Я рад возможности задать свой первый вопрос здесь.
Сценарий таков: на прошлой неделе мы с моей командой выпустили премиум-плагин.
С тех пор мы получили ряд запросов на Live Demo.
Я рассматриваю возможность создания поддомена на demo.mysite.com и изменения страницы входа администратора для отображения демонстрационного имени пользователя и пароля.
Будет ли достаточно с точки зрения безопасности просто запустить его на отдельной установке WordPress?
Есть ли функции уровня администратора, которые я хочу отключить?
В основном я хочу, чтобы демонстрация была максимально реалистичной, без какого-либо ущерба для безопасности или целостности моего основного сайта.
Любые советы приветствуются,
Сет Меррик
Что означает «премиум-плагин»? Вы не хотите предлагать его для бесплатного скачивания? Значит, его нельзя скачать с демо-хостинга?
упомянутый вами плагин не допускает ограничений плагинов. Лучшее использование; Редактор ролей пользователей ( wordpress.org/extend/plugins/user-role-editor )
Если это отдельная установка WordPress, вам не о чем беспокоиться о целостности вашего основного сайта — они никак не будут связаны.
Хотя, чтобы защитить ваш плагин, я бы не стал просто создавать пользователя-администратора. Я бы установил систему диспетчера ролей и создал уровень пользователя «Демо» с почти такими же разрешениями, как у администратора… за вычетом «Редактировать плагины» и любых возможностей управления пользователями.
Таким образом, люди могут войти в систему как ваш демо-пользователь и получить все типичные полномочия пользователя-администратора. Но они не могут редактировать плагины и, следовательно, не могут просматривать/украсть исходный код вашего плагина. Ограничение возможностей управления пользователями означает, что они также не могут обойти это ограничение, создав других пользователей с настраиваемыми разрешениями.
Если вы не беспокоитесь о том, чтобы не смешивать свой основной сайт (я предполагаю, что он работает на WordPress) с демонстрационным сайтом, я предлагаю вам отделить оба друг от друга, чтобы иметь выделенное веб-пространство только для демонстрации, которое не подключено к вашему основному сайту.. Это можно сделать через поддомен.
Кроме того, я бы создал сценарий автоматической установки, который время от времени создает новую установку при перезагрузке всего демо-сервера. Это позволит вашим пользователям поиграть с демоверсией (помните, что это администраторы), в то время как у вас будет автоматическое обслуживание сайта.
Если вам нужно уменьшить права пользователей, чтобы они были ограничены в работе с вашим демонстрационным сайтом, EAMann уже сделал несколько ценных предложений.