En ocasiones, durante la primera fase de la vida de tu proyecto web, que suele ser la del desarrollo, aunque esto puede suceder en otros momentos de la vida de una web, es posible que necesites dar acceso a terceros para realizar tareas ¿es recomendable facilitarles tu credenciales de usuario administrador?, ¿cómo afecta esto a la seguridad de tu web?
Necesito dar acceso temporal a WordPress a un técnico o desarrollador ¿cómo lo hago?
Es un consulta bastante común en Soporte, donde clientes celosos de sus datos de acceso (con razón) necesitan crear accesos temporales en WordPress a determinados usuarios con roles de administrador para que realicen tareas concretas pero que no puedan modificar el perfil de otros usuarios y otras acciones.
¿Dar acceso FTP? en los tiempos que corren no creo que sea necesario para administrar WordPress, total, te montas un plugin de File Manager y ¡a correr! para lo demás “accesos temporales con fecha/hora de caducidad”, la seguridad de tu sitio no se resiente y a otra cosa mariposa 😉
Tabla de contenidos
¿Qué motivos hay para dar datos de acceso?
Son varias las razones que justifican el crear cuentas de usuario con permisos de administrador para que se hagan tareas en tu web por parte de terceras personas:
- Has comprado un tema y no sabes como instalarlo, necesitas dar acceso al desarrollador del tema.
- Contratas una Agencia de SEO y Posicionamiento y necesitas que supervisen Yoast SEO y todo el SEO on-page de tu web.
- Has externalizado el diseño de tu marca y un diseñador necesita aplicar los cambios.
- Quieres hacer una auditoría de tu Tienda WooCommerce y necesitas que un auditor acceda.
Seguro que se te ocurren muchas otras razones para necesitar dar accesos a tu web sin facilitar tus datos de administrador del sitio por aquello de no comprometer tu cuenta, la más importantes de todas.
Algunos métodos de acceso a tus archivos
Hay varias formas de facilitar accesos a la web para que se realicen tareas en archivos de la instalación, las más comunes son:
- Acceso FTP
- Acceso al Panel de Hosting (WePanel)
- Acceso al administrador de WordPress (dashboard)
Sin embargo todas ellas suponen o bien crear cuentas específicas que tengan acceso a los archivos de la web, lo que posiblemente deje la puerta abierta para ver otros archivos ajenos a la instalación, algo poco conveniente.
Ni que decir tiene que facilitar los datos de acceso de tu cuenta de cliente o administrador de tu Panel de Hosting es un error que afecta directamente a la seguridad de tu Hosting y a la privacidad de algunos de tus datos, entre ellos las cuentas de correo electrónico y por ende los correos desde Webmail.
Puedes crear cuentas de acceso a WordPress de forma tradicional, desde Usuarios, Añadir nuevo, lo que te obliga a rellenar una serie de campos, incluida la contraseña y el rol de acceso que va a tener este usuario.
Haz clic en la imagen para ampliarla
Pero claro, además de crearlo y asignarle rol de “Administrador” será necesario si quieres que pueda instalar temas/plugins y/o modificar archivos, luego tendrás que preocuparte por hacerle un seguimiento para eliminar la cuenta cuando haya acabado su trabajo. …luego está la parte delicada ¿será de confianza esta persona y no acabará cambiando los roles de otros usuarios (si gestionas muchos usuarios en tu web) o creándose otro con roles de Administrador “para acceder” aunque elimines la cuenta que le hayas creado? menuda preguntita, …pero ahí queda sembrada la duda.
Cuentas de Soporte con Support Me
Existe un plugin llamado Support Me, escrito por Drew Jaynes, que encontrarás en el Directorio oficial de Plugins de WordPress.org e instalable desde el dashboard, Plugins, Añadir nuevo, buscándolo por el citado nombre.
Haz clic en la imagen para ir al enlace del plugin
Este plugin permite crear cuentas de uso temporal con fecha/hora de expiración haciéndote muy fácil eso de dar acceso a terceros para que arreglen problemas en plugins o temas, o los instales según sea tu caso.
Características del plugin:
- Crear cuentas con minutos/horas/días de expiración.
- Tener un control de “expiración” de cuentas creadas.
- Las cuentas expiradas se eliminan de forma automática (no son reciclables).
- Control de sesión de cuentas.
- La cuentas se crear con rol de Administrador pero no pueden crear, borrar y subir perfil a otros usuarios.
- Compatible con Debug Bar.
Instalar y Configurar Support Me
Tras instalar y activar el plugin ve a Usuarios, Todos los usuarios y en la parte superior junto al botón “Añadir nuevo” verás otro llamado Añadir cuenta de soporte.
Haz clic en la imagen para ampliarla
Se desplegará en esa misma pantalla un cuadro de información donde puedes indicar el tiempo de expiración de la cuenta establecido en Minutos, Horas o Dias dependiendo del tiempo que vayan a durar las tareas de la persona que va a poder acceder a tu web.
Haz clic en la imagen para ampliarla
Una vez haces clic en Añadir cuenta de Soporte verás la información relativa a la cuenta de soporte que ha sido creada con la URL y el usuario que debes facilitar a la persona que vaya a acceder a tu sitio web.
Haz clic en la imagen para ampliarla
Luego las cuentas son visibles en el panel de Usuarios.
Haz clic en la imagen para ampliarla
Este tipo de cuentas las puedes editar para aplicar ajustes, tal como harías con cualquier otra cuenta de Usuario.
Haz clic en la imagen para ampliarla
Personalizar el “Alias” de usuario (por defecto se pone uno poco amigable), permite tener un control de quién es y qué tareas realiza en el dashboard de WordPress si por ejemplo usas plugins de auditoría como Audit Log que te permitan saber qué cosas ha instalado y que cambios ha realizado.
Haz clic en la imagen para ampliarla
Lectura recomendada:
Auditando cambios en WordPress
Vídeo de instalación y uso del plugin
En el siguiente vídeo te muestro como hacer uso de Support Me para crear cuentas efímeras para dar acceso al dashboard de tu WordPress a técnicos o desarrolladores de plugins, temas, scripts, etc., sin que la seguridad de tu sitio se vea comprometida.
Otros plugins
Oye, oye, que si no te convence “Support Me” siempre puedes tirar de Temporary Login Without Password que también sirve para estos propósitos y puedes crear cuentas de usuario temporales con tiempo de caducidad.
Haz clic en la imagen para ir al enlace del plugin
Al final de lo que se trata es de que uses algún sistema que te sirva para crear cuentas de vida efímera y con roles que no den autorización para modificar tu perfil de administrador ni de otros usuarios y que puedas eliminarlas cuando ya no sean necesarias.
¿Qué te organizas bien haciéndolo manualmente? ¡perfecto!, para lo demás siempre existe un plugin. ヅ
Conclusiones
Mantener tus datos de acceso a buen recaudo pasa necesariamente por no ir facilitándolos al primero que te los pide, por muy Técnico, Webmaster, desarrollador de temas y/o plugins que sea, al final esto se basa en el MPE (mínimo punto de exposición).
Dar accesos con tus credenciales de administrador no va hacer que tu web vaya mejor, ni que te lo solucionen más rápido, pero si será la puerta abierta a que alguien un poco avispado un día se haga con el control de tu web sin poder evitarlo.
Si no das a nadie tu PIN secreto de la tarjeta de crédito o tu PIN del móvil ¿porqué vas a tener que dar tus credenciales de acceso al dashboard de WordPress a un desconocido?
La próxima vez que te pidan acceso a la administración de WordPress es mejor que recuerdes este artículo y hagas uso de alguno de los plugins citados para dar accesos con tiempo de expiración establecido y creando usuarios con roles que no puedan modificar los roles de tu usuario administrador.
¿Te ha resultado útil este artículo?
Miembro del equipo de soporte técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Soporte técnico en CiberProtector. Teacher en Webempresa University