• Gelöst SocietyBlue

    (@societyblue)


    Hallo 🙂

    Ich möchte einen Coder (Freelancer über Fiverr) für einige wichtige Veränderungen auf meiner Website anheuern.

    Ich wüsste jetzt nicht welche Rolle (Neuer Benutzer) ich ihm geben soll und dabei größtmögliche Kontrolle behalte, weil gelesen:

    So oder so: Nachdem ein Benutzer angemeldet ist, kann er jederzeit das Passwort im eigenen Profil ändern. Wenn Sie das nicht wünschen, muss ein zusätzliches Plug-in installiert werden.

    Welches Plugin?

    Beziehungsweise: Was ist Best Practice?

    Vielen Dank im Voraus

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 22)
  • Anonymous User 14429768

    (@anonymized-14429768)

    wichtige Veränderungen

    kann man ohne Adminrechte vielleicht per FTP machen, nur ohne das Recht an Theme, Plugins zu schrauben werden keine wichtigen Änderungen gehen.

    Mit Adminrechten kann er aber alles machen. Eine Sache des Vertrauens halt.

    Ich sehe da auf die Schnelle nur die Möglichkeit, einen Benutzer anlegen, den man mittels des Plugins „User Role Editor“ steuert.
    Weiß ja nicht, was geändert werden soll? Plugins, Theme, Designe … Je nachdem kann man dann evtl. den benötigten Bereich freigeben?

    Weiters würde ich jedenfalls vorher selbst ein wiederherstellbares Backup machen, dieses lokal lagern. (ich bevorzuge dafür „Duplicator„, der erstellt eine lauffähige Kopie der ganzen Site)
    Sollte der dich besche…, alles löschen, damit neu anlegen, alle Logins ändern.

    Als ewiger WP-Lehrling kann ich diese, meine Meinung nicht als „Best Practice“ bezeichnen, aber vielleicht hilft dir das schon mal, bis die Profis hier kommen.

    Thread-Starter SocietyBlue

    (@societyblue)

    Danke Pezi. Ja, genau, es geht um Vertrauen. Werde dann bei Fiverr doch lieber einen Deutschen beauftragen. Etwas teurer, gibt mir aber das Gefühl einer höheren Sichrheit. Auch wegen besserer Kommunikation als mit Indern und Pakistani (Erfahrungssache…)

    Backups werden über Blogvault gespeichert. Die Zugangsdaten sind nur in Lastpass – oder kann man da in WP irgendwas auslesen?

    Ja, sind Änderungen am Design und auch strukturelle Änderungen. Coder braucht generell (so gelesen) Zugang zu WP und C-Panel.

    Hallo,
    in der Regel benötigt der Entwickler einen Administrator-Zugang in WordPress und einen (S)FTP-Zugang. Die Zugangsdaten für das cPanel braucht der Entwickler in der Regel nicht.
    Wichtig wäre in der Tat die Reputation des Entwicklers. Insofern würde ich – auch im Hinblick auf die Sprache – in der Tat eher einen deutschsprachigen Entwickler suchen.
    Datensicherungen sollten in jedem Fall immer gemacht werden – auch wenn kein Entwickler gerade deine Seite bearbeitet.
    Viele Grüße
    Hans-Gerd

    Anonymous User 14429768

    (@anonymized-14429768)

    Blogvault … Lastpass

    Kenne ich beides nicht.
    Egal. Das beste Backup ist nur eins, welches auf Restore Eignung getestet ist. Auch egal wo es lagert, wie es gesichert ist: Hauptsache nicht (nur) am gleichen Server.

    Ich würde auch DE empfehlen. (Denn meine unterirdischen Englischkenntnisse reichen evtl. für’s Junkfood bestellen im Urlaub, aber nie für technische Kommunikation.)

    Es gibt auch Plugins, mit denen für solche Zwecke ein temporäres Administratoren-Account eingerichtet werden kann, z.B. Temporary Login Without Password oder Controlled Admin Access. Bei beiden Plugins kann ein Ablaufdatum vorgegeben werden, nach dem das Account automatisch den Zugriff verliert.

    Administratoren-Rechte zu vergeben bedeutet aber auch immer einen großen Vertrauensvorschuss, weil Administratoren alle möglichen Skripte anlegen können, auch Backdoors für einen späteren, unauthorisierten Zugriff.

    @pezi Blogvault ist eine Cloud-Lösung für Backups, LastPass ein webbasierter Passwortmanager-Online-Dienst, der allerdings schon mehrfach Sicherheitslücken hatte.

    Anonymous User 14429768

    (@anonymized-14429768)

    temporäres Administratoren-Account

    Echt, cool!

    Blogvault: ok, dann ist es getrennt, passt.

    LastPass: Online PW Manager sind gar nicht so meins. Hab einen lokalen, seit ewig hochzuverlässig.

    Aber, @societyblue: Das beste Backup nutzt nix, wenn es nicht wenigstens einmal auf seine Eignung zur Wiederherstellung getestet wurde! Aber am besten von dir selbst durchgeführt.

    Thread-Starter SocietyBlue

    (@societyblue)

    Vielen Dank @bego Mario Garde für die Plugins. Passt gut, weil die Gigs (vergebene Aufgaben) bei Fiverr haben selbst ein definiertes Ablaufdatum.

    @pezi ja, die Backups musste ich notgedrungenerweise bei Blogvault schon testen. Ich vergebe dem Online-Dienst zusammen mit seinen anderen Funktionen (u.a. Staging) und sehr gutem Support 10/10 (soll keine Werbung sein).

    Betr. der Sache mit der Möglichkeit Scripte und Backdoors anzulegen. Könnte ein befreundeter (hoher Stundenlohn) sehr guter Coder das herausfinden?

    Auch gut zu wissen, dass Lastpass Sicherheitslücken hatte. Was wäre deine „perfekte“ Alternative?

    Danke nochmals für eure wirklich tollen Antworten.

    Wenn es um eine so heikle Angelegenheit geht, würde ich nicht Fiverr bemühen, sondern Freelancer/Agenturen mit langjähriger Reputation, idealerweise aus Deutschland und Vertrag abschließen, das vereinfacht es hinsichtlich Gewährleistung.

    Wenn nur ein Plugin entwickelt oder weiterentwickelt werden soll, bzw. Änderungen am Theme kannst du auch ein Backup deiner Website zur Verfügung stellen.

    Ist nicht so ganz einfach, wenn man damit nicht vertraut ist. Du müsstest diese Website erst spiegeln, also woanders neu installieren/übertragen.

    Nun änderst du auf dieser gespiegelten Website den Administrator: Neuen Admin anlegen, alten Admin löschen und alles vom alten Admin auf den neuen übertragen (wird während des Löschvorgangs abgefragt) und auch an die E-Mail-Adressen denken z. B. unter Einstellungen -> Allgemein oder in Formularen, Plugins wo du sie evtl. eingetragen hast. Da du einen Shop betreibst, solltest du vor der Übergabe an den Entwickler alle Kundendaten aus der Datenbank entfernen, oder einen ADV mit ihm abschließen.

    Nun erstellst du von dieser „bereinigten“ Installation ein Backup für den Entwickler.

    Zum Schluss noch die Zugangsdaten entfernen (.htaccess-Datei löschen, Daten aus der wp-config.php entfernen).

    Oder du vertraust dem qualifizierten Freelancer bzw. Programmierer einer Agentur. Wenn du öfters etwas änderst, solltest du eine längere Geschäftsbeziehung zu einer Person aufbauen, so würde ich das jedenfalls machen und nicht immer wieder neu bei Fiverr suchen.

    Endeffektlich sind die paar Euro mehr gut investiert, ein Schaden durch Hacks oder Datenmissbrauch kann locker das Hundertfache an Schaden anrichten und bei einem Shop sowieso.

    Betr. der Sache mit der Möglichkeit Scripte und Backdoors anzulegen. Könnte ein befreundeter (hoher Stundenlohn) sehr guter Coder das herausfinden?

    Du kannst mit Linux-Tools (z.B. diff -qr dir1 dir2) einen Abgleich von Core-, Template- und Plugin-Dateien mit den Originalen machen und siehst so, ob in den Dateien Änderungen vorgenommen wurden. Optimal wäre, wenn der Dienstleister dokumentiert, wo er welche Änderungen vorgenommen hat. Du findest dann rasch heraus, ob darüber hinaus Dinge verändert wurden.

    Da Malware-Code gerne mit base64-encoding versteckt wird, könntest du auch gezielt nach base64_decode suchen. Die Funktion wird aber (aus anderen Gründen) auch im WordPress-Core und Plugins wie z.B. Gutenberg oder Elementor verwendet. Also nicht gleich in Panik verfallen (WordPress löschen, Haus verkaufen, Auswanderungsantrag stellen …).

    Lastpass Sicherheitslücken … Was wäre deine „perfekte“ Alternative?

    Perfekte Sicherheit gibt es nicht.

    Ich nutze selber BitWarden und verwende wo immer möglich 2-Faktor-Authentifikation. Aber das ist hier off topic, weshalb ich auf die Gründe nicht weiter eingehen möchte.

    Thread-Starter SocietyBlue

    (@societyblue)

    Vielen Dank Angelika!

    Ist kein Shop, ist `ne Affiliate Seite. Ja, eine „richtige“ Freelancer Agentur wäre mir auch lieber, Budget ist aber begrenzt..

    Mal zu Fiverr: Kleine Aufgaben erledigen zu lassen war nie ein Problem. Missverständnisse mit Indern, Pakistani waren durch deren (teilweise) nicht sehr gutes Englisch gegeben.

    Letzter Gig bei Fiverr durch einen deutschen erledigen lassen. 30€/h, super freundlich, sehr kommunikativ und hat mit Sicherheit auch gute Skills. 2 Gigs an einer statischen Website (PHP) sehr gut gelöst.

    Aber dann: Neuen Gig erstellt, wurde angenommen. Nächster Tag dann 200 Produkte verschwunden, Strukturen wurden teilweise zerstört, Backups (bei dropmysite) funktionieren nicht mehr.

    Antwort: „Tut mir leid, habe da gestern irgendwo versehentlich einen kleinen Fehler gemacht und etwas gelöscht“

    Für mich: Seite tot! Zurück zu WordPress + cooles Theme und Neuaufbau. 2.000 Produkte + Dutzende von Texten, etc. neu einpflegen…

    Anonymous User 14429768

    (@anonymized-14429768)

    Also ich finde das Thema an sich und die Erlebnisberichte vom TO bez. Freelancer, Vertrauen, … echt interessant.
    (Da ich lieber selber herumschraube (bis es kracht und ich dann hier aufschlage) habe ich mit dem noch nie beschäftigt.)

    Danke auch für die Wertung von Blogvault: Das guck ich mir mal an.

    „perfekte“ Alternative?

    Also ich nehme „AMP“ als PW-Manager.

    kannst du auch ein Backup deiner Website zur Verfügung stellen

    Super Idee, Angelika!
    Fast so gut wie meine (s. AW 1), gell 😉

    Zurück zu WordPress + cooles Theme und Neuaufbau. 2.000 Produkte + Dutzende von Texten, etc. neu einpflegen…

    OMG!
    Also damals wäre eine funktionierende Kopie schon hilfreich gewesen …

    Auswanderungsantrag stellen

    , zuuuuspät. Angesichts des nahenden Herbstes wandere ich im Kopf schon wieder in die Karibik aus …

    @pezi

    kannst du auch ein Backup deiner Website zur Verfügung stellen

    damit meinte ich ein von Zugangs- sowie datenschutzrelevanten Daten bereinigtes Backup, das dem Entwickler zur Verfügung gestellt wird, damit dieser das auf eigenen Servern installiert und dort dann weiterentwickelt.

    Kommt aber auf die Anforderungen an die Entwicklung an. Abschließend sollte man das neue/geänderte Plugin oder Theme, das man als Auftragsarbeit vom Entwickler erhält, prüfen, wie Bego Mario ja bereits erklärt hatte.

    Anonymous User 14429768

    (@anonymized-14429768)

    damit meinte ich ein von Zugangs- sowie datenschutzrelevanten Daten bereinigtes Backup,

    klar, weisse Bescheid. Eine tolle Idee!

    klar, weisse Bescheid. Eine tolle Idee!

    Ich bekomme ja von Kunden immer die Zugangsdaten, ist ja auch okay in diesem Fall.

    Aber wenn ich im Dialog mit Entwicklern bin, weil ein Plugin nicht funktioniert (oder Theme) und das offensichtlich ein Bug ist, dann fragen die Entwickler per E-Mail oder die Supporter im den Plugin-/Theme-Foren (damit meine ich jetzt nicht die WordPress-Support-Foren für Plugins und Themes) stereotyp: „Can you provide us with your login details for your website, that we can have a look“?

    Und ich antworte genauso stereotyp: „I do never give login credentials to anyone.“ Dann biete ich ein verschlanktes Backup der entsprechenden Website an (da entferne ich auch noch andere Themes, Plugins; Inhalte. Fotos etc. und zwar soweit bis das Problem noch bestehen bleibt). Von meinem persönlichen Sicherheitsbedürfnist abgesehen: Ich dürfte auch gar keinen Zugang weitergeben, denn ich erstelle Websites für Kunden immer erst in einer geschützten Umgebung auf meinem Webspace und die enthalten halt auch schon mal datenschutzrelevante Daten.

    Kurzum – von daher ist das mit dem Backup für mich in der Vergangenheit schon ab und zu eine Option zur Bugbeseitigung gewesen ;-). Genug Off-topic, sorry dafür 😀

    Anonymous User 14429768

    (@anonymized-14429768)

    OT … jo mei, aber interessante Einblicke in die Webworker Freelancer Arbeit – Danke!

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 22)
  • Das Thema „Neuen Benutzer anlegen für Coder“ ist für neue Antworten geschlossen.