進階技巧 / 2020-08-29 最後更新時間:2020 年 12 月 8 日
你的 WordPress 網站出了問題,需要請外面的工程師幫忙檢測嗎?但是要開放後台權限給陌生的廠商,總是會讓你感到怕怕的,不知道網站會不會被安插什麼病毒程式碼嗎?
如果你也正面臨上述的問題,那麼接下來這篇文章,我將會分享 2 個可以幫助你管理開放網站後台權限、與監控外來使用者行為的外掛。
透過這 2 個實用外掛互相搭配,將會幫助你更安全地開放權限,讓外面的工程師或是合作廠商能夠登入後台來幫你檢修網站,並且同時也保護你網站的所有資料安全。
為什麼要控管後台權限?
相信操作 WordPress 一段時間的網站管理者們一定都遇過所使用的外掛出問題,並且需要請外掛廠商的客服進行協助處理。
在大多數的情況下,一些簡單的問題,通常可以透過文字或是言語上的交流進行修正;但有時候一些複雜的問題,外掛客服無法從你所描述的情況下進行修正,因此,往往會向你要求後台網站管理員身份 ( Admin ) 的權限,以便釐清問題出在哪裡。
一般而言,客服通常會請你在後台新增一個擁有網站管理員權限的使用者,讓它們能夠直接登入這組帳號密碼到你的 WordPress 後台進行 Debug。
但只要有一點資安常識的站長們都知道,隨便開放後台網站管理者的權限給別人是非常危險的事情。
因為一旦擁有了後台管理者權限後,基本上可以對你的網站做任何事情,特別還是一個來路不明的外國人,你完全不知道他會對你的網站做什麼,更嚴重的是,它做什麼、安插了哪些程式碼你也都不知道。
當然,你可能會覺得:人家外掛廠商這麼大家,它們的客服應該不會亂來吧?
我願意相信大部分信譽良好的外掛廠商,應該都不會亂搞客戶網站,但是萬一真的出事了,這其中的損失誰來為你負責呢?
所以,我還是必須強調,如果你是一位將事業奠基在 WordPress 上的網站管理者,那對於任何有可能造成網站漏洞的威脅都不能輕易忽視,否則的話,那真的是對你經營多年來的心血結晶開玩笑。
因此,為了讓你能夠兼顧請合作廠商幫你檢測網站與你的網站安全這兩件事情,接下來,我將會分享 2 個我平常用來管理並監控外人權限的外掛,幫助你在相對安全的情況下,讓其它使用者來存取你的 WordPress 後台。
開啟無密碼登入
首先第一個外掛,我們要使用一個叫做 Temporary Login Without Password 的外掛,顧名思義,這個外掛就是能讓你創造出一個短期使用者,並且在不需要密碼的情況下進行登入。
除此之外,短期使用者之所以會被稱為「短期」,正是因為你可以自行設定這組使用者登入權限失效的時間,例如你可以設定登入之後的 3 小時自動失效,而不用自行手動刪除。
這樣做的好處在於,你可以更方便的管理並且開啟權限給外面的客服或是工程師,不用再另外幫它們生成一組專屬的後台帳密,節省下許多來回溝通的時間。
將網站進行備份
因為接下來的改動有牽涉到資料安全上的權限開放,因此在進行以下步驟之前,建議先將網站進行備份,這是最保險的作法。
安裝 Temporary Login Without Password
前往 WordPress 外掛後台,搜尋並啟用 Temporary Login Without Password 這個外掛。
進行設定
啟用之後,在左邊工具列中點選短期使用者的選項,並在上方點選新增短期登入使用者。
接著 Email 地址、名字、姓氏都可以亂填,不過在到期時間的部分,我通常會選擇開始存取後的時間,可能是 3 天 ~ 1 週不等,完成之後,便按下儲存設定。
獲得登入連結
接著,你會獲得一個短期登入連結,任何人只要複製貼上這串連結在自己的瀏覽器中,便可以直接登入你的 WordPress 管理後台,因此請不要外流。
如果忘記複製連結,也可以從最右邊的小 icon 中點擊進行複製,非常方便!
確認短期存取
任何人只要在瀏覽器中貼上剛剛那串連結,便可以開啟「短期存取」的權限,進入到你的 WordPress 網站後台。
而成功使用短期登入連結進入後台的使用者,都會在 WordPress 右上角看到一個短期存取的標籤,如此一來,你便成功地以這個形式,開放權限給其它使用者了。
監控使用者行為
當你已經能夠讓外面客服或工程師一鍵存取你網站後台,雖然說後台權限會在一段時間之後失效,但是並不代表它們在這段期間不會亂搞你的網站。
因此,我們還需要搭配另外一個叫做 WP Activity Log 的外掛來監控這些短期使用者的行為。
這個 WP Activity Log 外掛可以將所有不同使用者的行為分別記錄下來,讓你知道他們對網站做了那些修改,不論是從安裝新的外掛、或是到修改了文章中的 1, 2 句話,都能在這個外掛的監控下,讓你一目了然。
如此一來,如果這些外面來的工程師有在亂搞你的網站,你就能馬上察覺出不對勁,並且進行權限的封鎖,馬上將傷害止住。
開啟 WP Activity Log
前往 WordPress 外掛後台,搜尋並啟用 WP Activity Log 這個外掛。
設定精靈
基本上就是一路按到底就可以了,不太需要做什麼調整。
新增一篇文章
接著先隨便新增一篇文章,用來測試外掛是否正常運作。
確認監控是否正常運作
如果外掛有正常運作的話,你應該會在左邊工具列中間的 WP Activity Log 中看到你剛剛新增文章的行為。
除此之外,這個外掛也會告訴你這個行為是誰做的、在何時做的、變更了什麼東西,讓你可以一目了然,非常方便。
搭配短期使用者進行監控
最後,我們使用上述的短期使用者外掛,進行短期使用者的登入,並在剛剛新增的文章中加入了一張封面照片。
這部分我先透過自導自演來回測,在這邊我開啟另一個瀏覽器或無痕視窗,假扮為外來的一個短期使用者。
而這時候,我們一樣可以回到後台的 WP Activity Log 中,清楚地看到剛剛這位短期使用者所進行的行為,從打開文章到編輯文章,都完整地被系統所記錄下來,沒有任何的作弊空間。
而如果你想要更詳細的看到它修改了什麼,也可以點選中間的 View the content changes 進行查驗。
除此之外,在 WP Activity Log 中的紀錄檔是無法在後台中被刪除的,只能在主機端的資料庫進行刪除,因此不用擔心遭到竄改、偽造等問題。
整體評價
WP Activity Log
是最全面的實時用戶活動和監視日誌 WordPress 外掛。它可以幫助成千上萬的WordPress管理員和安全專業人員關注其網站上正在發生的事情。
貨幣: USD
運作系統: WordPress
應用程式分類: Security
5
結語
相較於直接在 WordPress 後台新增一個使用者,或是設定完之後再進行備份還原等傳統的作法,通過 Temporary Login Without Password 與 WP Activity Log 這 2 個外掛的搭配,你能夠很輕易的開啟 WordPress 後台的權限給外面的客服或是工程師,並且監控這些短期使用者的行為。
除此之外,如果你跟我一樣是有在接 WordPress 網站架設案子的自由工作者,你也可以將這招應用在幫客戶處理網站相關的問題之上。
透過文章中介紹的這 2 個外掛的搭配,將雙方後台使用者的動向分辨得清清楚楚,並且確認這些行為是你做的還是客戶做的,以免被客戶自己搞掛網站,卻又賴到你的頭上,相信透過這樣做,能夠對雙方權益進行更多的保障。