サイトのバグを修正するためにプラグイン開発者に管理者権限を与えるべきかどうか、ユーザーからよく質問を受けます。
無料のプラグインであれば、簡単に別のプラグインに切り替えることができる。しかし、それが有料またはカスタマイザープラグインであれば、あなたはそれを修正したいと思うかもしれません。
問題によっては、開発者がサイトにアクセスせずにバグを発見し、修正することができない場合があります。
この投稿では、バグ修正のためにプラグイン開発者に管理者アクセス権を与えるべきかどうか、またその安全な方法について説明します。
WordPressサイトの管理者アクセスとは?
WordPressサイトの管理者アクセスとは、管理者ユーザーグループでWordPress管理エリアにログインできることを意味します。
WordPressサイトの管理者ユーザーグループにアクセス権を与えることは、誰もが不快に感じるはずです。
なぜなら、管理者権限を持つユーザーは、サイト上のすべてにアクセスできるからです。プラグインやテーマのインストール、コードの変更、WordPressデータベースの更新、ユーザーアカウントの削除まで行うことができます。
さらに詳しく知りたい方は、初心者向けWordPressユーザー権限グループガイドをご覧ください。
WordPressのセキュリティのためには、WordPressサイトへの管理者アクセスを常に保護する必要があります。
開発者がサイトの管理者アクセスを必要とする理由
あなたがバグを報告し、サポートを求めるとき、ほとんどの優れた開発者が最初にすることは、テストサイトで問題を再現してみることです。
もし問題を再現することができれば、問題を解決してプラグインを更新することができる。
今、あなたが報告している問題を再現できなければ、彼らがそれを修正することは不可能だ。
あなたはおそらく、なぜこれらの開発者があなたが抱えている問題を再現できないのか不思議に思っていることだろう。
まあ、それはそれぞれのサイトが違うからだ。
たとえば、ウェブホスティングサービスの環境や、WordPressプラグインとテーマの組み合わせはさまざまです。これらの変数の1つ以上が問題を引き起こしている可能性があります。
プラグイン開発者が自分のプラグインをテストしているとき、彼らは他のプラグインを有効化しておらず、初期設定のWordPressテーマを使っている。
そのため、サイト固有のバグが発生することもあります。使用しているテーマのバグかもしれないし、インストールしている他のプラグインの組み合わせのバグかもしれない。
プラグイン開発者がバグを修正するためには、何が問題を引き起こしているのかを知らなければなりません。そのため、WordPressの管理者アクセス権を要求し、すべて同じ変数が使えるようにしているのです。
開発者に管理者アクセス権を与えるべきか?
はい、信頼できる開発者にサイトの管理者アクセス権を与え、彼らが問題を特定し、修正してくれるようにすべきです。ただし、共有するサイトは実際のライブサイトである必要はありません。
開発者は、同じホスティング環境、プラグイン、テーマで問題を確認できるよう、アクセスを求めているのだ。
同じホスティングサービスアカウントの下にサイトのコピーを作成すれば、実際のサイトの安全性を保ちながら、これらの変数をすべて配置することができる。
このウェブサイトの一時的なコピーをステージングサイトと呼びます。
ステージングサイトとは、本番サイトのクローンサイトの ことで、本番前に変更をテストするために使用します。
ステージングサイトは、本番サイトを壊してしまわないようにエラーをキャッチするのに役立ちます。また、開発者が変更を加えたり、バグのトラブルシューティングを行うためのアクセス権を安全に提供するのにも役立ちます。
方法1:ステージングサイトへの管理者アクセスを共有する
多くのトップWordPressホスティングサービス会社には、ワンクリックでステージングサイトを作成するオプションが付属しています。
まず、WordPressホスティングサービスプロバイダーに連絡して、WordPressインストール用の1クリックステージングサイトを提供しているかどうかを確認する必要があります。
自分で行う方法の詳細については、ステージングWordPressサイトの作り方のチュートリアルをご覧ください。
ステージングウェブサイトをセットアップしたら、管理エリアにログインし、管理者権限を持つ新しいユーザーアカウントを追加する必要があります。
その後、この新しい管理ユーザーアカウントをプラグイン開発者と共有することができます。
ステージングサイトにログインし、必要な変更を加えることができます。
問題が修正されたら、ステージングサイトを確認し、作成した一時的なユーザーアカウントを削除してください。
これで、すべての変更をライブサイトにデプロイできます。これでライブサイトは上書きされ、ステージングバージョンに置き換わります。
注: WordPressホスティングサービス会社によっては、ヘルパープラグインをインストールした後にステージングサイトを作成することができます。
このようなステージングサイトの欠点は、ステージングサイトの管理者があなたの承認なしに本番サイトに変更をデプロイできることです。
その場合は、手動で行うことをお勧めします。
方法2:手動ステージングサイトへの管理者アクセスを共有する
すべてのWordPressホスティングサービス会社が1クリックステージングサイトを提供しているわけではありません。
その場合、ステージングウェブサイトを手動で作成する必要があるかもしれません。このステージングウェブサイトは、あなたのライブウェブサイトのコピーとなります。
まず、ホスティングサービスのコントロールパネルにログインし、ステージングサイト用の新しいサブドメインを作成する必要があります(例:staging.yourdomain.com)。
このチュートリアルでは、Bluehostを使用します。使用するホスティングサービスによって手順が異なる場合がありますのでご注意ください。
ログイン中、サブドメインを作成したいサイトの「設定」ボタンをクリックします。
ここから、上部にある「詳細」タブに切り替える必要があります。
Bluehostは、高度な設定の下にアクセスできるさまざまなツールや設定が表示されます。
次に、下にスクロールしてcPanelに移動する必要があります。
管理』ボタンをクリックしてください。
次の画面では、さまざまなツールが表示されます。
ホスティングアカウントのダッシュボードのデータベースセクションにあるMySQLデータベースアイコンをクリックするだけです。
次の画面で、データベースの名前を入力します。
次に「データベースの作成」ボタンをクリックする。
次に、データベース用の MySQL ユーザーを作成する必要があります。
MySQL Usersセクションまでスクロールダウンし、新しいデータベースユーザーのユーザー名とパスワードを入力します。
最後に、”Add User to Database “セクションで、ユーザー・アカウントを先ほど作成したデータベースに関連付ける必要があります。
ドロップダウンで新しいユーザーを選択し、新しいデータベースが選択されていることを確認し、’Add’ボタンをクリックします。
ユーザーの権限を選択するよう求められます。
先に進み、’すべての権限’チェックボックスを選択し、’変更を加える’ボタンをクリックします。
これで、ステージングサイトで使用するデータベースの準備が整いました。
次に、ライブWordPressサイトにDuplicatorプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
有効化した後、WordPress管理サイドバーのDuplicatorメニューをクリックし、「新規作成」ボタンをクリックしてください。
画面の指示に従って、サイト用のDuplicatorパッケージを作成します。
完了したら、「Download Both Files」ボタンをクリックして、Duplicatorパッケージをコンピューターにダウンロードします。
これらのファイルを、作成したサブドメインのファイル・ディレクトリにアップロードする必要があります。詳しくは、FTPを使ってWordPressサイトにファイルをアップロードする方法をご覧ください。
その後、新しいブラウザータブを開き、ステージングサイトのサブドメインをこのように入力する必要があります:
https://staging.yourdomain.com/installer.php
stagingを実際のサブドメインに、yourdomain.comを自分のドメイン名に置き換えることをお忘れなく。
Duplicator インストーラウィザードが起動します。Next’ボタンをクリックして続行します。
ここで、データベース情報を入力するよう求められます。先ほど作成したデータベースの詳細を入力してください。
その後、画面の指示に従って続行します。DuplicatorがWordPressパッケージを解凍し、インストールしてくれます。
完成すれば、あなたのステージングサイトは訪問できるようになります。しかし、検索エンジンを含むインターネット上の誰でもアクセスすることができます。
それを変えよう。
WordPressダッシュボードにログインし、「ディレクトリのプライバシー」アイコンをクリックします。
次に、異なるディレクトリフォルダーが表示されます。
保護したいフォルダーの「編集」ボタンをクリックします。
その後、「このディレクトリをパスワードで保護する」チェックボックスのオプションを選択する必要があります。
また、保護ディレクトリの名前を聞かれます。
保存』ボタンをクリックして設定を保存するのをお忘れなく。
注: 開発者がステージングサイトにアクセスできるように、このユーザー名とパスワードを教える必要があります。
最後に、新しいステージングサイトのWordPress管理エリアにログインし、開発者と共有するための新しい一時的なユーザーアカウントを作成する必要があります。
開発者が問題を修正したら、そのユーザーアカウントを削除する必要があります。
その後、ステージングサイトをサブドメインからルートドメインに移す必要がある。
方法3:一時的なログインアクセスを共有する(安全性は低い)
この方法では、開発者が WordPress サイトにログインできる一時的なアカウントを作成できます。セッションには一定の期間を設定することができ、期間が過ぎると自動的に期限切れになります。
注意:この方法は安全性が低く、サードパーティの開発者があなたのサイトに完全にアクセスできるようになります。開発者を信頼し、そのリスクを理解している場合にのみ、この方法を使用してください。
最初に行う必要があるのは、Temporary Login Without Passwordプラグインをインストールして有効化することです。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
有効化した後、ユーザー ” 一時ログインページにアクセスし、「新規作成」ボタンをクリックして新しい一時ログインアカウントを追加する必要があります。
追加したい一時ログインの情報を入力するフォームが表示されます。
まず、開発者のメールアドレスを入力し、次に開発者の姓名を入力します。
送信」ボタンをクリックして次に進みます。
プラグインは一時的なログインURLを作成します。この URL をコピーして、一時的にアクセスさせたい開発者に送る必要があります。
開発者が問題の修正を完了したら、この一時的なリンクを削除することができます。そうでない場合は、ログイン作成時に設定した期間が過ぎると自動的に失効します。
詳しくは、 WordPressで一時ログインリンクを作成する方法のチュートリアルをご覧ください。
この投稿が、サイト上の問題を修正するためにプラグイン開発者に管理者アクセス権を与えるべきかどうかを知る一助となれば幸いです。
WordPressでユーザーのアクティビティを追跡する方法や、サイトを保護するのに最適なWordPressセキュリティプラグインの投稿もお勧めです。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Mark says
Thanks for the article, I totally get the need for trust / co-operation.
1. What about sending a backup of your site to the plugin developer and letting them create a staging site?
2. But perhaps the bigger issue, for me, is whether you’re exposing yourself to fraud if you’re running an eCommerce site and pass access to a plugin developer?
WPBeginner Staff says
David,
Thanks for leaving a comment. First, we did not say it is the web hosting companies’ jobs to do this.
However from our experience, when you ask nicely most of them are happy to do this for you. Specially if you’re on a cPanel web host. Why?
Because it takes literally few clicks to move an existing site to a new subdomain on the server end.
I won’t get in a debate about WP is easy to use or not because that’s your opinion. I have success stories of users who started learning from WPBeginner in 2009 and today are running successful web design agencies of their own. Others who have started much recently and used our resources to build a website which helped them grow their businesses.
-Syed
David Fraiser says
Great article except for the part where you lead users to think that it is somehow the web hosting companies job to set up a test environment for them. This isn’t true. While many hosting companies have support staff who are well-versed in WordPress and other software, it isn’t part of their job to set up a test site for a user.
In fact most hosting companies have specific clauses prohibiting help with 3rd party apps. I realize your articles are geared towards WP n00bs, but if they aren’t capable of replicating a WP install, then they probably shouldn’t be using WP to begin with. Or better yet, they should hire a knowledgeable Developer to do it for them.
WP is deceptive in that to USE it is very simple, and most anyone can do it; but to CUSTOMIZE it requires knowing what you’re doing. It’s not all “push a button and it’s going to be just like I want it to be.”
You do a disservice to your less knowledgeable readers by giving them the wrong information.
WPBeginner Staff says
You can use robots.txt file to block a site from getting indexed.
WPBeginner Staff says
Totally agree with your points.
lisaleague says
I’ve had excellent support from reputable developers, and I like to return the favor by providing a great review.
I think another key is to provide a clear description of the issue, and screencasts are very helpful.
fil says
okay I know now
Travis Pflanz says
I would add that you should ALWAYS ask the developer to let you know exactly what the problem is and which files they changed to fix the problem… Especially if you give them FTP access.
I’ve seem developers go in and change the core of a plugin that was not theirs, then when that plugin updates, the whole situation returns.
If there is a conflict with a specific plugin, I always inform both developers and create a public thread somewhere – whether on wordpress.org or one of their sites – and direct both developers to that thread. This way they can (hopefully) work together to fix the issue.
Mohammed says
Hi wpbeginner,
Thank you very much for this great article this is exactly what I need to know about what if I should give the plugin/theme developer admin access or not and what can I do about that.
Pam says
This is great guidance, thank you!
Question – does having a copy of the site affect the search engines? In other words, would I get penalized for having “duplicate content”? If so, how would I prevent search engines from crawling my staging site?
Meks says
Nice post WPbeginer.
Generally speaking the best way to solve bug and help your user is to have access to their WP admin.
So far we haven’t found any of our customers refusing to send us their WP admin details
I would say that is trust between users and developers
Paul Lambert says
Good advice – thanks