khacsam

Git + gitflow + code review
Любые странные куски обсуждаются

Он запрятал кусок кода, что если на сайт входит юзер с ником xxx, то удалить всю базу данных пользователей.

Не обманывайте программиста, платите в срок и все будет хорошо.

Что делать?

Подписать договор, в котором явно обозначить пункт о причинении вреда исполнителем.

Как доверять сердце своего проекта незнакомых людям?

Так же, как вы доверяете зубному.

Особенно интересно, как этот вопрос решается на крупных сайтах.

На крупных сайтах это решается за счет контроля доступа и штата программистов и сисдаминов, которые поддерживают систему 365/24/7

Может ли там кто-то взять и завалить сайт в одиночку?

Да, безусловно. Но смысла в этом нет.

В общем, очень интересная тема, в которой ничего не представляю.

Программисты - люди далеко не глупые, как правило. Действия, что вы привели в пример возможны, но только в случае крайнего недоверия программиста-новичка к вам как заказчику.

Удалить может и пользователь используя уязвимость. Вообще в этом мире существуют бекапы, а так неплохо бы код ревью делать. Никакие изменения не мержатся пока их не подтвердят два других разработчика. Не для того чтобы обезопаситься, а чтобы спагетти-код не проходил. Это в интересах разработчиков. Им же возможно в будущем придется разбираться в этой лапше. Поэтому проще сразу отклонить.

У рядового разработчика не должно быть доступа на продакшен. Оно ему не надо. Вытянул код из репозитория, накатил тестовую базу. Сделал изменения. Отправил пулл реквест.

Если у вас всё делает один человек, а вы только создаете видимость работы, то конечно он вас кинет если будет прибыль. Сколько уже видел таких ламерских проектов. Пациент нашел раба. Сам ничего не может. Жмет кнопки в админке. Считает, что работает за семерых. Раб везет телегу до поры до времени. Упс, а у пациента даже бекапов нет. Ибо идиот. Прикольно за этим наблюдать.

Я думаю вам отлично подойдет API Яндекс карт, у них есть возможность использования и построения собственных карт в отрыве от земной поверхности.
А дальше в базе данных будете хранить id значков, id и координаты объектов, ну и прочие параметры.
Общий смысл работы такой же, как и с обычными яндекс картами.

Часть первая, добрая

1. Идете к юристу и оформляете правильную лицензию, в которой вы предоставляете право на использование вашего продукта. Жестко запретите модификацию кода CMS всеми, кроме вас. Оставьте за собой право модификации кода удаленно, в любое время без предварительных уведомлений. Оставьте за собой право отзыва или изменения лицензий без уведомлений и объяснений. Запретите перепродажу. В лицензии добавьте оговорку насчет статьи 273, что действия по модификации кода сайта являются санкционированными и неотъемлемой частью продукта.
2. Реализуете и обкатываете механизм автоматического лицензирования через интернет. Вешаете лицензионное соглашение на официальный сайт продукта.
3. Рассылаете всем нелицензионным пользователям "письмо счастья", в котором доходчиво объясняете, что их копия не лицензирована и т.д. Рекомендую вам разрешить использование своей CMS для некоммерческих организаций и домашних страничек без рекламы при наличии ссылки на сайт продукта. Предложите бесплатное обновление для некоммерческих пользователей.

Часть вторая, злая

1. После введения новой лицензии, но до уведомления всех письмами счастья, удаленно зашиваете код, который будет выводить html-комментарий о том, что данная копия не имеет лицензии т.д. и т.п. Там же должна быть ссылка на ваш сайт, где можно лицензировать продукт. Данный шаг не будет препятствовать работе с сайтом.
2. Рассылаете письма счастья.
3. Ждете, пока пройдет срок, в течение которого компании должны лицензировать свои версии.
4. Вместе с юристом выбираете компанию, на которую вы подадите в суд за нелицензионное использование своей CMS и у которой точно выиграете дело. Судитесь. Выигрываете. Далее на сайте проекта вешаете официальную информацию о судебном разбирательстве и решении в пользу истца. Делаете огласку истории, публикуете ее на всяких Спарках/Хабрах/Цукербергах и прочих ресурсах.
5. Через месяцок рассылаете новые письма счастья с уведомлением о том, что бывает с теми, кто отказался. Ссылку на результаты разбирательства приводите.
Плюс, можете вывесить список сайтов у себя, где нелегально используется ваша CMS.

Работайте и разговаривайте исключительно с компаниями, которые непосредственно зарабатывают деньги через вашу CMS и для которых сайт действительно важен. На школьников, геймеров и мусор не тратье время. Шкурка выделки не стоит.

Часть третья, плохая

Для всяких нехороших людей, ничего из себя не представляющих и пишущих маты вам в ответ, включайте 404-ю для поисковых роботов. Они очень громко будут вас ругать на форумах. Не обращайте внимания.

Можно так:
jsfiddle.net/z2ct2b2k

В ISPmanager есть функция переноса аккаунта. В противном случае, архивируете файлы и скачиваете средствами файлового менеджера на новом сервере (есть опция загрузить по URL). БД всё же придётся скачать на свой компьютер, но она как привило весит совсем немного.

Ну когда же люди научатся читать документацию :)

codex.wordpress.org/Function_Reference/wp_login_form

Если кратко:
1. В нужном месте шаблона пишем:
<?php wp_login_form(); ?>
2. Профит!

Если задача сразу перекидывать в админку, добавляем аргумент:
'redirect' => site_url( '/wp-admin/' )

Если задача давать доступ в админку только админам, а остальным нет (перекидывать на главную, например), в functions.php добавляем:

function no_admin_access() {
    if( !current_user_can( 'administrator' ) ) {
        wp_redirect( home_url() );
        die();
    }
}
add_action( 'admin_init', 'no_admin_access', 1 );