Pressione isto: como o TrustedLogin melhora a experiência de suporte

Bem-vindo ao Press This, o podcast da comunidade WordPress da WMR. Cada episódio apresenta convidados de toda a comunidade e discussões sobre os maiores problemas enfrentados pelos desenvolvedores do WordPress. O que se segue é uma transcrição da gravação original.

Desenvolvido por RedCircle

Doc Pop : Você está ouvindo Press This, um podcast da comunidade WordPress no WMR. A cada semana, destacamos os membros da comunidade WordPress. Sou seu anfitrião, Doc Pop. Apoio a comunidade WordPress por meio de minha função no WP Engine e minhas contribuições no TorqueMag.Io, onde faço podcasts e desenho cartoons e vídeos tutoriais. Dê uma olhada.

Você pode se inscrever no Press This no Red Circle, iTunes, Spotify ou baixar episódios diretamente em wmr.fm.

Como uma agência ou desenvolvedor de plug-ins, muitas vezes a execução do suporte ao cliente poderia ser muito mais fácil se você tivesse acesso ao painel do cliente. Mas obviamente há muitas questões preocupantes sobre como solicitar esse tipo de acesso e como isso pode ser feito.

É por isso que hoje vamos conversar com Zack Katz. O fundador do GravityKit e TrustedLogin. TrustedLogin é uma nova ferramenta que permite que o acesso temporário e criptografado seja compartilhado entre clientes e equipes de suporte, e estou muito animado para falar com ele sobre isso neste episódio. Zack, você está no jogo WordPress há tanto tempo quanto eu.

Como você entrou no WordPress?

Zack Katz: Comecei como web designer e desenvolvedor e comecei fazendo algumas soluções realmente instáveis ​​para permitir que meus clientes editassem seu próprio conteúdo. E aterrissei na velha Trindade de; Drupal, Joomla ou WordPress. E Drupal ainda estava em beta. O Joomla era tão confuso quanto permanece hoje, e o WordPress era um sucesso em 2.5, acho que foi a versão com a qual comecei.

E foi um claro vencedor e me apaixonei e realmente tem sido, o que venho desenvolvendo desde então

Doc Pop: Quando foi o WordPress 2.5. Que época é esta?

Zack Katz: 2007.

Doutor Pop: Ok. Então, você viu algumas coisas e faz parte dessa negociação com clientes e suporte há muito tempo, e imagino que com sua empresa atual agora, GravityKit, vocês cresceram. Em primeiro lugar, por que você não nos fala sobre o GravityKit e depois podemos falar sobre o TrustedLogin.

Zack Katz: GravityKit, fazemos aplicativos que vão além do GravityForms. Portanto, o GravityForms reúne os dados que você deseja usar para o seu negócio e o GravityKit permite que você crie poderosos aplicativos sem código em cima disso. Assim, com GravityView, você pode exibir os dados com GravityCharts, você pode traçar os dados e etc.

E você pode fazer coisas muito legais e poderosas com ele.

Doc Pop: E como mencionei antes no início do programa, agora você tem uma nova ferramenta chamada TrustedLogin. É um kit complementar que um desenvolvedor pode adicionar ao seu plug-in. Tenho certeza de que há outras maneiras que podem ser feitas. Como você começou a precisar desta ferramenta?

E então você pode nos contar como é o TrustedLogin.

Zack Katz: Então, para desenvolvedores de plug-ins, quaisquer desenvolvedores de plug-ins por aí ou desenvolvedores de temas, você saberá que é muito mais fácil descobrir o que está acontecendo com o site se você tiver acesso a esse site. E a maneira de fazer isso no passado era pedir acesso de administrador. Então você pode fazer login e verificar as coisas.

Mas o problema com o acesso de administrador é que você tem acesso a tudo. E toda vez que eu pedia acesso de administrador, eu meio que, uma pequena parte de mim dizia: Zack, essa é uma péssima ideia. Esta é uma maneira fácil para um único ponto de falha. Por exemplo, se alguém hackear seu e-mail, eles terão acesso a tudo.

E isso é verdade. Os portões estão abertos quando você tem acesso de administrador a um site e, como desenvolvedor de plug-ins e proprietário de uma empresa, eu não queria ficar no gancho. Não parecia seguro para os negócios, mas também não era respeitoso com a empresa de meus clientes porque eu queria limitar a exposição deles a quaisquer problemas de segurança, não apenas para mim, mas também para as pessoas com quem trabalho.

Eu não queria que nenhum de nossos dispositivos fosse comprometido, derrubando qualquer um de seus sites. Então, pensei em diferentes opções disponíveis para desenvolvedores do WordPress. Existem senhas de links temporários onde você obtém um link temporário para fazer login em um site. Esse link se torna a senha. Portanto, se alguém enviar um e-mail para você com esse link, é o mesmo que você ter o e-mail e a senha dessa pessoa.

Isso facilita o compartilhamento de acesso, mas não resolve o problema de passar credenciais potencialmente inseguras.

Doc Pop: Mm-hmm.

Zack Katz: Então, eu estava usando o Codeable um dia e vi que eles tinham um cofre criptografado e achei isso muito legal.

Então, enquanto você está conversando com seu desenvolvedor do Codeable.io, você tem um cofre criptografado onde pode guardar seus segredos e criptografa e descriptografa e funciona muito facilmente. E pensei comigo mesmo que deveria ser possível criptografar uma chave que eu poderia usar e meus clientes poderiam compartilhar, e essa chave, usando algum aperto de mão de criptografia pública, poderia ser segura do começo ao fim.

E que seria uma forma segura de conceder acesso que seria publicamente compartilhável porque não é uma senha. Então comecei a trabalhar no conceito e contratei alguém da Codeable para desenvolvê-lo. E a partir daí nós iteramos nele. Estamos trabalhando nisso há muito tempo, mas agora o usamos internamente com o GravityView e o GravityKit.

E nós o usamos todos os dias e isso economiza muito tempo da equipe de suporte e os clientes adoram. Você apenas clica em um botão, ele gera uma chave de acesso, eles compartilham isso conosco. E saindo na próxima semana ou duas, hey clicará em um botão e ele fará automaticamente um web hook para o Zapier que postará informações sobre o site deles.

O relatório de integridade do site é adicionado automaticamente para ajudar a explorar nosso programa de suporte técnico. E, portanto, nem precisaremos pedir que copiem e colem o relatório de integridade do site, se optarem por isso.

Doc Pop: Mm-hmm.

Do ponto de vista do usuário, ele vê que está concedendo acesso ao painel ou é apenas como um botão que diz: clique aqui para se conectar ao suporte?

Zack Katz: Essa é outra coisa que tenho visto em alguns plugins diferentes. Alguns plugins fazem isso sozinhos. Eles criam a conta e simplesmente enviam um e-mail para si mesmos com um novo e-mail de conta, porque essa é uma maneira que você pode seguir. Você poderia apenas dizer que quando as pessoas clicam em um botão, basta gerar uma conta e definir as informações de login. Isso é muito fácil.

Com o TrustedLogin, um dos principais objetivos que tive foi clareza e deixar claro para o cliente o que eles estão dando, por quanto tempo, para quem, como o que isso significa. Então, damos a eles uma página de resumo quando estão concedendo acesso que diz: “Uma conta de usuário será criada com esta função, com base nesta função”.

Os desenvolvedores têm a oportunidade de basear algo em uma função ou realmente fazer com que seja a função. Portanto, se você tiver uma personalização, pode dizer com base no Editor, mas eles também têm acesso a esse tipo de postagem personalizada. Portanto, qualquer personalização de uma função pode ser exibida ao cliente.

A quantidade de tempo que o login será concedido é exibida e em breve será personalizável. Então diz que dentro de uma semana eles terão acesso. Ele mostra o logotipo da empresa que está se integrando ao TrustedLogin. Ele mostra informações sobre o próprio TrustedLogin. Diz que se você não se sentir confortável com isso, clique para ir ao próprio site do desenvolvedor do plug-in e peça suporte.

Então, damos várias maneiras diferentes de dizer, eis o que está acontecendo, eis por que está acontecendo, eis por que precisamos do acesso de que precisamos, e aqui está uma saída se você não quiser lidar com isso, você só quer acesse o site do desenvolvedor. Essa é uma opção.

Doc Pop: Existem diferentes tipos de funções no WordPress, superadministrador, administrador, editor, autor, colaborador, o que estamos fazendo aqui? É o editor que estamos dando acesso através do TrustedLogin? Ou é algum tipo de coisa específica que não é realmente um desses papéis tradicionais?

Zack Katz: Por padrão, temos que o próprio desenvolvedor escolhe qual será a função que será personalizada ou usada para o acesso TrustedLogin. Temos alguns recursos que estão desativados, que estão excluindo os usuários de outras pessoas para que você não possa acessar e excluir as contas de usuário das pessoas.

Você escala sua própria conta para um nível superior. Vamos adicionar a capacidade de as pessoas solicitarem escalonamento e ter esse e-mail que o administrador do site pode permitir. Mas não queríamos que as pessoas tivessem acesso e pudessem sequestrar o site escalando-o.

Portanto, existem alguns recursos restritos que não são concedidos sempre que um acesso TrustedLogin é concedido.

Doc Pop: Eu acho que houve várias vezes em que eu estava no Mastodon conversando com um amigo ou qualquer outra coisa, você sabe, apenas falando sobre um problema do WordPress. E então eu recebo um DM de alguém em quem confio e eles dizem: “ei, posso consertar isso, basta criar uma função de administrador para mim ou qualquer outra coisa”.

Eu apenas ignorei aqueles que eu acho que sei um pouco sobre o WordPress, mas apenas a coisa fundamental de quando conceder acesso a pessoas que querem ajudá-lo ou algo assim. Eu só não percebi isso emocionalmente.

Você tem algum conselho, como, em geral, como quando alguém diz: "Ei, você pode me tornar um administrador e eu farei isso para você?"

Se você confia nessa pessoa e se ela é boa na comunidade ou o que quer que seja, isso ainda é uma má ideia ou é uma coisa totalmente normal de se fazer?

Zack Katz: Cabe a cada indivíduo descobrir seu nível de conforto com isso. Eu acho que se você conhece a pessoa, e eu não enviaria nada em um DM do Twitter, eu iria para o site Compartilhar um segredo e criptografaria e enviaria para eles e eles descriptografariam, como se fosse o caminho a percorrer.

Não gosto de compartilhar senhas de texto simples. Não é uma boa ideia.

Doutor Pop: Sim.

Zack Katz: Mas em algum nível você tem que confiar em alguém, não há nada de confiança. Mas tipo, eu não sei. Se você conhece alguém e eles estão se oferecendo para ajudá-lo, eu diria para torná-lo um pouco mais fácil do que dizer: posso dar a você acesso de assinante ao meu site.

Doc Pop: É um bom lugar para fazermos uma pausa. Aqui estamos conversando com Zack Katz da TrustedLogin e GravityKit. Quando voltarmos, falaremos sobre como conquistar a confiança de seus clientes por meio da criptografia, por qualquer meio que você precise fazer para que eles se sintam seguros. Então fique ligado para mais Press This.

Doc Pop: Bem-vindo de volta ao Press This, um podcast da Comunidade WordPress no WMR. Meu nome é Doc e estou conversando com Zack Katz, o fundador do TrustedLogin e do GravityKit. No início do show, falamos sobre esta nova ferramenta TrustedLogin e como é uma maneira fácil para uma equipe de suporte obter o acesso necessário para solucionar um problema rapidamente.

E como o TrustedLogin meio que corrige esse problema que tem ocorrido em torno desse problema que Zack encontrou. E eu disse a ele que pessoalmente estava tentando descobrir quando é um bom momento para usar algo assim. E isso nos leva ao que você estava dizendo, Zack, sobre se você vai compartilhar credenciais, você definitivamente quer estar seguro com isso.

E, obviamente, estamos falando sobre se estou conversando com alguém no Twitter ou no Mastodon como eu faria isso. Mas acho que o que você está fazendo é um outro nível de criptografia. Você pode nos contar sobre como vocês estão protegendo essas informações? E por quanto tempo você o mantém e se armazena alguma informação pessoal enquanto o faz.

Zack Katz: Claro. Quando um usuário concede acesso ao seu site, ele é criptografado e enviado diretamente para o TrustedLogin e armazenado lá, criptografado. E a única coisa que não está criptografada é a URL do site deles.

E isso nos permite achar um pouco mais fácil no lado do suporte. Todo o resto é criptografado. Se fosse hackeado e tudo baixado, não importaria porque há uma chave privada gerada no site do cliente. Para que não possamos ler nada que vá e fique armazenado em nosso serviço.

Então, quando um representante de suporte faz login, o representante de suporte recebe uma chave que o cliente fornece ao suporte, inserimos essa chave enquanto o representante de suporte pergunta ao TrustedLogin: "Ei, você tem algo que corresponda a esta chave?" Essa chave é criptografada e, em seguida, procurada pela chave criptografada e, em seguida, o login acontece.

O bom é que o representante de suporte nunca tem acesso a nenhum desses dados criptografados. Tudo passa por TrustedLogin. TrustedLogin, não sabe nada sobre o site do cliente. Está tudo criptografado. Todo o aperto de mão permite apenas a quantidade mais limitada visível para cada representante em qualquer momento específico, para que seja o mais seguro possível.

Doc Pop: Nós mencionamos as credenciais temporárias?

Zack Katz: Portanto, há um outro nível de segurança em cima do TrustedLogin, como coisas de criptografia. Sempre que o representante, o representante de suporte, tenta fazer login no site do cliente, o site do cliente pergunta TrustedLogin mais uma vez antes de conceder acesso, esta chave ainda é válida?

O pedido é válido? A pessoa é permitida e o site do cliente, verifica todas essas coisas antes. Então o site do cliente também diz, é o tempo que passou dentro da janela de acesso que concedi, então é uma solicitação expirada. E se a solicitação expirar, o login é rejeitado.

Portanto, as solicitações expiram automaticamente, é muito seguro. É compartilhável publicamente como uma chave. Sinto que encontramos um equilíbrio muito bom, porque com todo tipo de problema de criptografia e segurança, sempre há um equilíbrio entre conveniência e segurança. E acho que encontramos uma mistura muito boa disso, onde ainda é muito conveniente e ainda é muito seguro, mas não muito seguro para ser inconveniente.

Doc Pop: Mm-hmm. E você disse que a transparência é um grande foco para você, o que eu aprecio, comunicar aos usuários o que eles estão dando permissão e, em seguida, sinalizar os administradores do site se uma função precisar ser escalada, para que algum contribuidor humilde não possa acidentalmente conceder muito acesso a um site. Isso está certo?

Zack Katz: Sim, a única maneira de nossa tela de concessão de acesso ficar visível é se você tiver a capacidade de criar usuários. Não queremos que pessoas que não tenham essa capacidade façam isso porque você está criando um usuário no back-end.

Doc Pop: Como um WordPress-er que às vezes entrou em contato com o suporte ao cliente para vários plugins. Não tenho muita certeza do que está acontecendo muitas vezes do lado deles. Existe um conjunto de ferramentas que muitos plug-ins tendem a usar com frequência para lidar com o suporte ao cliente que eu nem veria como um cliente.

Zack Katz: Acho que há um uso muito alto do Help Scout na comunidade de plug-ins do WordPress. É um help desk onde é como sua caixa de entrada de e-mail, mas tem ferramentas de triagem e respostas automáticas e respostas salvas e integração com alguma documentação, pesquisa e outras coisas.

Então, acho que o Help Scout é um dos sites mais populares usados ​​pelos desenvolvedores do WordPress.

Doc Pop: O Help Scout é compatível com TrustedLogin?

Zack Katz: Então, se você fosse enviar um e-mail para o suporte do GravityKit e dizer: Ei, preciso de ajuda. O widget TrustedLogin no Help Scout que desenvolvemos mostrará automaticamente se o acesso foi ou não concedido a um site. E assim, por um tempo, um representante de suporte está usando o Help Scout.

Eles verão: Ei, basta clicar para obter acesso ao site. Clique nele para redirecionar para seu próprio site, como GravityKit.com, e então GravityKit.com faz a verificação de autorização com TrustedLogin e redireciona o site do cliente automaticamente. Portanto, enquanto fornecemos suporte, se alguém já tiver acesso concedido, basta clicar em um clique e entrar no site do cliente com toda a segurança.

Doc Pop: E acho que me concentrei muito nos desenvolvedores de plug-ins, talvez usando isso como um complemento. Você mencionou que os desenvolvedores de temas poderiam usar isso. Isso também é algo como uma agência, se eles criaram um site para um cliente, existe uma maneira de integrar o TrustedLogin em seu fluxo de trabalho também?

Zack Katz: Com certeza. Sim. Acho que as agências nem sempre desejam acesso permanente ao site de um cliente para fins de responsabilidade, mas também gostam de entregá-lo às vezes e não se envolver permanentemente.

Se um cliente quiser que ele faça alterações, ele pode conceder acesso TrustedLogin. Temos um plug-in autônomo que é apenas um log confiável e não se integra a outro plug-in ou tema existente, portanto, você pode instalar o plug-in TrustedLogin ao configurar um site e, sempre que o cliente precisar conceder acesso, ele poderá clicar em conceder acesso e você tem acesso por um período de tempo específico. Portanto, é ótimo para agências também. Concedendo acesso temporário ao site.

Doc Pop: Esse é um fluxo de trabalho legal porque eu continuei pensando nisso como algo que você apenas insere no plug-in e o coloca lá. Mas tê-lo como um plug-in autônomo também faz muito sentido. E eu realmente não tinha ouvido falar, acho que uma agência querendo ser capaz de se retirar de um projeto como esse, isso é muito legal.

Faz sentido que, às vezes, uma agência queira apenas criar um site para você e cabe a você cuidar disso, e você não pode culpá-los se algo der errado mais tarde. É como se estivesse em suas mãos. Mas se eles precisarem voltar, se estiverem cobrando por hora ou se perceberem que cometeram um erro ou algo assim, se precisarem desse acesso novamente.

Essa é uma forma deles conseguirem fazer isso, né?

Zack Katz: Sim. E uma das coisas que estamos construindo atualmente é a funcionalidade de log de auditoria. Onde, para empresas de hospedagem na web, por exemplo, sempre que alguém usa o TrustedLogin, registramos isso para sempre no back-end, sempre que uma solicitação é concedida para que possamos garantir uma auditoria.

Mas para as agências, eles podem querer dizer, foi quando estávamos fazendo login, ou seja, quando o acesso foi revogado. Então eles têm uma maneira de se referir e dizer, isso é, você sabe, confirmado. Isso é conhecido para fins de segurança, mas também para registro de horas. Sim.

Doc Pop: Acho que há outro bom lugar para fazermos uma pausa rápida. Quando voltarmos, continuaremos nossa conversa com Zack Katz, o fundador do TrustedLogin e do GravityKit. Então fique ligado.

Doc Pop: Bem-vindo de volta ao Press This, um podcast da comunidade WordPress no WMR. Meu nome é Doutor. Estou conversando com Zack Katz, o fundador do TrustedLogin e do GravityKit. Zack, no início do programa que você mencionou, acredito, um próximo recurso no TrustedLogin, onde você poderá acessar o status do Site Health com mais facilidade.

E não sei qual é o status de integridade do site do meu lado. Espero que você possa explicar um pouco sobre essa ferramenta e como uma empresa como a sua, como uma equipe de suporte pode se beneficiar de ter acesso ao Site Health.

Zack Katz: Claro. Portanto, quando você está fazendo a triagem de um bug e alguém diz que isso não está funcionando, há muitas perguntas fáceis que podem ser respondidas com o relatório de integridade do site no WordPress. Em ferramentas, há um submenu chamado Site Health, que inclui itens como qual versão do PHP, qual tema você está executando, quais outros plugins estão sendo executados.

Uma série de problemas pode ser resolvida conhecendo o fuso horário, conhecendo o idioma e todas as informações que você normalmente tem para fazer outra ida e volta ao suporte ao cliente e dizer: “Isso parece um bug. Parece algo que precisamos saber mais informações sobre o site. Você pode compartilhar isso copiando essas informações do painel Site Health, colando-as em um e-mail e respondendo a nós?”

Bem, agora com o lançamento do TrustedLogin na próxima semana, na verdade, há uma caixa de seleção que diz enviar um relatório de integridade do site. E se eles marcarem essa caixa ao conceder acesso, ele enviará automaticamente todas as informações para nós e elas serão anexadas ao tíquete existente. E vai ser muito bom para nossa equipe de suporte ao cliente porque eles não terão que fazer aquela pergunta de ida e volta.

E isso economiza o tempo de todos, incluindo o suporte, economiza o custo por solicitação de suporte, se essa for uma métrica que acompanhamos. E economiza tempo para o cliente, que pode corrigir seus bugs mais rapidamente e responder suas perguntas mais rapidamente.

Doc Pop: Então, acho que a última coisa que me vem à mente é, como alguém que está trabalhando no TrustedLogin, como você está construindo essa confiança com os desenvolvedores e agências para tentar integrar seu produto ao sistema deles? Parece que você pensa muito na criptografia e está muito atento a como lida com os dados das pessoas.

Como você está fazendo esse discurso de marketing para seus clientes em potencial?

Zack Katz: Estou começando com pessoas que conheço primeiro. uh, eles me conhecem, eu os conheço. Eu sei que eles têm esse problema com o fluxo de suporte ao cliente que todos nós temos no setor. E então estou começando com relacionamentos que já existem e espero que a partir daí as pessoas possam dizer, oh, este plug-in que eu uso, esta empresa em que confio, eles estão se integrando ao TrustedLogin.

E eu posso construir a mensagem dessa forma. Porque é uma história meio complicada de contar. Integrar com TrustedLogin e conceder acesso ao seu site é mais fácil, mas existem vários clientes com TrustedLogin. Há o usuário final e há o desenvolvedor, o fornecedor do plug-in.

E nós somos realmente um produto para ambos. Portanto, às vezes é difícil comunicar isso adequadamente.

Doc Pop: Mas parece que você vai superar isso. Você encontrou algum, algum problema até agora

Zack Katz: Por ser um kit de desenvolvimento de software que precisa ser integrado a um plug-in, pode ser complicado configurá-lo e executá-lo. Mas estamos trabalhando com Josh Pollock, com Plugin Machine, para que possamos criar um arquivo personalizado que pode ser baixado e facilmente instalado de forma autônoma a partir das instalações do compositor, que é uma coisa do desenvolvedor que pode se complicar rapidamente.

Vamos apenas fazer com que você possa fazer o download de um zip, descompactá-lo, inserir uma linha em seu plug-in e colocá-lo em funcionamento. Portanto, estamos trabalhando para torná-lo mais simples do lado do desenvolvedor. Já é, eu acho, muito bom para um desenvolvedor avançado, mas também não é tão bom para um desenvolvedor intermediário no momento.

Doc Pop: Então, se as pessoas quiserem aprender mais sobre o TrustedLogin, se quiserem se inscrever para testá-lo, existe um bom lugar para enviá-los para isso?

Zack Katz: Sim, vá para TrustedLogin.com e leia tudo sobre isso. Inscreva-se em uma lista de discussão. Estaremos enviando atualizações. E sim, por favor, expresse seu interesse, entre em contato comigo no Mastodon e faça perguntas porque eu adoraria falar sobre isso.

Doc Pop: Bem, Zack, muito obrigado por se juntar a nós hoje no Press This a WordPress Community Podcast. Tem sido muito divertido conversar com você e ouvir sobre os tipos de problemas que desenvolvedores, criadores de temas e agências podem ter nos quais eu não havia pensado, embora provavelmente já tenha feito um ping para eles. Eu provavelmente já lidei com alguns desses problemas antes, mesmo sem perceber.

TrustedLogin parece incrível. E se as pessoas quiserem seguir Zack, você pode fazê-lo em mastodon.social/@ZackKatz. Eu recomendo.

Doc Pop: Bom plugue. Obrigado por ouvir o Press This, um podcast da comunidade WordPress no WMR. Mais uma vez, meu nome é Doc e você pode acompanhar minhas aventuras com a revista Torque no Twitter @thetorquemag ou pode acessar torquemag.io, onde contribuímos com tutoriais, vídeos e entrevistas como esta todos os dias. Então confira torquemag.io ou siga-nos no Twitter. Você pode se inscrever no Press This no Red Circle, iTunes, Spotify ou baixá-lo diretamente em wmr.fm toda semana. Sou seu anfitrião, Doutor Popular. Apoio a comunidade WordPress por meio de minha função na WP Engine. E adoro destacar os membros da comunidade todas as semanas no Press This.