?post_type=page' );    //Это страницы (Pages)
  // remove_menu_page( 'edit-comments.php' );          //Это комментарии (Comments)
  // remove_menu_page( 'themes.php' );                 //Это внешний вид (Appearance)
  // remove_menu_page( 'plugins.php' );                //Это плагины (Plugins)
  // remove_menu_page( 'users.php' );                  //Это пользователи (Users)
  // remove_menu_page( 'tools.php' );                  //Это инструменты (Tools)
  // remove_menu_page( 'options-general.php' );        //Это настройки (Settings)
}
add_action( 'admin_menu', 'custom_remove_menu_pages' );

Просто удалите // перед строкой, которую вы хотите удалить из меню WordPress. Имейте в виду, что это только скрывает пункты меню, но не удаляет их. Теоретически, клиенты все еще могут получить доступ к этим меню по прямой ссылке.

Еще одна вещь, которую нужно сделать, и не только безопасность клиентов, а безопасность в целом — удаление темы WordPress и редактора плагинов. Мы уже говорили об этом, как взломать сайты WordPress (и что с этим делать). Это позволит хакерам получить доступ к важным файлам через бэкэнд WordPress.

Чтобы исключить редактор, просто добавьте следующую строку в wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Упростить визуальный редактор

Мне нравится редактор WordPress. Я лично считаю, что это одна из главных причин широкого успеха платформы. Это делает создание веб-страниц и сообщений простым (а иногда и очень простым), чем использование текстового процессора.

Большинство клиентов с которыми я работаю также понимают, как с этим работать. Тем не менее, редактор дает им доступ к параметрам, которых они должны полностью избегать, например, изменять цвет шрифта и выравнивание. Тема должна учитывать эти дизайнерские решения, а не индивидуальный пользователь — они являются одним из самых простых способов сделать хорошо построенный сайт дешевым и уродливым.

К счастью, есть плагины, такие как TinyMCE Advanced, которые позволяют вам контролировать, что есть и что недоступно в редакторе. Он позволяет добавлять и убирать функциональность по желанию и имеет дополнительные параметры, которые не входят в стандартный редактор (если ваш клиент нуждается в них).

Альтернативой является Client-proof Visual Editor. Этот плагин уменьшает параметры редактора до минимума, поэтому клиенты не могут попасть в более сложные вещи.

Наконец, вы также можете удалить отдельные кнопки и создать собственный редактор со следующим кодом:

function remove_tinymce_buttons( $buttons ) {

	//Удалить селектор цвета текста
	$remove = array( 'forecolor' );

	return array_diff( $buttons, $remove );
 }
add_filter( 'mce_buttons_2', 'remove_tinymce_buttons' );

Найдите здесь имена различных кнопок. Кроме того, если вы хотите больше узнать о настройке редактора WordPress, у нас есть целая статья по этой теме.

Предоставление подробных инструкций

Когда дело доходит до панели инструментов WordPress, вы можете не только убирать плюшки, но и добавлять. Это особенно полезно, когда вы используете его, чтобы оставить инструкции для клиента (в дополнение к разделу справки, который поставляется с WordPress из коробки).

Один из способов сделать это — добавить полезные инструменты в панель инструментов. Здесь вы можете оставить любую информацию, которую, по вашему мнению, может понадобиться клиенту во время запуска своего сайта, включая ссылки на видео или внешние источники. Это отличное обслуживание клиентов и такое же простое, как добавление следующего кода в functions.php:

// Добавление пользовательского виджета панели инструментов
// Функция, которая выводит содержимое виджета панели инструментов
function custom_dashboard_widget_text( $post, $callback_args ) {
    echo "
Потерял? Помните, что вы можете получить доступ к учебному пособию для вашего сайта WordPress по <a href='http://example.com/training-manual'>этой ссылке</a>.
";
}

function add_dashboard_widgets() {
    wp_add_dashboard_widget('dashboard_widget', 'Dear Client', 'custom_dashboard_widget_text');
}

// Регистрируем новый виджет панели управления
add_action('wp_dashboard_setup', 'add_dashboard_widgets' );

Вот как это выглядит:

Следующий шаг — добавление внутренней помощи WordPress. Это можно сделать с помощью следующего кода. Мы используем страницу виджетов для этого примера.

// Добавить текст справки на страницу виджетов
 
function custom_help_tab() {
 
$screen = get_current_screen();

    if ($screen->id == "widgets" ) {
        $screen->add_help_tab( array(
            'id' => 'post',
            'title' => ( 'Заголовок вкладки справки' ),
            'content' => '<strong>Контекстная помощь</strong>
                <ul>
                    <li>Может включать элементы списка</li>
                    <li>Может включать элементы списка</li>
                    <li>Может включать элементы списка</li>>
                </ul>'
            ) );
    }
}

add_action( 'admin_head', 'custom_help_tab');

Вот результат:

Наконец, вы можете подумать о создании всего руководства о том, как использовать клиентский сайт. Это дает вам возможность дать более подробные инструкции и рассказать о вещах, для которых требуется больше места. Вы даже можете создать один онлайн (особенно если у вас есть несколько клиентов, которым все нужно одно и то же) и предоставить ссылку внутри панели инструментов. Кроме того, вы можете отправить его в формате PDF или в виде документа Google.

Воспользуйтесь преимуществами плагинов с обязательным использованием

Обязательные плагины иногда новы даже для ветеранов WordPress. Это плагины, которые автоматически активируются и не могут быть отключены случайно. Они идеально подходят для кода, который необходим для правильной работы сайта, и в противном случае он окажется в функции functions.php (где он работает только до тех пор, пока тема, о которой идет речь, активна). Это идеальное место для кода, который клиенты никогда не должны получать.

Чтобы создать обязательные плагины, создайте каталог с именем mu-plugins внутри wp-контента и разместите там свои файлы плагинов. Поскольку для их использования есть определенные соображения, вы лучше всего читаете о плагинах обязательного использования на WordPress Codex.

Настройка систем безопасности

Если ваша работа с клиентом не будет продолжаться, важно оставить системы, которые будут заботиться о сайте, даже после того, как вы перестанете быть рядом.

Первый шаг — безопасность. Хороший плагин безопасности WordPress может быть тихим хранителем сайта на вашем месте. Это может заставить клиентов использовать надежные пароли, отбивать атаки брутфорс (brute force) и в целом держать сайт в безопасности. Кроме того, у вас есть куча на выбор.

Второй шаг — создать автоматическую систему резервного копирования (что бы вы ни делали, независимо от того, продолжаете ли вы и клиент работать вместе). При выборе решения убедитесь, что он поставляется с автоматическим расписанием резервного копирования и не полагается на кого-либо, поддерживающего сайт вручную. В противном случае это не стоит того.

Ознакомьтесь с этой статьей, где есть несколько отличных вариантов.

Отслеживайте, что делают ваши клиенты

Наконец, если вас вызвал безумный клиент, которому удалось снести свой сайт и хочет, чтобы вы вернули его, последнее, что вы хотите сделать, — это участвовать в догадках о том, что пошло не так.

К счастью, вам это не обязательно. С помощью Stream вы можете отслеживать, что делают зарегистрированные пользователи на сайте. От беспорядка с постами и страницами, обновления ядра WordPress к редактору темы — вы сможете точно узнать, кто что сделал и когда. Это значительно облегчит определение проблемы, из-за которой возникает проблема.

Плагин также поддерживает ряд популярных плагинов, таких как Yoast SEO и Advanced Custom Fields.

Последние мысли

Создание доказательств клиента WordPress может показаться утомительным, но является необходимым. По этой причине принятие мер по защите вашей работы от чрезмерно усердных клиентов имеет решающее значение.

Выше мы показали вам несколько способов сделать бэкэнд WordPress более безопасным для клиентов. Создавайте безопасные логины, оптимизируйте панель инструментов WordPress и упрощайте редактор, оставляя подробные инструкции и настраивая системы безопасности, вы можете многое сделать. Таким образом, вы можете легко успокоиться, чтобы сайт оставался неповрежденным и онлайн, даже когда вы не рядом, чтобы позаботиться об этом.

Думаю, вам полезна была эта статья. Я и в будущем буду освещать вопросы, связанные с клиентами. Так что — не забывайте подписываться на обновления блога.

С уважением ко всем, ваш Юрич!

Вам понравилась статья?
плохохорошо (+2 баллов, 1 оценок)
Загрузка...
Обо мне
Юрич:
Занимаюсь созданием сайтов на ВордПресс более 5 лет. Работал в нескольких веб-студиях, да и сейчас работаю. Иногда подрабатываю на фрилансе, как на нашем так и на зарубежном. Везде зарекомендовал себя очень хорошо. Если нужен сайт на вордресс, шаблон для сайта или лендинг - не стесняйтесь - пишите. Рад буду помочь!