Поддержка Проблемы и решения Хостер установил плагин на мой сайт

  • Приветствую! Пару дней назад вошёл в админку сайта и увидел сообщение, что администратор сервера установил на мой сайт плагин litespeed cache. Это нормально, что на мой сайт хостер может устанавливать плагины без моего ведома?

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Это возмутительно!

    Модератор Yui

    (@fierevere)

    ゆい

    Хостер имеет права системного администратора сервера, соответственно они могут производить любые действия от вашего аккаунта.
    В том числе и установку-удаление плагинов, обновление версии WordPress, достаточно многие хостеры (заграничные как правило) предлагают обслуживаемые тарифы WordPress, с администрированием, установкой обновлений.

    Касательно установки кеш плагина, хостеры использующие LiteSpeed в качестве вебсервера такое часто практикуют, это помогает сайтам эффективно кешироваться используя возможности LiteSpeed.
    Есть побочные эффекты/подводные камни — кеш LiteSpeed может также использовать оптимизацию кода страниц/css/js средствами модуля pagespeed, это может вызывать проблемы.

    Автор alexander70

    (@alexander70)

    Ясно. 🙂 А я наивный думал, что чтобы установить плагины, нужно знать логин и пароль от панели администратора моего сайта :).

    Модератор Юрий

    (@yube)

    Это нормально

    Смотря с какой точки зрения.
    С так сказать физической — да, нормально. Админ сервера имеет полный доступ ко всему, что на сервере расположено (ну, почти). Как говорится, кто root, тот и крут.
    С морально-этической — полное свинство.
    С юридической — нужно изучать условия договора.

    Модератор Yui

    (@fierevere)

    ゆい

    чтобы установить плагины, нужно знать логин и пароль от панели администратора моего сайта

    способ 1.
    закинуть плагин в mu-plugins/
    он будет автоматически активирован.
    удаление такого плагина через консоль WP будет невозможно,как и деактивация.
    Необходимые плагины также будут загружаться в аварийном режиме работы сайта (защита от WSOD).

    способ 2.

    WP CLI

    Автор alexander70

    (@alexander70)

    Я почему-то думал, что вордпресс имеет большую секретность и только администратор сайта может им управлять. С другими движками (друпал, джумла) дела обстоят также?

    • Ответ изменён 1 месяц назад пользователем alexander70.
    Модератор Yui

    (@fierevere)

    ゆい

    секретность у вас возможна (и то не на 100%) на выделенном сервере,
    или VPS/VDS с шифрованием файловой системы и использованием анклавов памяти.

    Во всех остальных случаев вмешательство в работу, со стороны сисадмина сервера или хостовой ноды — возможно.

    Ну а на шареде — см выше.
    WP CLI не требует авторизации при работе с командной строки сервера.

    
    root # su alexander70
    alexander70 $ cd ~/www
    alexander70 $ wp plugin install litespeed-cache --activate
    

    в приципе вы сами можете использовать wp-cli таким же образом,
    только без su

    PS: выбирая хостера и доверяя ему свою информацию, не нужно забывать то, что хостер (а также его отдельные сотрудники, втч и без ведома начальства) будут иметь полный доступ ко всем данным, хранимым в папках вашего аккаунта и в базах данных.
    Пароли они ваши узнать (простым образом) не могут, т.к. пароли используют одностороннее шифрование (хеш), а все остальное — фактически в открытом виде.
    Не нужно хоститься у тех, кому не доверяете.
    Не нужно хостить конфиденциальную информацию у третьей стороны.

    • Ответ изменён 1 месяц назад пользователем Yui.
    Автор alexander70

    (@alexander70)

    Ясно, придётся с этим смириться :). Главное чтобы от внешних вторжений была защита.

    Модератор Yui

    (@fierevere)

    ゆい

    Если плагин вам определенно не нужен или вызывает проблемы (за счет оптимизации страницы аналогично autoptimize, w3total cache, итп плагинов), то обращайтесь в ТП хостинга, втч и за разъяснениями, какого лешего они вам это установили.

    Автор alexander70

    (@alexander70)

    Так и сделаю. Они его установили на тестовый сайт, на который я захожу не часто. На основном сайте я использую другой плагин кэширования и туда они ничего не установили. Прошерстили всё, выяснили. 🙂

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    С другими движками (друпал, джумла) дела обстоят также?

    В общем случае, имея доступ к файловой системе сервера и базам данных, можно сделать что угодно с любым движком 🙂

Просмотр 11 ответов — с 1 по 11 (всего 11)