Kto powinien mieć dostęp do hostingu w małej firmie?
W jednym z artykułów wyjaśniliśmy, jak możesz łatwo przekazać dostęp do konta FTP, np. informatykowi, jak również jak utworzyć dodatkowego użytkownika w CMS WordPress, co przydaje się np. we współpracy z agencją SEO czy copywriterem (czytaj: role użytkowników WordPress). Tym razem porozmawiamy ogólnie o tym, kto powinien mieć dostęp do usług hostingowych w firmie, jakie uprawnienia są mu potrzebne i czy na pewno powinien zarządzać usługą, czy też nie. Przyjrzymy się kilku zespołom w firmie, które mogą takiego dostępu potrzebować.
Spis treści:
- Właściciel firmy jako główny administrator
- Osoba techniczna odpowiedzialna za stronę
- Zespół marketingu i treści — dostęp ograniczony
- Zewnętrzni wykonawcy — dostęp tymczasowy
- Dlaczego nie każdy pracownik powinien mieć dostęp do hostingu?
Zanim w ogóle przydzielisz komukolwiek dostęp do hostingu, warto odpowiedzieć na kilka fundamentalnych pytań: kto w firmie faktycznie rozumie, co to jest panel hostingowy, jakie operacje można w nim wykonać i jakie konsekwencje ma każda zmiana? Inaczej wygląda to w jednoosobowej działalności, gdzie właściciel sam zarządza wszystkim, a inaczej w firmie zatrudniającej 20–30 osób, gdzie zaczynają pojawiać się wyraźne struktury i podział ról.
Niestety, brak tej świadomości jest najczęstszym powodem przypadkowych awarii stron, problemów z pocztą czy utraty dostępu do domeny.
Dobry podział dostępu nie polega na tym, żeby każdemu dać osobne hasło do wszystkiego — chodzi o to, żeby każdy miał dostęp tylko tam, gdzie jest to niezbędne, i tylko tak długo, jak jest to konieczne. To tzw. zasada minimalnych uprawnień (ang. Principle of Least Privilege, POLP).
Właściciel firmy jako główny administrator
Zacznijmi od pierwszej i często jedynej osoby w firmie (oczywiście pół żartem, rozumiemy, że w JDG w 99% przypadków wszystko robimy sami). Niemniej, właściciel lub osoba zarządzająca usługą powinna być formalnym abonentem hostingu i domeny — najlepiej zarejestrowanych na firmę, nie na osobę prywatną. Rejestracja na osobę fizyczną uzależnia dostęp od jej danych i dyspozycyjności — w razie choroby, śmierci lub konfliktu firma może utracić kontrolę nad domeną, a w skrajnych przypadkach domena może zostać zajęta przez wierzycieli tej osoby. Właściciel jako administrator ma dostęp do pełnego panelu klienta (np. DirectAdmin, cPanel), zarządza domenami, usługami WWW i pocztą — ale niekoniecznie musi sam wykonywać każdą operację techniczną.
Zwracamy tu uwagę na taką kwestię, jak zarządzanie majątkiem firmy, infrastrukturą, narzędziami, które zapewniają firmie obecność w sieci i komunikację. Właściciel raczej nie odejdzie z firmy, ale właściciel opłaca usługi, zleca często wykonanie zmian innym zespołom czy firmom zewnętrznym.
Oczywiście, na pewnym etapie rozwoju firmy, właściciel wyznacza takiego administratora, natomiast w naszej ocenie, nie powinien nigdy odstępować od praw do dostępu do swoich usług.
Osoba techniczna odpowiedzialna za stronę
No właśnie, a skoro o wyznaczaniu osoby mowa. Webmaster, programista lub informatyk to osoba, która realnie potrzebuje szerokiego dostępu — ale nie zawsze pełnego. Jeśli wykonawca ma za zadanie wdrożyć stronę, wystarczy mu dostęp do FTP i bazy danych — nie musi mieć dostępu do panelu zarządzającego domeną czy SSL-em. Ty jako właściciel możesz samodzielnie dodać domenę do serwera i skierować ją na odpowiedni katalog, zachowując kontrolę nad krytycznymi ustawieniami. Jeśli jednak potrzebuje on uprawnień administratora WordPressa — stwórz mu osobne, równorzędne konto zamiast przekazywać własne hasło.
Generalnie pod tym pojęciem kryje się każda osoba, która z jakiegoś powodu musi uzyskać dostęp do hostingu i wykonać coś, np. w imieniu właściciela. Czy to skonfigurować nowe konta e-mail, pomóc przywrócić backup, naprawić czy postawić stronę WWW. Tworzysz mu zawsze dodatkowe konto, aby chociażby śledzić ewentualne zmiany i ich historię.
Nie zawsze taki kontakt da się utworzyć, może to zależeć od typu konta, do którego się logujecie. Np. panel klienta SEOHOST przeznaczony jest dla jednego administratora, ale możesz dodać tzw. autoryzowane kontakty — osoby, które będą mogły w Twoim imieniu skontaktować się z nami i zlecić dyspozycję.
Zespół marketingu i treści — dostęp ograniczony
Kolejny zespół czy osoba to ktoś odpowiedzialny za szeroko pojęty marketing. A co za tym idzie, zmiany na stronie, prowadzenie bloga, dodawanie katalogów PDF, aby były dostępne online, itp.
Copywriter czy specjalista SEO nie potrzebuje dostępu do serwera — w zupełności wystarczy mu rola Autora lub Redaktora w WordPressie. Redaktor może publikować wpisy, zarządzać nimi i moderować komentarze, bez możliwości instalowania wtyczek czy zmiany konfiguracji strony. Agencja SEO, która prosi o dostęp do panelu hostingowego „bo chce coś sprawdzić", w rzeczywistości potrzebuje co najwyżej dostępu do Google Search Console i Analytics — nie do serwera.
Natomiast, jeśli zespół marketingu realizuje też zadania osoby technicznej, patrz wyżej, zmienia się zakres dostępu.
Zewnętrzni wykonawcy — dostęp tymczasowy
Sytuacja podobna jak w przypadku osób technicznych, ale tym razem tworzymy dostęp na określony czas. Każdy zewnętrzny wykonawca powinien otrzymać dostęp tymczasowy i precyzyjnie ograniczony do zakresu swojej pracy.
Samo nadanie uprawnień to dopiero połowa roboty. Równie ważne jest regularne przeglądanie listy osób mających dostęp do usług hostingowych — szczególnie po zakończeniu współpracy z pracownikiem lub zewnętrznym wykonawcą. Dobrą praktyką jest rotacja haseł administracyjnych (zwłaszcza po każdym udostępnieniu ich osobie trzeciej) oraz weryfikacja kluczy API, rekordów DNS i certyfikatów SSL/TLS. Jeśli korzystasz z modelu dostępu tymczasowego (just-in-time), uprawnienia nadajesz tylko na czas konkretnego zadania — i od razu je cofasz.
Tworzymy nowe konto, ograniczamy dostęp do niezbędnego minimum lub, co więcej, spisujemy w umowie zakres odpowiedzialności i zakres prac, jakie mają być wykonane, w tym również określamy kwestie bezpieczeństwa i przygotowania swojego stanowiska do pracy z naszymi usługami.
Dlaczego nie każdy pracownik powinien mieć dostęp do hostingu?
Bo tak naprawdę nie każdy tego potrzebuje i co więcej, nie wszyscy muszą mieć dostęp. A niestety tak często jest, że do pewnych zasobów dostęp ma zbyt wiele osób. Każdy coś dodaje, każdy coś zmienia, każdy chce naprawić.
Nieprzemyślany dostęp to realne ryzyko operacyjne i bezpieczeństwa. Hosting przechowuje dane klientów, pliki strony i konfiguracje poczty — dostęp do nich oznacza możliwość przypadkowego lub celowego skasowania danych, zmiany DNS-ów czy wycieku danych osobowych. Z perspektywy RODO to administrator danych (czyli firma) odpowiada za to, kto przetwarza dane i w jakim zakresie — umowa z dostawcą hostingu powinna precyzować odpowiedzialność za ochronę danych i kopie zapasowe. Zasada minimalizacji dostępu oznacza: każdy ma tylko tyle uprawnień, ile potrzebuje do wykonania swojej pracy — nic więcej.
Zrób prosty test: wypisz na kartce wszystkie osoby i firmy, które mają dziś dostęp do Twojego hostingu, panelu domenowego i WordPressa. Jeśli lista Cię zaskoczyła — to dobry moment, żeby zrobić porządek. Zacznij od zmiany haseł, a potem stopniowo przypisuj dostępy według zasady: tylko to, co potrzebne, tylko na czas, kiedy jest potrzebne.
A jeśli dopiero wybierasz hosting, przeczytaj:
Dla większości małych firm najlepszym punktem wyjścia jest hosting dla małej firmy oparty na dyskach NVMe — szybki, gotowy do działania od razu po zamówieniu, z SSL i automatycznymi kopiami zapasowymi w pakiecie. Jeśli zastanawiasz się, jaki hosting dla małej firmy wybrać, kluczowe kryteria to stabilność, wsparcie techniczne 24/7 i prosty panel zarządzania. Nie musisz od razu inwestować w drogi serwer!