按此：TrustedLogin 如何改善支持体验

欢迎来到 Press This，WMR 的 WordPress 社区播客。 每集都有来自社区各地的嘉宾和 WordPress 开发人员面临的最大问题的讨论。 以下是原始录音的转录。

由 RedCircle 提供技术支持

Doc Pop ：您正在收听 Press This，WMR 上的 WordPress 社区播客。 每周我们都会聚焦 WordPress 社区的成员。 我是你的主人，Doc Pop。 我通过我在 WP Engine 的角色以及我在 TorqueMag.Io 上的贡献来支持 WordPress 社区，在那里我可以做播客、画卡通和教程视频。 检查出。

您可以在 Red Circle、iTunes、Spotify 上订阅 Press This，也可以直接从 wmr.fm 下载剧集。

作为代理或插件开发人员，如果您可以访问客户的仪表板，很多时候运行客户支持会变得非常容易。 但显然有很多关于请求这种访问权限以及如何完成的问题。

这就是为什么今天我们要和 Zack Katz 谈谈。 GravityKit 和 TrustedLogin 的创始人。 TrustedLogin 是一种新工具，它允许在客户和支持团队之间共享临时和加密访问，我非常高兴能在这一集中与他讨论这个问题。 扎克，据我所知，你一直在 WordPress 游戏中。

你是如何进入 WordPress 的？

Zack Katz：我最初是一名网页设计师和开发人员，我开始做一些非常糟糕的解决方案，让我的客户可以编辑他们自己的内容。 我登陆了旧的三位一体； Drupal、Joomla 或 WordPress。 Drupal 仍处于测试阶段。 Joomla 和今天一样令人困惑，而 WordPress 是一个后起之秀，大约是 2.5，我认为这是我开始使用的版本。

这是一个明显的赢家，我坠入爱河，这真的是，从那以后我一直在发展的东西

Doc Pop： WordPress 2.5 是什么时候。 这是什么时代？

扎克·卡茨： 2007 年。

波普博士：好的。 所以你已经看到了一些东西，并且你已经作为与客户打交道和支持很长一段时间的一部分，我想现在你现在的公司，GravityKit，你们都已经成长了。 首先，您为什么不告诉我们有关 GravityKit 的信息，然后我们可以谈谈 TrustedLogin。

Zack Katz： GravityKit，我们开发了基于 GravityForms 的应用程序。 因此，GravityForms 收集您想要用于您的业务的数据，而 GravityKit 允许您在此基础上构建强大的无代码应用程序。 因此，使用 GravityView，您可以使用 GravityCharts 显示数据，可以绘制数据图表等等。

你可以用它做一些非常酷、强大的事情。

Doc Pop：正如我之前在节目开头提到的，您现在拥有一个名为 TrustedLogin 的新工具。 它是一个附加工具包，开发人员可以将其添加到他们的插件中。 我相信还有其他方法可以做到。 你是怎么开始需要这个工具的？

然后您可以告诉我们 TrustedLogin 是什么。

Zack Katz：因此，对于插件开发人员、任何插件开发人员或主题开发人员来说，您会知道，如果您可以访问该网站，就更容易弄清楚网站上发生了什么。 过去这样做的方法是您要求获得管理员访问权限。 因此，您可以登录并查看内容。

但是管理员访问权限的问题是您可以访问所有内容。 每次我请求管理员访问权限时，我内心的一小部分都会说，扎克，这真是个坏主意。 这是解决单点故障的简单方法。 就像如果有人破解了您的电子邮件，那么他们就可以访问所有内容。

这是真的。 当您拥有网站的管理员访问权限时，大门就打开了，作为插件开发人员和企业主，我不想上钩。 这对企业来说似乎不安全，但它也不尊重我的客户公司，因为我想限制他们接触任何安全问题，不仅仅是我，还有和我一起工作的人。

我不希望我们的任何设备受到损害，导致他们的任何网站瘫痪。 因此，我考虑了可供 WordPress 开发人员使用的不同选项。 有临时链接密码，您可以在其中获得用于登录网站的临时链接。 该链接成为密码。 因此，如果有人通过电子邮件向您发送该链接，就等同于您拥有他们的电子邮件地址和密码。

它使共享访问变得容易，但它并没有解决传递可能不安全的凭据的问题。

Doc Pop：嗯嗯。

Zack Katz：所以，有一天我在使用 Codeable，我看到他们有一个加密的保险库，我觉得这真的很不错。

因此，就像当您与 Codeable.io 开发人员聊天时，您有一个加密的保险库，您可以在其中保存您的秘密，它会对其进行加密和解密，而且它非常容易工作。 我心想，一定有可能加密一个我可以使用并且我的客户可以共享的密钥，并且该密钥使用一些公共加密握手，从头到尾都是安全的。

这将是一种安全的授予访问权限的方式，可以公开共享，因为它不是密码。 所以我开始研究这个概念并聘请了 Codeable 的人来开发它。 从那里我们已经迭代了它。 我们已经研究它很长时间了，但我们现在一直在内部将它与 GravityView 和 GravityKit 一起使用。

我们每天都使用它，它为支持团队节省了大量时间，客户也很喜欢它。 你只需点击一个按钮，它就会生成一个密码，他们会与我们分享。 在接下来的一两周内推出，嘿，点击一个按钮，它会自动对 Zapier 进行网络挂钩，发布有关其网站的信息。

站点健康报告会自动添加以帮助侦察我们的服务台程序。 因此，如果他们愿意，我们甚至不必要求他们复制并粘贴他们的网站健康报告。

Doc Pop：嗯嗯。

从用户的角度来看，他们是否看到他们正在为您提供仪表板访问权限，或者它只是一个按钮，上面写着“单击此处连接到支持”？

Zack Katz：这是我在一些不同插件上看到的另一件事。 一些插件自己做这个。 他们创建了帐户，然后给自己发了一封新帐户电子邮件，因为这是您可以采用的一种方式。 你可以说当人们点击一个按钮时，只需生成一个帐户并为我们设置登录信息。 那很容易。

使用 TrustedLogin，我的主要目标之一是清晰明了，并让客户清楚地知道他们在给谁的时间里提供什么，比如这意味着什么。 因此，当他们授予访问权限时，我们会为他们提供一个摘要页面，上面写着：“将根据此角色创建一个具有此角色的用户帐户。”

开发人员有机会根据某个角色来构建某些东西，或者实际上让它成为角色。 因此，如果您有自定义，您可以说基于编辑器，但他们也可以访问此自定义帖子类型。 因此，可以向客户显示对角色的任何自定义。

将显示授予登录的时间量，并且很快将可自定义。 所以它说在一周内他们将被授予访问权限。 它显示了与 TrustedLogin 集成的公司的徽标。 它显示有关 TrustedLogin 本身的信息。 它说如果您对此感到不舒服，请单击以转到插件开发人员的网站本身并寻求支持。

所以我们给出了各种不同的说法，这就是正在发生的事情，这就是它发生的原因，这就是为什么我们需要我们需要的访问权限，如果你不想处理这个问题，这里有一个出路，你只想转到开发人员的网站。 那是一个选择。

Doc Pop： WordPress 中有不同类型的角色，有超级管理员、管理员、编辑、作者、贡献者，我们在这里做什么？ 它是我们通过 TrustedLogin 授予访问权限的编辑器吗？ 或者它甚至是某种实际上不是那些传统角色之一的特定事物？

Zack Katz：默认情况下，我们让开发人员自己选择将自定义或用于 TrustedLogin 访问的角色。 我们确实有一些被禁用的功能，即删除其他人的用户，这样您就无法访问和删除其他人的用户帐户。

您将自己的帐户升级到更高级别。 我们将增加人们请求升级的能力，并将该电子邮件发送给站点管理员，管理员可以允许这样做。 但我们不希望人们获得访问权限并能够通过升级来劫持该网站。

因此，只要授予 TrustedLogin 访问权限，就会有一些受限的功能不会被授予。

Doc Pop：我认为有很多次我在 Mastodon 上与朋友聊天或其他什么，你知道，只是谈论 WordPress 问题。 然后我会从我信任的人那里得到一个 DM，他们会说，“哟，我可以解决这个问题，只需为我创建一个管理员角色或其他什么。”

我只是忽略了那些我认为我对 WordPress 了解一点的内容，但只是一些基本的事情，比如何时向想要帮助你的人授予访问权限或其他什么。 我只是在情感上还没有弄清楚这一点。

你有什么建议吗，比如，一般来说，当有人说，“嘿，你能不能让我成为管理员，我会，我会为你解决这个问题？”

如果您信任那个人，并且如果他们在社区中表现良好或其他什么，这仍然是一个坏主意还是完全正常的事情？

Zack Katz：这取决于每个人自己的舒适程度。 我想如果你认识这个人，我不会在 Twitter DM 上发送任何东西，我会去共享一个秘密网站并加密，然后发送给他们，让他们解密，就像那样。

我不喜欢共享纯文本密码。 这不是一个好主意。

波普博士：是的。

Zack Katz：但在某种程度上你必须信任某人，这是零信任的东西。 但是，我不知道。 如果你认识某人并且他们愿意帮助你，我会说让它更容易一点，然后说，我可以让你订阅我的网站。

Doc Pop：那是我们休息的好地方。 在这里，我们与来自 TrustedLogin 和 GravityKit 的 Zack Katz 进行了交谈。 当我们回来时，我们将讨论如何通过加密与您的客户建立信任，通过您需要采取的任何方式让他们感到安全。 请继续关注更多新闻。

Doc Pop：欢迎回到 Press This，WMR 上的一个 WordPress 社区播客。 我叫 Doc，正在与 TrustedLogin 和 GravityKit 的创始人 Zack Katz 聊天。 节目开始时，我们谈到了这个新工具 TrustedLogin，以及支持团队如何通过它轻松获得他们可能需要的访问权限，从而快速解决问题。

以及 TrustedLogin 如何解决 Zack 遇到的这个问题。 我告诉他，我个人一直在试图弄清楚什么时候是使用这样的东西的好时机。 这让我们想起了你所说的，扎克，如果你要分享凭证，你肯定想用它来保证安全。

显然，我们正在讨论如果我在 Twitter 或 Mastodon 上与某人聊天，我会怎么做。 但我认为你正在做的是另一个级别的加密。 你能告诉我们你们是如何保护这些信息的吗？ 以及您保存它的时间以及您是否在保存时存储了任何个人信息。

扎克·卡茨：当然。 当用户授予对其网站的访问权限时，它会被加密并直接发送到 TrustedLogin，并加密存储在那里。 没有加密的一件事是他们网站的 URL。

这让我们在支持方面更容易找到它。 其他一切都是加密的。 如果它被黑客攻击并下载了所有内容，那也没关系，因为在客户端站点上生成了一个私钥。 这样我们就无法读取任何发生并存储在我们服务中的内容。

然后，当支持代表登录时，支持代表获得了客户提供给支持的密钥，我们输入该密钥作为支持代表询问 TrustedLogin，“嘿，你有匹配这个密钥的东西吗？” 该密钥被加密，然后搜索加密密钥，然后登录全部发生。

好消息是支持代表永远无法访问任何加密数据。 这一切都通过 TrustedLogin。 TrustedLogin，对客户端站点一无所知。 都是加密的。 所有握手只允许每个代表在任何特定时间看到最有限的数量，以便尽可能安全。

Doc Pop：我们有没有提到临时凭证？

Zack Katz：所以在 TrustedLogin 之上还有一个全新的安全级别，比如加密。 每当代表、支持代表尝试登录到客户端站点时，客户端站点就会询问，TrustedLogin 再一次，然后再授予访问权限，此密钥是否仍然有效？

请求有效吗？ 是否允许此人和客户站点，之前检查所有这些东西。 然后客户端站点还说，是在我授予的访问窗口内经过的时间，因此这是一个过期的请求。 如果请求过期，登录将被拒绝。

所以请求自动超时，非常安全。 它可以作为密钥公开共享。 我觉得我们找到了一个非常好的平衡点，因为对于各种加密和安全问题，便利性和安全性之间总是存在平衡点。 而且我认为我们已经找到了一个非常好的组合，它仍然非常方便并且仍然非常安全，但它并不太安全以至于不方便。

Doc Pop：嗯嗯。 你说透明度是你的一个重点，我很欣赏，向用户传达他们授予的权限，然后如果角色需要升级，也会标记站点管理员，这样一些低级贡献者就不会意外授予对站点的过多访问权限。 是对的吗？

Zack Katz：是的，我们的授权访问屏幕可见的唯一方法是您是否有能力创建用户。 我们不希望没有这种能力的人这样做，因为您正在后端创建用户。

Doc Pop：作为一名 WordPress 用户，有时会联系各种插件的客户支持。 我不太确定他们这边经常发生什么。 是否有一套工具，许多插件往往会经常使用，例如，处理我什至不会将其视为客户的客户支持。

Zack Katz：我认为 Help Scout 在 WordPress 插件社区中的使用率非常高。 它是一个服务台，有点像您的电子邮件收件箱，但它具有分类工具和自动回复器，并保存回复并与一些文档、搜索和其他东西集成。

所以我认为 Help Scout 是 WordPress 开发人员使用的更受欢迎的网站之一。

Doc Pop： Help Scout 是否与 TrustedLogin 兼容？

Zack Katz：所以，如果你给 GravityKit 支持发邮件说，嘿，我需要一些帮助。 我们开发的 Help Scout 中的 TrustedLogin 小部件将自动显示是否已授予站点访问权限。 因此，有一段时间支持代表正在使用 Help Scout。

他们会看到，嘿，我只需单击即可访问该站点。 点击它重定向到他们自己的网站，所以像 GravityKit.com，然后 GravityKit.com 与 TrustedLogin 进行授权检查并自动重定向客户的站点。 因此，在我们提供支持的同时，如果有人已经授予访问权限，您只需单击一下即可安全地进入客户的网站。

Doc Pop：而且我认为我非常关注插件开发人员，也许将其用作附加组件。 您提到主题开发人员可以使用它。 如果他们为客户建立网站，这是否也像代理机构一样，是否有一种方法可以将 TrustedLogin 集成到他们的工作流程中？

扎克·卡茨：当然。 是的。 我认为，出于责任目的，代理机构并不总是希望永久访问客户的站点，但他们有时也喜欢将其移交而不是永久参与。

如果客户随后想让他们进行更改，他们可以授予 TrustedLogin 访问权限。 我们有一个独立的插件，它只是受信任的日志，它不与其他现有插件或主题集成，所以您可以在设置网站时安装 TrustedLogin 插件，然后每当客户端需要授予访问权限时，他们可以单击授予访问权限，并且您可以在特定时间内访问。 所以这对代理机构也很好。 授予对站点的临时访问权限。

Doc Pop：这是一个很酷的工作流程，因为我一直认为它是您只需构建到插件中的东西，然后将其放入其中。 但是将它作为一个独立的插件，这也很有意义。 而且我还没有真正听说过，我想一个机构希望能够将自己从这样的项目中移除，这非常酷。

这是有道理的，有时一个机构可能只想为您建立一个网站，由您来负责，如果以后出现问题，您不能责怪他们。 它有点像在你的手中。 但是，如果他们确实需要重新进入，如果他们按小时计费，或者如果他们意识到自己犯了一个错误或其他什么，如果他们需要重新进入。

这是他们能够做到这一点的一种方式，对吧？

扎克·卡茨：是的。 我们目前正在构建的其中一项功能是审计日志功能。 对于网络托管公司，例如任何时候有人使用 TrustedLogin，我们都会在后端永远记录它，只要请求被批准，这样我们就可以确保我们有审计。

但对于机构来说，他们可能想说，这是我们登录的时间，这是访问权限被撤销的时间。 所以他们有一种方法可以参考并说，你知道，这是确认的。 这是众所周知的安全目的，但也用于小时记录。 是的。

Doc Pop：我认为我们还有另一个可以快速休息的好地方。 当我们回来时，我们将继续与 TrustedLogin 和 GravityKit 的创始人 Zack Katz 的对话。 敬请期待。

Doc Pop：欢迎回到 Press This，WMR 上的 WordPress 社区播客。 我叫博士。 我正在与 TrustedLogin 和 GravityKit 的创始人 Zack Katz 聊天。 Zack，早些时候你在节目中提到我相信，TrustedLogin 中即将推出的一项功能，您将能够更轻松地访问站点健康状态。

而且我不知道我这边的 Site Health Status 是什么。 我希望您能稍微解释一下该工具，以及像您这样的公司、支持团队如何从访问 Site Health 中获益。

扎克·卡茨：当然。 因此，当您对错误进行分类时，有人说这不起作用，WordPress 上的网站健康报告可以回答很多简单的问题。 在工具下，有一个名为 Site Health 的子菜单，其中包括诸如 PHP 版本、正在运行的主题、正在运行的其他插件等内容。

通过了解时区、语言和通常需要进行另一次客户支持往返并说“这听起来像是一个错误”的所有信息，可以解决一大堆问题。 听起来我们需要了解有关该网站的更多信息。 您可以通过从网站健康仪表板复制此信息并将其粘贴到电子邮件中并回复我们来分享吗？

好吧，现在 TrustedLogin 实际上会在下周推出，有一个复选框显示发送站点健康报告。 如果他们在授予访问权限时选中该框，它会自动将所有信息发送给我们，并且它会附加到现有票证上。 这对我们的客户支持团队来说非常好，因为他们不必问那个往返问题。

如果这是我们跟踪的指标，那么这可以节省每个人的时间，包括支持，节省每个支持请求的成本。 它为客户节省了时间，他们可以更快地修复错误并更快地回答他们的问题。

Doc Pop：所以我想我想到的最后一件事是，作为从事 TrustedLogin 工作的人，您如何与开发人员和机构建立信心以尝试将您的产品集成到他们的系统中？ 听起来你在加密方面投入了很多心思，只是非常注意你如何处理人们的数据。

您如何向潜在客户进行营销宣传？

Zack Katz：我先从我认识的人开始。 呃，他们认识我，我认识他们。 我知道他们的客户支持流程存在这个问题，我们在这个行业中都有。 因此，我从已经存在的关系开始，希望人们可以从那里说，哦，我使用的这个插件，我信任的这家公司，他们正在与 TrustedLogin 集成。

我可以那样构建信息。 因为这是一个复杂的故事。 与 TrustedLogin 集成并授予对您站点的访问权限更容易，但 TrustedLogin 有多个客户。 有最终用户，有开发人员，即插件供应商。

我们真的是两者的产品。 所以有时很难正确地传达这一点。

Doc Pop：但听起来你会克服它。 到目前为止，你有没有发现任何麻烦

Zack Katz：因为它是一个需要与插件集成的软件开发工具包，所以设置和运行起来可能很复杂。 但是我们正在与 Josh Pollock 和 Plugin Machine 合作，这样我们就可以构建一个可下载的自定义文件，并且可以轻松地从作曲家安装中独立安装，这是一个开发人员的事情，很快就会变得复杂。

我们只是要做到这一点，这样你就可以下载一个 zip，解压它，在你的插件中放一行，然后它就会启动并运行。 因此，我们正在努力从开发人员的角度让它变得更简单。 我认为，对于高级开发人员来说，它已经相当不错了，但目前对于中级开发人员来说还不太好。

Doc Pop：因此，如果人们想了解有关 TrustedLogin 的更多信息，如果他们想注册以对其进行测试，是否有适合他们的地方？

Zack Katz：是的，去 TrustedLogin.com 阅读所有相关内容。 注册一个邮件列表。 我们将发送更新。 是的，请表达您的兴趣，在 Mastodon 上与我联系并提出问题，因为呃，我很乐意谈论它。

Doc Pop：好的，Zack，非常感谢您今天加入我们的 Press This a WordPress 社区播客。 和你聊天真的很有趣，听到了开发者、主题制作者和代理机构可能遇到的我没有想到的问题，尽管我可能已经联系过他们了。 我以前可能在不知不觉中处理过其中一些问题。

TrustedLogin 听起来棒极了。 如果人们想关注 Zack，您可以在 mastodon.social/@ZackKatz 上关注。 我强烈推荐它。

Doc Pop：好插头。 感谢收听 Press This，WMR 上的 WordPress 社区播客。 再一次，我的名字叫 Doc，你可以在 Twitter @thetorquemag 上关注我在 Torque 杂志上的冒险经历，或者你可以去 torquemag.io，我们每天都会在这里提供教程、视频和采访。 因此，请查看 torquemag.io 或在 Twitter 上关注我们。 您可以在 Red Circle、iTunes、Spotify 上订阅 Press This，也可以每周直接在 wmr.fm 上下载。 我是你的主持人 Doctor Popular 我通过我在 WP Engine 的角色支持 WordPress 社区。 我喜欢每周都在 Press This 上关注社区成员。