it-swarm.cn

如何进行高级插件的现场演示?是否存在安全隐患?

我很高兴有机会在这里提出我的第一个问题。

场景是这样的:我和我的团队上周发布了一个Premium插件。

此后我们收到了一些Live Demo请求。

我正在考虑在demo.mysite.com上创建一个子域名,并修改管理员登录页面以显示演示用户名和密码。

从安全的角度来看,仅仅在单独的WordPress安装上运行它是否足够?

是否有我想要禁用的管理员级功能?

我基本上希望演示尽可能真实,而不会以某种方式损害我的主站点的安全性或完整性。

任何建议赞赏,

SethMerrick

5
SethMerrick

如果它是单独的WordPress安装,您将无需担心主站点的完整性 - 它们不会以任何方式连接。

虽然为了保护您的插件,我不会只创建一个管理员用户。我将安装一个 角色管理器系统 并创建一个“演示”用户级别,其权限几乎与admin ...减去“编辑插件”和任何用户管理功能。

这样,人们可以作为您的演示用户登录,并拥有管理员用户的所有典型功能。但他们无法编辑插件,因此无法查看/窃取插件的来源。限制用户管理功能意味着他们无法通过创建具有自定义权限的其他用户来解决此限制。

5
EAMann

除非您担心不将主站点(我假设在Wordpress上运行)与演示站点混合,否则我建议您将它们彼此分开,以便为演示提供专用的网站空间,而不是连接到您的主站点。这可以通过子域完成。

接下来,我将创建一个自动安装脚本,该脚本会在重置整个演示服务器时不时创建新安装。这将使您的用户可以在您自动维护网站时使用演示(请记住这些是管理员)。

如果您需要减少用户权限,以便他们在处理您的演示站点方面受到限制,EAMann已经提出了一些有价值的建议。

0
hakre