записки разработчика / блог WordPress-феи

Что знает о вас ваш веб-разработчик?

Представьте, что у вас сезонная простуда и нужна помощь врача. Но вы не пошли на прием в поликлинику, а пригласили врача домой и он у вас живет пару недель. За это время он узнает, где в вашей квартире бардак, куда вы бросаете ключи, каким тоном разговариваете с домочадцами и что смотрите по телевизору… Все это не имеет отношения к вашей простуде — но не узнать это невозможно, потому что врач ночует на вашем диване, умывается в вашей ванной и пьет кофе на вашей кухне.

Примерно так выглядит история с заказом сайта или блога у веб-разработчика. Вы приглашаете постороннего человека в свое виртуальное пространство и даете ему доступ… к чему, собственно?

Какие доступы понадобятся при строительстве сайта?

  • Управление доменом — логин и пароль, которые вы получили при покупке домена.
  • Хостинг — логин и пароль. Некоторые хостинги делят контакты на административные и технические, в этом случае достаточно технического логина-пароля. Если на вашем хостинге есть другие сайты (может, не ваши вовсе), разработчик получит доступ и к ним тоже.
  • Аналитика для сайта. Google Analytics, Google Search Console подключаются через ваш аккаунт в Gmail. Яндекс.Метрика, Яндекс.Вебмастер — через аккаунт на Яндексе.
  • Почта типа имя@вашдомен.com. Настройка такого ящика зависит от вашего хостинга. Многие хостинги используют движок Яндекса для почты. В таком случае, чтобы завести вам адрес на вашем домене, нужен логин и пароль вашего аккаунта на Яндексе.
  • Переадресация почты типа имя@вашдомен.com. Неудобно плодить много адресов, поэтому «официальный» адрес часто перенаправляют на ваш привычный. Чтобы настроить эту переадресацию, разработчику может понадобиться доступ в ваш обычный почтовый ящик — на mail.ru, например.
  • Настройка псевдонима типа имя@вашдомен.com. Если вы хотите, скажем, отвечать на письма в своем аккаунте Gmail, но чтобы адрес отправителя выглядел как имя@вашдомен.com, разработчику снова нужен доступ в ваш Gmail.
  • Комментарии на сайте с возможностью авторизации через соцсети. Популярные варианты это Disqus и Hypercomments. Disqus можно зарегистрировать на любой ящик, но регистрацию понадобится подтвердить (читайте — нужен доступ в вашу почту). Hypercoomments привязывается через Gmail.
  • Резервное копирование в облако. Доступ в ваш Dropbox или Google.Drive, или другое облако.
  • Лента или виджет Инстаграма на сайте. Логин и пароль от вашего аккаунта.
  • Купленная вами тема оформления для сайта. По ситуации — письмо со ссылкой для скачивания шаблона, или доступ в аккаунт на сайте покупки.
  • Facebook pixel для отслеживания ваших кампаний и продаж. Настройка требует доступа в ваш Facebook.
  • Если вы переносите старый блог с другой платформы — нужен логин и пароль от вашего старого блога.
  • Рассылка. Чтобы настроить вам рассылку, нужен доступ в ваш аккаунт на сервисе рассылки (видны ваши подписчики, кампании, настройки).
  • Любые другие сервисы, требующие регистрации: всплывающие окна для сбора адресов подписчиков, платные плагины — доступ к вашим аккаунтам.
  • Прием оплаты через сайт. Тут даже перечислять долго — но разработчику придется поженить ваш сайт с платежной системой, и в процессе неоднократно войти в ваш аккаунт в платежной системе (там видно ваши продажи, покупателей и т.п.).
  • И т.д.

Но я доверяю своему разработчику!

Это прекрасно — потому что без доверия и взаимного уважения хороший проект не сделать. Я ни в коем случае не намекаю, что ваш разработчик воспользуется вашими личными данными в корыстных целях.

Но… Даже с лучшими из нас могут случиться плохие вещи — взлом или кража компьютера, потеря телефона, в котором есть доступ к почте и вашим паролям, которые вы пересылали. Позаботиться о том, чтобы ваши данные не попали в чужие руки с устройств разработчика — обязанность разработчика, конечно. Но — на бога надейся, а сам не плошай, верно?

Можно не отправлять логины и пароли одним письмом. Иногда я получаю логины письмом, пароли — по СМС или через мессенджер (хотя это не поможет при краже телефона). В идеале хорошо бы иметь файл-хранилище всех логинов и паролей (ссылка на английском языке)

Как сократить риски, давая доступ?

Как видите, многое в списке доступов завязано на два почтовых ящика — Gmail и Яндекс. Разумно зарегистрировать два новых ящика для вашего сайта и дать разработчику доступ именно к ним, а не к вашей обычной почте, где вы переписываетесь с пациентами, клиентами и семьей. На эти же новые адреса регистрируйте все остальные связанные с сайтом сервисы — и разработчику будет удобно потверждать все регистрации и авторизации.

Я знаю, что не хочется плодить очередные емейлы. Но в эти ящики потом не обязательно заходить — настроите переадресацию на привычный вам адрес и все.

Можно ли дать доступ, не давая свой пароль?

Не везде, но можно. Доступ к аналитике, во многие сервисы рассылки, на некоторые хостинги можно дать, не раскрывая свой логин и пароль. Почитайте справочную информацию, обычно настроить доступ не сложно. После окончания работ просто удалите этот доступ.

Как дать доступ на имеющийся сайт?

Если у вас уже есть сайт на WordPress и вы приглашаете разработчика/ помощника что-то доделать или изменить, не давайте свой логин и пароль для входа. В админке вашего сайта есть меню Пользователи — Добавить нового. Заведите пользователя для вашего разработчика, дайте ему уровень доступа Администратор. После окончания работ удалите пользователя.

Какие доступы появятся после окончания работ?

После запуска сайта у вас должны остаться доступы ко всем сервисам, которые для вас зарегистрировал, установил и настроил разработчик: система комментариев, рассылка, всплывающие окна и т.д. Попросите разработчика  оформлять и покупать все эти сервисы на ваше имя и на ваш адрес — во избежание. И внимательно отследите получение паролей от всего этого — тоже во избежание.

Ни в коей мере не нагнетаю. Но вдруг завтра ваш разработчик переквалифицируется в управдомы? Вы должны остаться при своих.

Что делать после того, как работа закончена?

Поменять все пароли. Я сейчас серьезна, как надгробие. Это не вопрос недоверия к разработчику или подозрений в непорядочности. Это как раз «сам не плошай» — методично смените все пароли, которые давали постороннему человеку, отзовите доступ, удалите лишних пользователей.

Я уверена, что вы читали о правильных паролях — прописные и строчные буквы, цифры и спецсимволы. А еще я точно знаю, что у большинства людей пароли совсем не такие — а старые, удобные, привычные и в большинстве мест одинаковые. Привыкать к новым трудно, так трудно, что лучше и не менять…

Маленький лайфхак для тех, кому очень дороги старые привычные пароли: смените их на что-то временное на период сайтостроительства. Дайте разработчику доступ по этим временным нелюбимым дурацким паролям. Потом вернете привычные. В них же есть прописные и строчные буквы, цифры и спецсимволы, правда же? 

И немного о двухфакторной авторизации. Это когда логина и пароля недостаточно для входа в почту — нужен еще специальный код из приложения или смс, или ответ на секретный вопрос. Такую авторизацию можно настроить почти для всего — почта, соцсети, сервисы рассылки. Если у вас не было ее раньше — обязательно сделайте после окончания работ на сайте. Тогда враг точно не пройдет.