web-dev-qa-db-fra.com

Comment puis-je faire une démonstration en direct de mon plugin Premium? Y a-t-il des risques de sécurité?

Je suis heureux d'avoir l'occasion de poser ma première question ici.

Le scénario est le suivant: mon équipe et moi avons publié un plug-in Premium la semaine dernière.

Depuis, nous avons reçu plusieurs demandes de démonstration en direct.

J'envisage de créer un sous-domaine sur demo.mysite.com et de modifier la page de connexion de l'administrateur pour afficher le nom d'utilisateur et le mot de passe de la démo.

Sera-t-il suffisant, du point de vue de la sécurité, de l’exécuter sur une installation WordPress séparée?

Existe-t-il des fonctionnalités de niveau administrateur que je souhaite désactiver?

Je souhaite fondamentalement que la démonstration soit aussi réaliste que possible sans compromettre d'une manière ou d'une autre la sécurité ou l'intégrité de mon site principal.

Tout conseil apprécié,

SethMerrick

5
SethMerrick

S'il s'agit d'une installation WordPress séparée, vous n'aurez plus à vous soucier de l'intégrité de votre site principal. Ils ne seront connectés d'aucune façon.

Bien que pour protéger votre plug-in, je ne créerais pas simplement un utilisateur administrateur. J'installerais un système de gestionnaire de rôles et créerais un niveau d'utilisateur "Démo" avec presque les mêmes autorisations que l'administrateur ... moins "Edit Plugins" et aucun capacités de gestion des utilisateurs.

De cette façon, les utilisateurs peuvent se connecter en tant qu’utilisateur démo et disposer de tous les pouvoirs typiques d’un utilisateur administrateur. Mais ils ne peuvent pas éditer de plugins et ne peuvent donc pas voir/voler la source de votre plugin. En limitant les fonctionnalités de gestion des utilisateurs, ils ne peuvent pas non plus contourner cette restriction en créant d'autres utilisateurs dotés d'autorisations personnalisées.

5
EAMann

À moins que vous ne craigniez de ne pas mélanger votre site principal (je suppose que je tourne sous Wordpress) avec le site de démonstration, je vous suggère de séparer les deux, afin d'avoir un espace Web dédié à la démonstration uniquement, qui n'est pas connecté à votre site principal. . Cela pourrait être fait via un sous-domaine.

A côté de cela, je créerais un script d'installation automatique qui crée une nouvelle installation de temps en temps tout en réinitialisant l'ensemble du serveur de démonstration. Cela permettra à vos utilisateurs de jouer avec la démo (rappelez-vous que ce sont des administrateurs) pendant que le site est automatiquement mis à jour.

Si vous devez réduire les droits des utilisateurs de manière à limiter le traitement de votre site de démonstration, EAMann a déjà fait des suggestions utiles.

0
hakre