LH.pl · Dział pomocy
Gdzie znaleźć dostęp do serwera i strony WWW i jak bezpiecznie przekazać go wykonawcy strony, webmasterowi, informatykowi, członkowi zespołu lub agencji marketingowej? Poznaj kilka praktycznych zasad przekazywania dostępów.
Lista dostępów do Twoich usług
Zacznę od tego, jakimi dostępami dysponujesz posiadając stronę na WordPressie, własną domenę, hosting i skrzynki e-mail. Załóżmy także, że prowadzisz analitykę strony w Google Analytics.
Twoje dostępy to:
- dane do logowania do panelu hostingodawcy
- dane do logowania do panelu zarządzania domeną (jeżeli domenę i hosting posiadasz u różnych dostawców)
- dane dostępowe do głównego konta FTP na serwerze
- dane do logowania do innych kont FTP, które mogłeś/-aś założyć w trakcie korzystania z usług lub ktoś w przeszłości zrobił to za Ciebie: host, login i hasło
- dane dostępowe do bazy danych
- adresy i hasła do skrzynek e-mail
- dane do logowania do WordPressa
- dane dostępowe do konta Google.
Kilka zasad nadawania i przechowywania haseł
Zanim przejdę do właściwego przydzielania dostępu do usług, mam dla Ciebie kilka porad dotyczących nadawania i przechowywania powyższych dostępów. Przede wszystkim wszędzie stosuj silne hasła, zawierające minimum 8 znaków, znaki specjalne, cyfry, duże i małe litery. Przy doborze haseł nie opieraj się na schematach związanych z nazwą dostępu, rokiem, miesiącem, Twoim imieniem czy loginem. Postaraj się wyjść poza ten schemat, a jednocześnie ustawić hasło, które łatwo zapamiętasz. Dostępy do usług związanych ze stroną WWW są bardzo wrażliwe – postaraj się by hasła, które stosujesz były unikalne. Nie stosuj tych samych haseł np. do portali społecznościowych czy w sklepach online.
Alternatywą do zapamiętywania haseł jest korzystanie z generatorów haseł, a następnie przechowywanie dostępów w narzędziach takich jak KeePass. KeePass przechowuje dostępy (loginy, hasła i adresy do logowania) w zaszyfrowanej bazie danych, do której potrzebujesz tylko jednego loginu i hasła. Nie wymaga instalacji w systemie i jest dostępny zarówno na Windowsa, Androida, jak i na środowiska MacOS i iOS.
Silne hasła nadane? To teraz zastanówmy się jak bezpiecznie przekazać dostęp do swoich usług
Zlecając wykonanie strony, poprawek w WordPressie, czy działań marketingowych, wykonawca może poprosić Cię o przekazanie dostępu do serwera lub bezpośrednio do strony. Obserwując w LH.pl wiele relacji Klient – Wykonawca, zauważyłam pewną tendencję. Zazwyczaj wykonawcy proszę o wszystko, czyli dostęp do panelu zarządzania serwerem, z którego dostaną się już do konta FTP, bazy, konfiguracji domeny, a także pośrednio do samego WordPressa. Klienci natomiast najczęściej taki dostęp podając, samemu nie chcąc zajmować się przypomnieniem haseł. Jeżeli już tak się stanie, warto wiedzieć, jak to “odkręcić” po zakończonej współpracy.
Dostęp do panelu zarządzania domeną i hostingiem
Adres do logowania, login i hasło. Dane podałeś/-aś w momencie rejestracji lub zakupu usług u hostingodawcy.
W panelu hostingodawcy i rejestratora domeny znajdują się dane abonenta, Twoje płatności, historia faktur, dostęp do zarządzania serwerem FTP, na którym są pliki Twojej strony, czy bazą danych. Z poziomu panelu można także zarządzać domeną (np. zmienić jej wskazanie na serwer), włączyć SSL, czy też uzyskać dostęp do korespondencji mailowej przechowywanej na skrzynkach pocztowych.
Porada: jeżeli nie ma takiej konieczności, dostęp do panelu hostingu i zarządzania domeną zachowaj tylko dla siebie.
Zapytaj wykonawcę zlecenia o to, jakie operacje chce wykonać w panelu i albo wykonaj je samodzielnie (najczęściej są to bardzo proste konfiguracje), albo zleć je do supportu hostingu.
Dla przykładu: jeżeli wykonawca strony chce umieścić ją na Twoim hostingu, wystarczy mu dostęp do serwera FTP i nowej bazy danych. Ty natomiast możesz samodzielnie dodać domenę do serwera, włączyć jej SSL, czy skierować ją na podany przez webmastera katalog. To kilka kliknięć dla Ciebie, a jeżeli sprawią Ci trudności – możesz dopytać Biuro Obsługi Klienta. Jeżeli nie chcesz samodzielnie angażować się w takie operacje, Twój webmaster może je zlecić do supportu w Twoim imieniu. Pamiętaj jednak, że Biuro Obsługi hostingu będzie musiało autoryzować zlecenie przesłane przez osobę trzecią. Wprowadź zatem adres e-mail webmastera jako zapasowy / pomocniczy w panelu klienta, a gdy prace zostaną zakończone, usuń ten e-mail.
Dane do logowania do konta FTP na serwerze
Host FTP, login FTP i hasło. Dostęp do konta głównego FTP został Ci nadany po zakupie hostingu. Dane do innych kont FTP musiałeś/-aś stworzyć samodzielnie w panelu zarządzania serwerem.
W przypadku konieczności udostępnienia konta FTP wykonawcy strony, czy agencji zajmującej się SEO, stwórz (dodaj) nowe konto FTP. W przypadku posiadania wielu stron i chęci udostępnienia tylko jednej, konto FTP ogranicz dla katalogu z tą stroną. Jeżeli udostępniasz serwer kilku osobom, dla każdej stwórz osobne konto i nadaj login:
– seo@nazwatwojegoserwera.pl
– webmaster@nazwatwojegoserwera.pl
Zachowanie porządku przy nadawaniu dostępów pozwoli Ci łatwo nimi zarządzać w przyszłości. Oprócz loginu i hasła do konta FTP, wykonawcy będą potrzebowali jeszcze adresu serwera, czyli hosta. Ta dana jest wspólna dla wszystkich.
Porada: bezwzględnie i zawsze zachowaj dane do logowania do głównego konta FTP na serwerze tylko dla siebie.
Dane do logowania do bazy danych
Adres panelu bazy MySQL, nazwa użytkownika bazy danych i hasło do bazy. Dane te podałeś/-aś tworząc bazę w panelu hostingu lub zostały nadane automatycznie po skorzystaniu z autoinstalatora.
W większości CMSów, w tym w WordPressie, dane do logowania do bazy przechowywane są w pliku konfiguracyjnym strony na serwerze FTP. Jeżeli Twój wykonawca uzyskał dostęp do FTP, nie powinien mieć trudności z dostaniem się do bazy.
Może poprosić Cię jedynie o adres do logowania do panelu bazy MySQL, adres ten znajdziesz w zarządzaniu bazami w panelu hostingu.
Porada: Nie zmieniaj danych do bazy, z którą jest połączona Twoja strona. Jeżeli zrobisz to tylko w panelu hostingu, ale nie wprowadzisz zmian w pliku konfiguracyjnym, witryna przestanie działać (wystąpi błąd połączenia z bazą danych).
Dane do logowania do skrzynek e-mail
Adres webmaila, nazwa skrzynki i hasło do konta e-mail. Adres webmaila jest zazwyczaj podany na stronie hostingodawcy, nazwę skrzynki oraz hasło podałeś/-aś zakładając konto e-mail.
NIe przychodzi mi do głowy żadna sytuacja, w której Twój wykonawca miałby potrzebować dostępu do skrzynek e-mail. Jeżeli np. przyszła na Twoją skrzynkę jakaś ważna wiadomość, przekaż ją mailowo korzystając z opcji “przekaż dalej”, nie podawaj natomiast danych do logowania do poczty.
Porada: dane do logowania do skrzynek e-mail zachowaj dla siebie.
Dane do logowania do WordPressa
Adres do logowania, login (lub e-mail), hasło. Dane te podałeś/-aś przy instalacji WordPressa lub zostały automatycznie nadane w przypadku skorzystania z autoinstalatora na hostingu. Dostęp ten to poziom administratora, a zatem najwyższy możliwy dostęp do zarządzania WordPressem.
Jeżeli zostaniesz poproszony/-a o podanie danych do logowania do WordPressa, dopytaj o rodzaj zmian, które ta osoba będzie musiała w nim wprowadzić. Następnie przejdź do kokpitu WordPressa, do zakładki URZYTKOWNICY – DODAJ NOWEGO.
Otrzymasz prosty formularz nadawania dostępu, w którym możesz nadać rolę.
- Administrator – to rola równorzędna z Twoją. Użytkownik, który ma dostęp administratora może dodawać i usuwać wtyczki, motywy, wprowadzać konfiguracje, pisać treści, zmieniać układ strony itp.
- Redaktor – konto redaktora umożliwia publikowanie wpisów i zarządzanie nimi, a także zarządzanie wpisami innych użytkowników.
- Autor – autor może dodawać wpisy i zarządzać nimi, nie może ich jednak samodzielnie opublikować.
- Subskrybent – może jedynie zarządzać swoim kontem, nie ma uprawnień do tworzenia i edytowania jakichkolwiek elementów strony.
Jak widzisz, zatrudniając np. copywrittera, nie musisz udostępniać mu poziomu Administratora, a w zupełności wystarczy rola Autora lub Redaktora.
Porada: jeżeli wykonawca nie potrzebuje poziomu administratora, zachowaj dostęp dla siebie. Jeżeli potrzebuje – stwórz równorzędne konto z tymi uprawnieniami.
Dane do logowania do konta Google
W przypadku zlecenia integracji strony z usługą Google Analytics lub wykonania analizy z pomocą tego narzędzia.
Zauważyłam, że zdarzają się wykonawcy, którzy proszą o podanie tych danych by w imieniu klienta (Twoim) założyć konto w narzędziu Google Analytics. Nie decyduj się jednak na taki krok. Samodzielnie załóż konto w GA, a następnie udziel do niego dostęp zgodnie z wymaganymi uprawnieniami. Całą rozpiskę uprawnień i przykładów stosowania znajdziesz w oficjalnej pomocy Google.
To samo tyczy się innych usług Google, takich jak Google Tag Manager. Jeśli zlecasz działania analitykom lub specjalistom od marketingu, którzy muszą wdrożyć na Twojej stronie dodatkowe skrypty do np. monitorowania ruchu i zachowania, to mogą potrzebować oni dostępu do Menedżera Tagów Google.
Nie udostępniaj swojego konta Google, zamiast tego nadaj zleceniobiorcom odpowiednio uprawnienia dla ich kont. W przypadku Menedżera Tagów Google możesz też nadać uprawnienia, dzięki którym będą mogli oni np. dodawać tagi do wersji roboczej, ale Ty będziesz odpowiadać za ich publikację. Pozwoli Ci to przejrzeć ostatnio dodane tagi, sprawdzić, co zostało dodane i dopiero po bezpiecznej weryfikacji opublikować je w kontenerze.
Porada: jeżeli wykonawca będzie wdrażał nowe konto w Google Analytics lub Google Tag Manager, załóż je dla niego. Następnie nadaj mu uprawnienia do zarządzania. Nigdy nie podawaj danych do logowania do Twojego osobistego konta w Google.
Usuwanie dostępów po zakończonej współpracy
Pamiętaj by po zakończonej współpracy z wykonawcą od razu usunąć przydzielone dostępy. W przypadku konta FTP możesz je po prostu usunąć. W WordPressie natomiast usuń stworzonego wcześniej użytkownika, a w Google Analytics odbierz prawo do zarządzania tym narzędziem.
Jeżeli zdecydowałeś/-aś się na podanie swoich danych do logowania np. do panelu hostingu, skrzynki, czy WordPressa – niezwłocznie zmień je na własne.
Możesz także wykonać zmianę hasła do bazy danych, z którą połączona jest Twoja strona. Wykonaj je zwłaszcza gdy masz podejrzenie, że wykonawca może chcieć wyrządzić Ci “krzywdę” lub uszkodzić stronę. Pamiętaj jednak by wykonać tę operację ostrożnie – zmień hasło do bazy w panelu hostingu, a następnie wprowadź tę zmianę do pliku konfiguracyjnego WordPressa. Jeżeli hasła w tych dwóch miejscach nie będą się zgadzać, strona nie będzie działać poprawnie.
Jak bezpiecznie przekazać dostęp do serwera lub strony – podsumowanie
Mam nadzieję, że teraz już wiesz jak bezpiecznie przekazać dostęp do serwera wykonawcy strony lub agencji marketingowej. Nadawanie dostępów do serwera, bazy, czy WordPressa należy traktować bardzo poważnie. W Twojej witrynie może być bowiem przechowywanych bardzo dużo informacji, nie tylko o Tobie, ale także o Twoich Klientach. Zadbaj o bezpieczeństwo swoje i Klientów i trzymaj rękę na pulsie.
Nie dawaj dostępów w miejsca, w których samodzielnie możesz wykonać proste konfiguracje. Tam, gdzie się tylko da, twórz osobne konta dostępu i nadawaj im uprawnienia zgodne z potrzebą ingerencji w stronę. Po zakończonej współpracy niezwłocznie wycofaj nadane uprawnienia i usuń stworzone konta.
Jeżeli podzieliłeś/-aś się swoim dostępem, zmień hasło na własne i przechowuj je w bezpiecznym miejscu.