Закрытые ключи SSH доступны в настройках плагина wp-admin

Я дизайнер с опытом разработки, который следит за развитием пользовательского плагина для клиента. Сегодня разработчик попросил обратную связь и обеспокоен следующим:

По сути, создаваемый плагин синхронизирует базу данных продуктов WooCommerce 6000+ с Google Sheets (используя бизнес-клиентов G-Suite) — при проверке я обеспокоен тем, что разработчик выставил свои закрытые ключи на внешний вид настроек wp-admin , без планов скрывать или скрывать, так как плагин нуждается в способности, чтобы это было обновлено.

Беспокойство вызывает то, что вся эта информация будет раскрыта более 30 сотрудникам, а также авторам и другим разработчикам, и хотя я уверен, что никто в организации не будет злоупотреблять, я просто беспокоюсь о других возможностях — и о том, насколько достижимыми могут быть эти данные с помощью возможного несанкционированного доступа. методы.

Я параноик? Если нет, то насколько небезопасным / плохим является тот факт, что этот ключ SSH предоставляет администратору / владельцу доступ к Google Cloud Compute Engine, а также доступ к бизнесу GSuite.

Необходимость иметь уверенные знания при общении с разработчиком, который обычно игнорирует.

Спасибо всем, кто может посоветовать.