你的 WordPress 网站出了问题,需要请外面的工程师帮忙检测吗? 但是要开放后台权限给陌生的厂商,总是会让你感到怕怕的,不知道网站会不会被安插什么病毒代码吗?
如果你也正面临上述的问题,那么接下来这篇文章,我将会分享 2 个可以帮助你管理开放网站后台权限、与监控外来用户行为的插件。
透过这 2 个实用插件互相搭配,将会帮助你更安全地开放权限,让外面的工程师或是合作厂商能够登入后台来帮你检修网站,并且同时也保护你网站的所有资料安全。
隐藏
为什么要控管后台权限?
相信操作 WordPress 一段时间的网站管理者们一定都遇过所使用的插件出问题,并且需要请插件厂商的客服进行协助处理。
在大多数的情况下,一些简单的问题,通常可以透过文字或是言语上的交流进行修正; 但有时候一些复杂的问题,插件客服无法从你所描述的情况下进行修正,因此,往往会向你要求后台网站管理员身份(Admin)的权限,以便厘清问题出在哪里。
一般而言,客服通常会请你在后台新增一个所有权限的用户,让它们能够直接登录这组账号密码到你的 WordPress 后台进行 Debug。網站管理員
但只要有一点资安常识的站长们都知道,随便开放后台网站管理者的权限给别人是非常危险的事情。
因为一旦拥有了后台管理者权限后,基本上可以对你的网站做任何事情,特别还是一个来路不明的外国人,你完全不知道他会对你的网站做什么,更严重的是,它做什么、安插了哪些代码你也都不知道。
我愿意相信大部分信誉良好的插件厂商,应该都不会乱搞客户网站,但是万一真的出事了,这其中的损失谁来为你负责呢?
所以,我还是必须强调,如果你是一位将事业奠基在 WordPress 上的网站管理者,那对于任何有可能造成网站漏洞的威胁都不能轻易忽视,否则的话,那真的是对你经营多年来的心血结晶开玩笑。
因此,为了让你能够兼顾请合作厂商帮你检测网站与你的网站安全这两件事情,接下来,我将会分享 2 个我平常用来管理并监控外人权限的插件,帮助你在相对安全的情况下,让其它用户来存取你的 WordPress 后台。
开启无密码登录
首先第一个插件,我们要使用一个叫做 Temporary Login Without Password 的插件,顾名思义,这个插件就是能让你创造出一个短期用户,并且在不需要密码的情况下进行登入。
除此之外,短期用户之所以会被称为「短期」,正是因为你可以自行设定这组用户登录权限失效的时间,例如你可以设定登录之后的 3 小时自动失效,而不用自行手动删除。
这样做的好处在于,你可以更方便的管理并且开启权限给外面的客服或是工程师,不用再另外帮它们生成一组专属的后台帐密,节省下许多来回沟通的时间。
将网站进行备份
因为接下来的改动有牵涉到资料安全上的权限开放,因此在进行以下步骤之前,建议先将网站进行备份,这是最保险的作法。
安装 Temporary Login Without Password
前往 WordPress 插件后台,搜索并启用 Temporary Login Without Password 这个插件。
进行设定
启用之后,在左边工具栏中点击的选项,并在上方点选。短期使用者
新增短期登入使用者
接着 、、都可以乱填,不过在的部分,我通常会选择开始访问后的时间,可能是 3 天 ~ 1 周不等,完成之后,便按下储存设定。Email 地址
名字
姓氏
到期時間
获得登入链接
接着,你会获得一个短期登录链接,任何人只要复制粘贴这串链接在自己的浏览器中,便可以直接登入你的 WordPress 管理后台,因此请不要外流。
如果忘记复制链接,也可以从最右边的小icon中点击进行复制,非常方便!
确认短期访问
任何人只要在浏览器中贴上刚刚那串连结,便可以开启「短期存取」的权限,进入到你的 WordPress 网站后台。
而成功使用短期登入链接进入后台的用户,都会在 WordPress 右上角看到一个短期存取的标签,如此一来,你便成功地以这个形式,开放权限给其它用户了。
监控用户行为
当你已经能够让外面客服或工程师一键访问你网站后台,虽然说后台权限会在一段时间之后失效,但是并不代表它们在这段期间不会乱搞你的网站。
因此,我们还需要搭配另外一个叫做 WP Activity Log 的插件来监控这些短期用户的行为。
这个 WP Activity Log 插件可以将所有不同用户的行为分别记录下来,让你知道他们对网站做了那些修改,不论是从安装新的插件、或是到修改了文章中的 1, 2 句话,都能在这个插件的监控下,让你一目了然。
如此一来,如果这些外面来的工程师有在乱搞你的网站,你就能马上察觉出不对劲,并且进行权限的封锁,马上将伤害止住。
开启 WP Activity Log
前往 WordPress 插件后台,搜寻并启用 WP Activity Log 这个插件。
设定精灵
基本上就是一路按到底就可以了,不太需要做什么调整。
新增一篇文章
接着先随便新增一篇文章,用来测试插件是否正常运作。
确认监控是否正常运作
如果插件有正常运作的话,你应该会在左边工具栏中间的 中看到你刚刚新增文章的行为。WP Activity Log
除此之外,这个插件也会告诉你这个行为是谁做的、在何时做的、变更了什么东西,让你可以一目了然,非常方便。
搭配短期用户进行监控
最后,我们使用上述的短期用户插件,进行短期用户的登入,并在刚刚新增的文章中加入了一张封面照片。
这部分我先透过自导自演来回测,在这边我开启另一个浏览器或无痕窗口,假扮为外来的一个短期用户。
而这时候,我们一样可以回到后台的中,清楚地看到刚刚这位短期用户所进行的行为,从打开文章到编辑文章,都完整地被系统所记录下来,没有任何的作弊空间。WP Activity Log
而如果你想要更详细的看到它修改了什么,也可以点击中间的进行查验。View the content changes
除此之外,在 WP Activity Log 中的纪录文件是无法在后台中被删除的,只能在主机端的数据库进行删除,因此不用担心遭到窜改、伪造等问题。
整体评价
WP Activity Log
是最全面的实时用户活动和监视日志 WordPress 插件。 它可以帮助成千上万的 WordPress 管理员和安全专业人员关注其网站上正在发生的事情。
货币:
USD
操作系统:
WordPress
应用程序分类:
Security
5
原文链接:https://www.itaoda.cn/blog/4773.html,转载请注明出处。
评论0