Support » Allgemeine Fragen » Neuen Benutzer anlegen f√ľr Coder

  • Gel√∂st SocietyBlue

    (@societyblue)


    Hallo ūüôā

    Ich m√∂chte einen Coder (Freelancer √ľber Fiverr) f√ľr einige wichtige Ver√§nderungen auf meiner Website anheuern.

    Ich w√ľsste jetzt nicht welche Rolle (Neuer Benutzer) ich ihm geben soll und dabei gr√∂√ütm√∂gliche Kontrolle behalte, weil gelesen:

    So oder so: Nachdem ein Benutzer angemeldet ist, kann er jederzeit das Passwort im eigenen Profil √§ndern. Wenn Sie das nicht w√ľnschen, muss ein zus√§tzliches Plug-in installiert werden.

    Welches Plugin?

    Beziehungsweise: Was ist Best Practice?

    Vielen Dank im Voraus

    Die Seite, f√ľr die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 22)
  • wichtige Ver√§nderungen

    kann man ohne Adminrechte vielleicht per FTP machen, nur ohne das Recht an Theme, Plugins zu schrauben werden keine wichtigen √Ąnderungen gehen.

    Mit Adminrechten kann er aber alles machen. Eine Sache des Vertrauens halt.

    Ich sehe da auf die Schnelle nur die M√∂glichkeit, einen Benutzer anlegen, den man mittels des Plugins „User Role Editor“ steuert.
    Wei√ü ja nicht, was ge√§ndert werden soll? Plugins, Theme, Designe … Je nachdem kann man dann evtl. den ben√∂tigten Bereich freigeben?

    Weiters w√ľrde ich jedenfalls vorher selbst ein wiederherstellbares Backup machen, dieses lokal lagern. (ich bevorzuge daf√ľr „Duplicator„, der erstellt eine lauff√§hige Kopie der ganzen Site)
    Sollte der dich besche…, alles l√∂schen, damit neu anlegen, alle Logins √§ndern.

    Als ewiger WP-Lehrling kann ich diese, meine Meinung nicht als „Best Practice“ bezeichnen, aber vielleicht hilft dir das schon mal, bis die Profis hier kommen.

    Thread-Ersteller SocietyBlue

    (@societyblue)

    Danke Pezi. Ja, genau, es geht um Vertrauen. Werde dann bei Fiverr doch lieber einen Deutschen beauftragen. Etwas teurer, gibt mir aber das Gef√ľhl einer h√∂heren Sichrheit. Auch wegen besserer Kommunikation als mit Indern und Pakistani (Erfahrungssache…)

    Backups werden √ľber Blogvault gespeichert. Die Zugangsdaten sind nur in Lastpass – oder kann man da in WP irgendwas auslesen?

    Ja, sind √Ąnderungen am Design und auch strukturelle √Ąnderungen. Coder braucht generell (so gelesen) Zugang zu WP und C-Panel.

    Hallo,
    in der Regel ben√∂tigt der Entwickler einen Administrator-Zugang in WordPress und einen (S)FTP-Zugang. Die Zugangsdaten f√ľr das cPanel braucht der Entwickler in der Regel nicht.
    Wichtig w√§re in der Tat die Reputation des Entwicklers. Insofern w√ľrde ich – auch im Hinblick auf die Sprache – in der Tat eher einen deutschsprachigen Entwickler suchen.
    Datensicherungen sollten in jedem Fall immer gemacht werden – auch wenn kein Entwickler gerade deine Seite bearbeitet.
    Viele Gr√ľ√üe
    Hans-Gerd

    Blogvault … Lastpass

    Kenne ich beides nicht.
    Egal. Das beste Backup ist nur eins, welches auf Restore Eignung getestet ist. Auch egal wo es lagert, wie es gesichert ist: Hauptsache nicht (nur) am gleichen Server.

    Ich w√ľrde auch DE empfehlen. (Denn meine unterirdischen Englischkenntnisse reichen evtl. f√ľr’s Junkfood bestellen im Urlaub, aber nie f√ľr technische Kommunikation.)

    Moderator Bego Mario Garde

    (@pixolin)

    Es gibt auch Plugins, mit denen f√ľr solche Zwecke ein tempor√§res Administratoren-Account eingerichtet werden kann, z.B. Temporary Login Without Password oder Controlled Admin Access. Bei beiden Plugins kann ein Ablaufdatum vorgegeben werden, nach dem das Account automatisch den Zugriff verliert.

    Administratoren-Rechte zu vergeben bedeutet aber auch immer einen gro√üen Vertrauensvorschuss, weil Administratoren alle m√∂glichen Skripte anlegen k√∂nnen, auch Backdoors f√ľr einen sp√§teren, unauthorisierten Zugriff.

    @pezi Blogvault ist eine Cloud-L√∂sung f√ľr Backups, LastPass ein webbasierter Passwortmanager-Online-Dienst, der allerdings schon mehrfach Sicherheitsl√ľcken hatte.

    temporäres Administratoren-Account

    Echt, cool!

    Blogvault: ok, dann ist es getrennt, passt.

    LastPass: Online PW Manager sind gar nicht so meins. Hab einen lokalen, seit ewig hochzuverlässig.

    Aber, @societyblue: Das beste Backup nutzt nix, wenn es nicht wenigstens einmal auf seine Eignung zur Wiederherstellung getestet wurde! Aber am besten von dir selbst durchgef√ľhrt.

    Thread-Ersteller SocietyBlue

    (@societyblue)

    Vielen Dank @bego Mario Garde f√ľr die Plugins. Passt gut, weil die Gigs (vergebene Aufgaben) bei Fiverr haben selbst ein definiertes Ablaufdatum.

    @pezi ja, die Backups musste ich notgedrungenerweise bei Blogvault schon testen. Ich vergebe dem Online-Dienst zusammen mit seinen anderen Funktionen (u.a. Staging) und sehr gutem Support 10/10 (soll keine Werbung sein).

    Betr. der Sache mit der Möglichkeit Scripte und Backdoors anzulegen. Könnte ein befreundeter (hoher Stundenlohn) sehr guter Coder das herausfinden?

    Auch gut zu wissen, dass Lastpass Sicherheitsl√ľcken hatte. Was w√§re deine „perfekte“ Alternative?

    Danke nochmals f√ľr eure wirklich tollen Antworten.

    Moderator Angelika Reisiger

    (@la-geek)

    Wenn es um eine so heikle Angelegenheit geht, w√ľrde ich nicht Fiverr bem√ľhen, sondern Freelancer/Agenturen mit langj√§hriger Reputation, idealerweise aus Deutschland und Vertrag abschlie√üen, das vereinfacht es hinsichtlich Gew√§hrleistung.

    Wenn nur ein Plugin entwickelt oder weiterentwickelt werden soll, bzw. √Ąnderungen am Theme kannst du auch ein Backup deiner Website zur Verf√ľgung stellen.

    Ist nicht so ganz einfach, wenn man damit nicht vertraut ist. Du m√ľsstest diese Website erst spiegeln, also woanders neu installieren/√ľbertragen.

    Nun √§nderst du auf dieser gespiegelten Website den Administrator: Neuen Admin anlegen, alten Admin l√∂schen und alles vom alten Admin auf den neuen √ľbertragen (wird w√§hrend des L√∂schvorgangs abgefragt) und auch an die E-Mail-Adressen denken z. B. unter Einstellungen -> Allgemein oder in Formularen, Plugins wo du sie evtl. eingetragen hast. Da du einen Shop betreibst, solltest du vor der √úbergabe an den Entwickler alle Kundendaten aus der Datenbank entfernen, oder einen ADV mit ihm abschlie√üen.

    Nun erstellst du von dieser „bereinigten“ Installation ein Backup f√ľr den Entwickler.

    Zum Schluss noch die Zugangsdaten entfernen (.htaccess-Datei löschen, Daten aus der wp-config.php entfernen).

    Oder du vertraust dem qualifizierten Freelancer bzw. Programmierer einer Agentur. Wenn du √∂fters etwas √§nderst, solltest du eine l√§ngere Gesch√§ftsbeziehung zu einer Person aufbauen, so w√ľrde ich das jedenfalls machen und nicht immer wieder neu bei Fiverr suchen.

    Endeffektlich sind die paar Euro mehr gut investiert, ein Schaden durch Hacks oder Datenmissbrauch kann locker das Hundertfache an Schaden anrichten und bei einem Shop sowieso.

    Moderator Bego Mario Garde

    (@pixolin)

    Betr. der Sache mit der Möglichkeit Scripte und Backdoors anzulegen. Könnte ein befreundeter (hoher Stundenlohn) sehr guter Coder das herausfinden?

    Du kannst mit Linux-Tools (z.B. diff -qr dir1 dir2) einen Abgleich von Core-, Template- und Plugin-Dateien mit den Originalen machen und siehst so, ob in den Dateien √Ąnderungen vorgenommen wurden. Optimal w√§re, wenn der Dienstleister dokumentiert, wo er welche √Ąnderungen vorgenommen hat. Du findest dann rasch heraus, ob dar√ľber hinaus Dinge ver√§ndert wurden.

    Da Malware-Code gerne mit base64-encoding versteckt wird, k√∂nntest du auch gezielt nach base64_decode suchen. Die Funktion wird aber (aus anderen Gr√ľnden) auch im WordPress-Core und Plugins wie z.B. Gutenberg oder Elementor verwendet. Also nicht gleich in Panik verfallen (WordPress l√∂schen, Haus verkaufen, Auswanderungsantrag stellen ‚Ķ).

    Lastpass Sicherheitsl√ľcken ‚Ķ Was w√§re deine ‚Äěperfekte‚Äú Alternative?

    Perfekte Sicherheit gibt es nicht.

    Ich nutze selber BitWarden und verwende wo immer m√∂glich 2-Faktor-Authentifikation. Aber das ist hier off topic, weshalb ich auf die Gr√ľnde nicht weiter eingehen m√∂chte.

    Thread-Ersteller SocietyBlue

    (@societyblue)

    Vielen Dank Angelika!

    Ist kein Shop, ist `ne Affiliate Seite. Ja, eine „richtige“ Freelancer Agentur w√§re mir auch lieber, Budget ist aber begrenzt..

    Mal zu Fiverr: Kleine Aufgaben erledigen zu lassen war nie ein Problem. Missverständnisse mit Indern, Pakistani waren durch deren (teilweise) nicht sehr gutes Englisch gegeben.

    Letzter Gig bei Fiverr durch einen deutschen erledigen lassen. 30‚ā¨/h, super freundlich, sehr kommunikativ und hat mit Sicherheit auch gute Skills. 2 Gigs an einer statischen Website (PHP) sehr gut gel√∂st.

    Aber dann: Neuen Gig erstellt, wurde angenommen. Nächster Tag dann 200 Produkte verschwunden, Strukturen wurden teilweise zerstört, Backups (bei dropmysite) funktionieren nicht mehr.

    Antwort: „Tut mir leid, habe da gestern irgendwo versehentlich einen kleinen Fehler gemacht und etwas gel√∂scht“

    F√ľr mich: Seite tot! Zur√ľck zu WordPress + cooles Theme und Neuaufbau. 2.000 Produkte + Dutzende von Texten, etc. neu einpflegen…

    Also ich finde das Thema an sich und die Erlebnisberichte vom TO bez. Freelancer, Vertrauen, … echt interessant.
    (Da ich lieber selber herumschraube (bis es kracht und ich dann hier aufschlage) habe ich mit dem noch nie beschäftigt.)

    Danke auch f√ľr die Wertung von Blogvault: Das guck ich mir mal an.

    ‚Äěperfekte‚Äú Alternative?

    Also ich nehme „AMP“ als PW-Manager.

    kannst du auch ein Backup deiner Website zur Verf√ľgung stellen

    Super Idee, Angelika!
    Fast so gut wie meine (s. AW 1), gell ūüėČ

    Zur√ľck zu WordPress + cooles Theme und Neuaufbau. 2.000 Produkte + Dutzende von Texten, etc. neu einpflegen‚Ķ

    OMG!
    Also damals w√§re eine funktionierende Kopie schon hilfreich gewesen …

    Auswanderungsantrag stellen

    , zuuuusp√§t. Angesichts des nahenden Herbstes wandere ich im Kopf schon wieder in die Karibik aus …

    Moderator Angelika Reisiger

    (@la-geek)

    @pezi

    kannst du auch ein Backup deiner Website zur Verf√ľgung stellen

    damit meinte ich ein von Zugangs- sowie datenschutzrelevanten Daten bereinigtes Backup, das dem Entwickler zur Verf√ľgung gestellt wird, damit dieser das auf eigenen Servern installiert und dort dann weiterentwickelt.

    Kommt aber auf die Anforderungen an die Entwicklung an. Abschlie√üend sollte man das neue/ge√§nderte Plugin oder Theme, das man als Auftragsarbeit vom Entwickler erh√§lt, pr√ľfen, wie Bego Mario ja bereits erkl√§rt hatte.

    damit meinte ich ein von Zugangs- sowie datenschutzrelevanten Daten bereinigtes Backup,

    klar, weisse Bescheid. Eine tolle Idee!

    Moderator Angelika Reisiger

    (@la-geek)

    klar, weisse Bescheid. Eine tolle Idee!

    Ich bekomme ja von Kunden immer die Zugangsdaten, ist ja auch okay in diesem Fall.

    Aber wenn ich im Dialog mit Entwicklern bin, weil ein Plugin nicht funktioniert (oder Theme) und das offensichtlich ein Bug ist, dann fragen die Entwickler per E-Mail oder die Supporter im den Plugin-/Theme-Foren (damit meine ich jetzt nicht die WordPress-Support-Foren f√ľr Plugins und Themes) stereotyp: „Can you provide us with your login details for your website, that we can have a look“?

    Und ich antworte genauso stereotyp: „I do never give login credentials to anyone.“ Dann biete ich ein verschlanktes Backup der entsprechenden Website an (da entferne ich auch noch andere Themes, Plugins; Inhalte. Fotos etc. und zwar soweit bis das Problem noch bestehen bleibt). Von meinem pers√∂nlichen Sicherheitsbed√ľrfnist abgesehen: Ich d√ľrfte auch gar keinen Zugang weitergeben, denn ich erstelle Websites f√ľr Kunden immer erst in einer gesch√ľtzten Umgebung auf meinem Webspace und die enthalten halt auch schon mal datenschutzrelevante Daten.

    Kurzum ‚Äď von daher ist das mit dem Backup f√ľr mich in der Vergangenheit schon ab und zu eine Option zur Bugbeseitigung gewesen ;-). Genug Off-topic, sorry daf√ľr ūüėÄ

    OT … jo mei, aber interessante Einblicke in die Webworker Freelancer Arbeit – Danke!

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 22)