Press This: Как TrustedLogin улучшает качество поддержки

Добро пожаловать в Press This, подкаст сообщества WordPress от WMR. В каждом выпуске участвуют гости со всего сообщества и обсуждаются самые большие проблемы, стоящие перед разработчиками WordPress. Ниже приводится транскрипция оригинальной записи.

Работает на RedCircle

Doc Pop : вы слушаете Press This, подкаст сообщества WordPress на WMR. Каждую неделю мы освещаем участников сообщества WordPress. Я ваш хозяин, Док Поп. Я поддерживаю сообщество WordPress через свою роль в WP Engine и мой вклад в TorqueMag.Io, где я делаю подкасты, рисую мультфильмы и обучающие видео. Проверь это.

Вы можете подписаться на Press This в Red Circle, iTunes, Spotify или загружать выпуски прямо на wmr.fm.

Как агентство или разработчик плагинов, во многих случаях поддержка клиентов могла бы быть намного проще, если бы у вас был доступ к панели управления вашего клиента. Но, очевидно, есть много вопросов, касающихся запроса такого доступа и того, как это можно сделать.

Поэтому сегодня мы поговорим с Заком Кацем. Основатель GravityKit и TrustedLogin. TrustedLogin — это новый инструмент, который позволяет клиентам и службам поддержки делиться временным и зашифрованным доступом, и я очень рад поговорить с ним об этом в этом эпизоде. Зак, ты в игре WordPress столько, сколько я знаю.

Как вы попали в WordPress?

Зак Кац: Я начинал как веб-дизайнер и разработчик, и я начал с нескольких действительно дерзких решений, позволяющих моим клиентам редактировать свой собственный контент. И я приземлился на старую Троицу; Друпал, Джумла или Вордпресс. И Drupal все еще был в бета-версии. Joomla была такой же запутанной, как и сегодня, а WordPress был многообещающим в версии 2.5, я думаю, это была версия, с которой я начал.

И это был явный победитель, и я влюбился, и это действительно было тем, над чем я работал с тех пор.

Doc Pop: Когда был WordPress 2.5. Какая это эпоха?

Зак Кац: 2007.

Док Поп: Хорошо. Итак, вы видели кое-что, и вы были частью этого, имея дело с клиентами и поддержкой в ​​​​течение долгого времени, и я полагаю, что с вашей нынешней компанией, GravityKit, вы все выросли. Во-первых, почему бы вам не рассказать нам о GravityKit, а потом мы поговорим о TrustedLogin.

Зак Кац: GravityKit, мы делаем приложения, работающие поверх GravityForms. Таким образом, GravityForms собирает данные, которые вы хотите использовать для своего бизнеса, а GravityKit позволяет вам создавать на их основе мощные приложения без кода. Таким образом, с GravityView вы можете отображать данные с помощью GravityCharts, вы можете отображать данные в виде графиков и так далее.

И с ним можно делать действительно крутые, мощные вещи.

Док Поп: И, как я упоминал ранее в начале шоу, у вас есть новый инструмент, который теперь называется TrustedLogin. Это дополнительный набор, который разработчик может добавить к своему плагину. Я уверен, что есть и другие способы. Как вам впервые понадобился этот инструмент?

И тогда вы можете рассказать нам о том, что такое TrustedLogin.

Зак Кац: Итак, разработчикам плагинов, любым разработчикам плагинов или разработчикам тем следует знать, что гораздо проще понять, что происходит с веб-сайтом, если у вас есть доступ к этому веб-сайту. И способ сделать это в прошлом заключался в том, что вы запрашивали доступ администратора. Таким образом, вы можете войти и проверить вещи.

Но проблема с доступом администратора в том, что у вас есть доступ ко всему. И каждый раз, когда я просил доступ администратора, какая-то часть меня внутри говорила: «Зак, это действительно плохая идея». Это простой способ для единой точки отказа. Например, если кто-то взломает вашу электронную почту, у него будет доступ ко всему.

И это правда. Ворота открыты, когда у вас есть доступ администратора к веб-сайту, и как разработчик плагинов и владелец бизнеса я не хотел быть на крючке. Это не казалось безопасным для бизнеса, но это также неуважительно по отношению к компании моих клиентов, потому что я хотел ограничить их подверженность любым проблемам безопасности, не только мне, но и людям, с которыми я работаю.

Я не хотел, чтобы какое-либо из наших устройств было скомпрометировано, что привело к отключению любого из их сайтов. Поэтому я подумал о различных вариантах для разработчиков WordPress. Существуют временные пароли ссылок, где вы получаете временную ссылку для входа на веб-сайт. Эта ссылка становится паролем. Так что, если кто-то отправит вам эту ссылку по электронной почте, это будет то же самое, что и его адрес электронной почты и его пароль.

Это упрощает совместное использование доступа, но не решает проблему передачи потенциально небезопасных учетных данных.

Док Поп: Мм-м-м.

Зак Кац: Итак, однажды я использовал Codeable и увидел, что у них есть зашифрованное хранилище, и я подумал, что это действительно здорово.

Например, пока вы общаетесь со своим разработчиком Codeable.io, у вас есть зашифрованное хранилище, где вы можете хранить свои секреты, и оно шифрует и расшифровывает их, и это работает очень легко. И я подумал про себя, что должна быть возможность зашифровать ключ, который я мог бы использовать, и мои клиенты могли бы поделиться, и этот ключ, используя некоторое общедоступное шифрование, может быть безопасным от начала до конца.

И что это будет безопасный способ предоставления доступа, которым можно будет поделиться, потому что это не пароль. Поэтому я начал работать над концепцией и нанял кого-то из Codeable для ее разработки. И оттуда мы повторили это. Мы работали над ним уже давно, но теперь используем его внутри с GravityView и GravityKit.

И мы используем его каждый день, и это экономит массу времени команде поддержки, а клиентам это нравится. Вы просто нажимаете кнопку, он генерирует пароль, которым они делятся с нами. А через неделю или две они выйдут, они нажмут на кнопку, и он автоматически подключится к Zapier, который будет публиковать информацию об их веб-сайте.

Отчет о работоспособности сайта автоматически добавляется для помощи в поиске нашей программы службы поддержки. И поэтому нам даже не придется просить их скопировать и вставить отчет о работоспособности сайта, если они согласятся на это.

Док Поп: Мм-м-м.

С точки зрения пользователя, видят ли они, что они предоставляют вам доступ к панели инструментов, или это просто кнопка с надписью «Нажмите здесь, чтобы подключиться к поддержке»?

Зак Кац: Это еще одна вещь, которую я видел в некоторых плагинах. Некоторые плагины делают это сами. Они создают учетную запись и просто отправляют себе электронное письмо с новой учетной записью, потому что это один из способов, которым вы можете воспользоваться. Вы могли бы просто сказать, когда люди нажимают кнопку, просто создайте учетную запись и укажите данные для входа. Это очень легко.

С TrustedLogin одной из основных целей, которые я преследовал, была ясность и ясность для клиента, что они дают, на какой срок, кому, например, что это значит. Поэтому мы предоставляем им сводную страницу, когда они предоставляют доступ, на которой говорится: «Учетная запись пользователя будет создана с этой ролью на основе этой роли».

У разработчиков есть возможность основывать что-то на роли или на самом деле сделать так, чтобы это была роль. Итак, если у вас есть настройка, вы можете сказать на основе редактора, но у них также есть доступ к этому пользовательскому типу записи. Таким образом, любые настройки роли могут быть показаны клиенту.

Количество времени, в течение которого будет предоставлен логин, отображается и скоро будет настраиваемо. Там сказано, что в течение одной недели им будет предоставлен доступ. Он показывает логотип компании, которая интегрируется с TrustedLogin. Он показывает информацию о самом TrustedLogin. В нем говорится, что если вы не чувствуете себя комфортно по этому поводу, нажмите, чтобы перейти на сайт самого разработчика плагина и попросить поддержки.

Итак, мы даем всевозможные способы сказать, вот что происходит, вот почему это происходит, вот почему нам нужен доступ, который нам нужен, и вот выход, если вы не хотите иметь дело с этим, вы просто хотите зайдите на сайт разработчика. Это вариант.

Doc Pop: В WordPress есть разные типы ролей: суперадминистратор, администратор, редактор, автор, участник, что мы здесь делаем? Это редактор, к которому мы предоставляем доступ через TrustedLogin? Или это даже какая-то особенная вещь, которая на самом деле не является одной из этих традиционных ролей?

Зак Кац: По умолчанию у нас так, что разработчик сам выбирает, какая роль будет настроена или использована для доступа TrustedLogin. У нас есть некоторые отключенные возможности, такие как удаление чужих пользователей, чтобы вы не могли получить доступ и удалить учетные записи пользователей.

Вы поднимаете свой аккаунт на более высокий уровень. Мы собираемся добавить возможность для людей запрашивать эскалацию и иметь это электронное письмо, которое администратор сайта может разрешить для этого. Но мы не хотели, чтобы люди получили доступ и могли взломать сайт путем эскалации.

Таким образом, есть некоторые ограниченные возможности, которые не предоставляются при предоставлении доступа TrustedLogin.

Док Поп: Я думаю, что было несколько раз, когда я был на Mastodon в чате с другом или кем-то еще, знаете, просто говорил о проблеме WordPress. А потом я получу сообщение от кого-то, кому я доверяю, и он скажет: «Эй, я могу это исправить, просто создайте для меня роль администратора или что-то в этом роде».

Я просто проигнорировал тех, кто, как я думаю, немного разбирается в WordPress, но просто основные вещи, например, когда предоставлять доступ людям, которые хотят вам помочь, или что-то в этом роде. Я просто не понял этого эмоционально.

У вас есть какой-нибудь совет, например, просто в общем, например, когда кто-то говорит: «Эй, можешь сделать меня админом, и я, и я исправлю это для тебя?»

Если вы доверяете этому человеку и если он хороший в сообществе или что-то в этом роде, это все еще плохая идея или это совершенно нормальное поведение?

Зак Кац: Каждый сам должен определить для себя уровень комфорта. Я думаю, что если вы знаете человека, и я бы ничего не отправлял в твиттер DM, я бы пошел на веб-сайт Share a secret, зашифровал его, отправил ему и попросил расшифровать, как будто это путь.

Я не люблю делиться простыми текстовыми паролями. Это просто не очень хорошая идея.

Док Поп: Да.

Зак Кац: Но на каком-то уровне вы должны кому-то доверять, есть вещи с нулевым доверием. Но типа не знаю. Если вы знаете кого-то, и они предлагают вам помощь, я бы посоветовал сделать это немного проще, чем сказать, что я могу предоставить вам подписной доступ к моему сайту.

Док Поп: Это хорошее место для нас, чтобы сделать перерыв. Здесь мы беседуем с Заком Кацем из TrustedLogin и GravityKit. Когда мы вернемся, мы поговорим о том, как завоевать доверие ваших клиентов с помощью шифрования, с помощью любых средств, которые вам нужно использовать, чтобы они чувствовали себя в безопасности. Так что следите за новостями Press This.

Doc Pop: Добро пожаловать в Press This, подкаст сообщества WordPress на WMR. Меня зовут Док, и я общаюсь с Заком Кацем, основателем TrustedLogin и GravityKit. В начале шоу мы говорили об этом новом инструменте TrustedLogin и о том, как это простой способ для службы поддержки получить доступ, который им может понадобиться для быстрого решения проблемы.

И как TrustedLogin решает эту проблему, связанную с проблемой, с которой столкнулся Зак. И я сказал ему, что лично пытался понять, когда лучше всего использовать что-то подобное. И это подводит нас к тому, что ты говорил, Зак, о том, что если ты собираешься делиться учетными данными, ты определенно хочешь быть в безопасности.

И, очевидно, мы говорим о том, если бы я болтал с кем-то в Twitter или Mastodon, как бы я это сделал. Но я думаю, что то, что вы делаете, это совершенно другой уровень шифрования. Не могли бы вы рассказать нам о том, как вы защищаете эту информацию? И как долго вы его храните и храните ли вы какую-либо личную информацию при этом.

Зак Кац: Конечно. Когда пользователь предоставляет доступ к своему веб-сайту, он шифруется и отправляется непосредственно в TrustedLogin, где хранится в зашифрованном виде. И единственное, что не зашифровано, — это URL-адрес их веб-сайта.

И это позволяет нам немного легче найти поддержку. Все остальное зашифровано. Если бы его взломали и все скачали, это не имело бы значения, потому что на клиентском сайте был сгенерирован закрытый ключ. Так что мы не можем прочитать ничего, что отправляется и сохраняется в нашем сервисе.

Затем, когда представитель службы поддержки входит в систему, представителю службы поддержки предоставляется ключ, который клиент передает службе поддержки, мы вводим этот ключ, поскольку представитель службы поддержки спрашивает TrustedLogin: «Эй, у вас есть что-нибудь, что соответствует этому ключу?» Этот ключ шифруется, затем выполняется поиск зашифрованного ключа, после чего происходит вход в систему.

Приятно то, что представитель службы поддержки никогда не имеет доступа к этим зашифрованным данным. Все это проходит через TrustedLogin. TrustedLogin ничего не знает о клиентском сайте. Это все зашифровано. Все рукопожатия позволяют видеть только самое ограниченное количество данных каждому представителю в любое конкретное время, чтобы оно было настолько безопасным, насколько это возможно.

Док Поп: Мы упоминали временные учетные данные?

Зак Кац: Итак, поверх TrustedLogin есть совершенно другой уровень безопасности, например, шифрование. Каждый раз, когда представитель, представитель службы поддержки, пытается войти на клиентский сайт, клиентский сайт затем спрашивает TrustedLogin еще раз, прежде чем предоставить доступ, этот ключ все еще действителен?

Является ли запрос действительным? Разрешен ли человек и клиентский сайт, проверяет все это раньше. Затем клиентский сайт также говорит, что это время, прошедшее в пределах окна доступа, которое я предоставил, поэтому это просроченный запрос. И если срок запроса истек, вход в систему отклоняется.

Таким образом, запросы автоматически истекают, это очень безопасно. Он общедоступен в качестве ключа. Я чувствую, что мы нашли действительно хороший баланс, потому что с любым шифрованием и проблемой безопасности всегда есть баланс между удобством и безопасностью. И я думаю, что мы нашли действительно хорошее сочетание этого, где это по-прежнему очень удобно и по-прежнему действительно безопасно, но не слишком безопасно, чтобы быть неудобным.

Док Поп: Мм-м-м. И вы сказали, что для вас большое внимание уделяется прозрачности, что я ценю, сообщая пользователям, на что они дают разрешение, а затем также помечая администраторов сайта, если роль должна быть эскалирована, чтобы какой-нибудь скромный участник не мог случайно предоставить слишком большой доступ к сайту. Это правильно?

Зак Кац: Да, наш экран предоставления доступа виден только в том случае, если у вас есть возможность создавать пользователей. Мы не хотим, чтобы люди, у которых нет такой возможности, делали это, потому что вы создаете пользователя в бэкэнде.

Doc Pop: как пользователь WordPress, который иногда обращался в службу поддержки по поводу различных плагинов. Я не совсем уверен, что часто происходит с их стороны. Есть ли набор инструментов, которые многие плагины, как правило, часто используют, например, для поддержки клиентов, которые я бы даже не увидел как клиент.

Зак Кац: Я думаю, что Help Scout очень широко используется в сообществе плагинов WordPress. Это справочная служба, которая похожа на вашу электронную почту, но в ней есть инструменты сортировки, автоответчики, сохраненные ответы и интеграция с некоторой документацией, поиском и прочим.

Поэтому я думаю, что Help Scout — один из самых популярных сайтов, используемых разработчиками WordPress.

Doc Pop: совместим ли Help Scout с TrustedLogin?

Зак Кац: Итак, если бы вы написали по электронной почте в службу поддержки GravityKit и сказали: «Эй, мне нужна помощь». Разработанный нами виджет TrustedLogin в Help Scout будет автоматически показывать, был ли предоставлен доступ к сайту. И так какое-то время представитель службы поддержки использует Help Scout.

Они увидят: Эй, я могу просто щелкнуть, чтобы получить доступ к сайту. Нажмите, чтобы перенаправить на их собственный веб-сайт, например GravityKit.com, а затем GravityKit.com выполняет проверку авторизации с помощью TrustedLogin и автоматически перенаправляет сайт клиента. Поэтому, пока мы оказываем поддержку, если кто-то уже предоставил доступ, вы можете просто щелкнуть одним щелчком мыши и безопасно войти на веб-сайт клиента.

Doc Pop: И я думаю, что много внимания уделял разработчикам плагинов, возможно, используя это как надстройку. Вы упомянули, что разработчики тем могут использовать это. Это также что-то вроде агентства, если они создали сайт для клиента, есть ли способ, которым они могли бы интегрировать TrustedLogin в свой рабочий процесс?

Зак Кац: Абсолютно. Ага. Я думаю, что агентства не всегда хотят иметь постоянный доступ к сайту клиента в целях ответственности, но также они любят иногда отдавать его в руки и не быть постоянно вовлеченными.

Если клиент затем хочет, чтобы они вносили изменения, он может предоставить доступ TrustedLogin. У нас есть отдельный плагин, который является только доверенным журналом и не интегрируется с другим существующим плагином или темой, поэтому вы можете просто установить плагин TrustedLogin при настройке веб-сайта, а затем всякий раз, когда клиенту нужно предоставить доступ, он может щелкнуть предоставить доступ, и у вас есть доступ в течение определенного периода времени. Так что это отлично подходит и для агентств. Предоставление временного доступа к сайту.

Doc Pop: Это классный рабочий процесс, потому что я думал о нем как о чем-то, что вы просто встраиваете в плагин и просто держите его там. Но иметь его как отдельный плагин тоже имеет смысл. И я действительно не слышал об агентстве, которое хочет как бы отказаться от такого проекта, это довольно круто.

Это имеет смысл, потому что иногда агентство может просто захотеть создать сайт для вас, и вы должны позаботиться об этом, и вы не можете винить их, если что-то пойдет не так позже. Это вроде как в твоих руках. Но если им когда-нибудь понадобится вернуться, если они будут платить по часам или если они поймут, что допустили ошибку или что-то в этом роде, если им когда-нибудь понадобится этот доступ обратно.

Это способ для них быть в состоянии сделать это, не так ли?

Зак Кац: Да. И одна из вещей, которую мы сейчас разрабатываем, — это функциональность журнала аудита. Где для веб-хостинговых компаний, например, каждый раз, когда кто-то использует TrustedLogin, мы постоянно регистрируем это в бэкэнде, всякий раз, когда запрос предоставляется, чтобы мы могли убедиться, что у нас есть аудит.

Но для агентств, они могут сказать, что это когда мы входили в систему, когда доступ был отозван. Так что у них есть кое-что, на что они могут сослаться и сказать, что это, знаете ли, подтверждено. Это известно из соображений безопасности, а также для часовой регистрации. Ага.

Док Поп: Думаю, есть еще одно хорошее место, где мы можем немного передохнуть. Когда мы вернемся, мы продолжим нашу беседу с Заком Кацем, основателем TrustedLogin и GravityKit. Так что следите за обновлениями.

Doc Pop: Добро пожаловать в Press This, подкаст сообщества WordPress на WMR. Меня зовут Док. Я разговариваю с Заком Кацем, основателем TrustedLogin и GravityKit. Зак, ранее в шоу вы упомянули, я полагаю, будущую функцию в TrustedLogin, с помощью которой вы сможете более легко получить доступ к статусу работоспособности сайта.

И я не знаю, какой у меня статус работоспособности сайта. Я надеюсь, что вы можете немного объяснить об этом инструменте и о том, как такая компания, как ваша, какую пользу может извлечь команда поддержки из доступа к Site Health.

Зак Кац: Конечно. Поэтому, когда вы проводите сортировку ошибок, а кто-то говорит, что это не работает, возникает множество простых вопросов, на которые можно ответить с помощью отчета о работоспособности сайта в WordPress. В разделе «Инструменты» есть подменю «Здоровье сайта», которое включает в себя такие вещи, как версия PHP, какую тему вы используете, какие другие плагины работают.

Целый ряд проблем можно решить, зная часовой пояс, зная язык и всю ту информацию, которую вы обычно имеете, чтобы еще раз обратиться в службу поддержки и сказать: «Это похоже на ошибку. Похоже, нам нужно знать больше информации о сайте. Можете ли вы поделиться этим, скопировав эту информацию с панели управления сайтом, вставив ее в электронное письмо и ответив нам?»

Что ж, теперь, когда TrustedLogin выйдет на следующей неделе, на самом деле есть флажок, который говорит, что нужно отправить отчет о работоспособности сайта. И если они отметят этот флажок при предоставлении доступа, они автоматически отправят всю эту информацию нам, и она будет просто прикреплена к существующему запросу. И это будет так приятно для нашей службы поддержки клиентов, потому что им не придется задавать этот вопрос туда и обратно.

И это экономит время всем, включая техподдержку, экономит затраты на запрос в техподдержку, если бы мы отслеживали эту метрику. И это экономит время для клиентов, которые могут быстрее исправлять свои ошибки и быстрее получать ответы на свои вопросы.

Док Поп: Думаю, последнее, что приходит мне на ум, как человеку, работающему над TrustedLogin, как вы укрепляете доверие между разработчиками и агентствами, чтобы попытаться интегрировать ваш продукт в их систему? Похоже, вы много думали о шифровании и просто очень внимательно относитесь к тому, как вы обрабатываете данные людей.

Как вы делаете этот маркетинговый шаг своим потенциальным клиентам?

Зак Кац: Сначала я начинаю с людей, которых знаю. ну, они знают меня, я знаю их. Я знаю, что у них есть проблема с потоком поддержки клиентов, которая есть у всех в отрасли. Итак, я начинаю с отношений, которые уже существуют, и, надеюсь, оттуда люди смогут сказать, о, этот плагин, который я использую, эта компания, которой я доверяю, они интегрируются с TrustedLogin.

И я могу построить сообщение таким образом. Потому что это довольно сложная история. Интеграция с TrustedLogin и предоставление доступа к вашему сайту упрощается, но у TrustedLogin есть несколько клиентов. Есть конечный пользователь и есть разработчик, поставщик плагинов.

И мы действительно продукт для обоих. Поэтому иногда трудно правильно донести это.

Док Поп: Но, похоже, ты преодолеешь это. Вы нашли какие-либо проблемы до сих пор

Зак Кац: Поскольку это комплект для разработки программного обеспечения, который необходимо интегрировать с подключаемым модулем, его установка и запуск могут быть сложными. Но мы работаем с Джошем Поллоком над Plugin Machine, чтобы мы могли создать настраиваемый файл, который можно загрузить и легко установить отдельно от установки композитора, что является задачей разработчика, которая может быстро усложниться.

Мы просто собираемся сделать так, чтобы вы могли скачать zip, разархивировать его, вставить строку в свой плагин, и все готово. Поэтому мы работаем над тем, чтобы сделать его проще со стороны разработчиков. Я думаю, что это уже довольно хорошо для продвинутого разработчика, но на данный момент это не так хорошо для разработчика среднего уровня.

Док Поп: Итак, если люди хотят узнать больше о TrustedLogin, если они хотят зарегистрироваться, чтобы протестировать его, есть ли хорошее место, куда их можно отправить?

Зак Кац: Да, зайдите на TrustedLogin.com и прочитайте все об этом. Подпишитесь на список рассылки. Мы будем рассылать обновления. И да, пожалуйста, выразите свой интерес, свяжитесь со мной на Mastodon и задайте вопросы, потому что я бы хотел поговорить об этом.

Док Поп: Что ж, Зак, большое спасибо, что присоединились к нам сегодня в подкасте сообщества Press This a WordPress. Было очень весело поболтать с вами и услышать о проблемах, которые могут возникнуть у разработчиков, создателей тем и агентств, о которых я не думал, хотя, вероятно, я их пинговал. Я, вероятно, имел дело с некоторыми из этих проблем раньше, даже не осознавая этого.

TrustedLogin звучит потрясающе. И если люди хотят подписаться на Зака, вы можете сделать это на mastodon.social/@ZackKatz. Я очень рекомендую это.

Док Поп: Хороший штекер. Спасибо, что слушаете Press This, подкаст сообщества WordPress на WMR. Еще раз, меня зовут Док, и вы можете следить за моими приключениями с журналом Torque в Твиттере @thetorquemag или вы можете зайти на Torquemag.io, где мы публикуем учебные пособия, видео и интервью, подобные этому, каждый день. Так что заходите на Tortormag.io или следите за нами в Твиттере. Вы можете подписаться на Press This в Red Circle, iTunes, Spotify или загружать его непосредственно на wmr.fm каждую неделю. Я ваш ведущий Doctor Popular. Я поддерживаю сообщество WordPress благодаря своей роли в WP Engine. И я люблю освещать членов сообщества каждую неделю в Press This.