Tillid til eksterne - når de skal have password til FTP osv.

Ja altså - jeg er ved at hyre en ekstern (via Fiverr) til noget teknik på mit website. Han skal så bruge adgang til min wordpress kontrolpanel (der opretter jeg ham selvfølgelig) og til noget Amazon AWS (der opretter jeg ham også - jeg ved tydeligvis ikke helt, hvad det går ud på) og så - den værste - FTP på min Uno Euro konto. Det er altså et password jeg selv har valgt, ikke kan ændre og her kan jeg ikke tilknytte en ny bruger, som ved de to andre ting, han skal have adgang til.

Gør I andre bare det? Giver adgang til en helt fremmed fordi I skal bruge hjælp udefra? Han har super anmeldelser inde på Fiverr og virker som om han kan sit kram, så det er måske heller ikke fair at tvivle på hans hensigter, men.. jeg synes dælme det er svært bare at "lukke ham ind" på den måde. 

Og dum som jeg er, så har jeg valgt et password til FTP´en som jeg bruger rigtig mange steder...

Hejsa

Som udgangspunkt er du nødt til at give ham adgang hvis han skal hjælpe dig.

mht FTP Passwordet ville jeg nok, hvis jeg var dig finde ud af at få det ændret - prøv evt at kigge her: https://www.unoeuro.com/support/faq/1/191/ ellar tag kontakt til deres support hvis det driller.

Sørg også for at få skrevet ned et eller andet sted hvilke brugernavne/password du har udleveret til ham - bare så du har en liste over hvor du skal få rettet password når han er færdig med at hjælpe dig.

Men helt grundlæggende er du nødt til at stole på ham, gør du ikke det så skal du ikke ansætte ham, så skal du finde en anden.

//Morten

Niels Henriksen:

Du opretter en konto på github.com og sammen med en udvikler får du lagt hele dit site derind. Alle ændringer i kode skal foregå der hvor de så kan uploades når de har været testet - man ændre ALDRIG koden i et kørende site - medmindre at alt er braget ned og det er en her-og-nu ændring.

Og ja - hvis der er tale om større ændringer i kode - så er det absolut best practise ikke at gøre det direkte i et kørrende site.

//Morten

trolderikke:

Jeg kan godt se, at det er temmelig risky at lade nogen rode i koden på et live site, men hvis det skal flyttes over i noget andet - som jeg så skal have hjælp til, skal jeg så ikke alligevel udlevere kode m.v. til denne udvikler?

Det med livesite kan fixes med at du laver et subdomæne og låser dette med et login (ikke login i websitet men fra Apache serveren). Din udvikler kan så lave tingene i subdomænet og teste det der. Når tingene så er lavet færdige, så vil man kunne flytte disse rettelser over i hovedsitet (efter en backup af hovedsitet).

Mit råd vil være først at få en aftale med en dansk udvikler som du stoler på der kan stå for disse sikkerhedsting som du ikke selv bør rode med hvis du ikke ved hvad du gør. Jeg roder ikke med motoren i min bil men lader min mekaniker gøre det da han har viden og erfaringen med det :) Ligesom der så er motoren i dit firma dit website og hvis det går ned så går du nok i panik og begynder at lave ændringer der kan ødelægge mere (har set det før :))

Det første du skal sikre dig er at du har en backup af dit site, inden han går i gang. 

Herefter skal du overveje med dig selv hvad risikoen/omkostningen er ved at dit site måske er nede ½ - 1 dag, hvis uheldet skulle være ude.

At lave en "klon-site" hvor du tester vil jeg normalt betragte som "best-practise" ved større ændringer, men skal det give nogen mening her skal det jo også være hos samme host (ellers er det med at måle på performance jo lidt omsonst), og der er en del andre ting i dette som måske godt kan gøre det til en kompleks øvelse - så hvis du vurderer at du godt kan tåle at være "off-line" ½-1 dag hvis det går galt, så ville jeg nok sparrer pengene som det vil koste at få lavet sådan en klon, og få ham til at gøre det direkte på dit site.

De fleste ting på listen er jo rimeligt standard, så har du fat en dygtig fyr, så tror jeg risikoen er lille (selvom du nok vil opleve at der efterfølgende lige er lidt der skal "fintunes" for at den spiller som den skal).

//Morten

Hej Trolderikke

Hvis din udbyder tilbyder testmiljø (staging) så smid det derop og lad udvikleren rode rundt i det derinde, så er det ikke live og du kan tjekke/teste det inden det smides live, det er en sikker måde at gøre det på, så dit live site ikke ødelægges :)

//Kim

wphosting:

Hej Trolderikke

Hvis din udbyder tilbyder testmiljø (staging) så smid det derop og lad udvikleren rode rundt i det derinde, så er det ikke live og du kan tjekke/teste det inden det smides live, det er en sikker måde at gøre det på, så dit live site ikke ødelægges :)

//Kim

Tak Kim - det vil jeg høre ham ad

Kim Tetzlaff - KTJ-Media.dk:

trolderikke:

Jeg kan godt se, at det er temmelig risky at lade nogen rode i koden på et live site, men hvis det skal flyttes over i noget andet - som jeg så skal have hjælp til, skal jeg så ikke alligevel udlevere kode m.v. til denne udvikler? Hvis det giver mening :D

Ved udvikleren hvad han laver, er det virkelig småt med hvilke fejl der kan opstå. Når jeg hastighedsoptimere sites, laver jeg aldrig et kopisite hvor jeg arbejder, jeg arbejder altid direkte på domænet. Og det har jeg gjort de sidste 15+ år.

Læser jeg det som at du er skeptisk overfor at udlevere kode til en udvikler? 
Det er i alt sin enkelthed en nødvendighed at man som udvikler der skal optimere eller lave ændringer på den ene eller den anden måde, får adgang til blandt andet FTP, din hosts kontrolpanel, WP/andet systems kontrolpanel. Ellers vil man jo ikke kunne udføre opgaven 100%.

Tak for svaret. Jamen helt enig - man er nødt til at have tillid. Problemet er bare, at det password (nu gentager jeg lige mig selv) er et som jeg bruger rigtig mange steder. Inkl. PayPal kontoen f.eks. Min fejl - det ved jeg.

Men det er også en af grundene til, at jeg stillede spørgsmålet herinde - for at høre, om I andre har tillid til den slags og forhåbentlig få fornemmelsen af, at jeg kan være helt tryg ved det.