Wenn deine WordPress-Website klein ist, ist es einfach, alles, was in ihr passiert, im Auge zu behalten. Mit zunehmender Größe und Komplexität kann es jedoch viel schwieriger werden, Schritt zu halten. Dies gilt insbesondere, wenn du es Nutzern ermöglichst, sich auf deiner Website zu registrieren, eine Mitgliedsseite zu betreiben oder mehrere Mitwirkende zu haben.

Unabhängig davon ist es wichtig, jederzeit zu wissen, was auf deiner Website passiert. Du kannst dies tun, indem du Benutzeraktivitäten wie Änderungen an Inhalten, Profilaktualisierungen, fehlgeschlagene Anmeldungen und mehr verfolgst. Wenn du solche Informationen zur Hand hast, kannst du schnell die Ursache von Problemen aufspüren und eine strenge Sicherheit gewährleisten.

In diesem Beitrag werden wir kurz darüber sprechen, warum du die Aktivitäten deiner WordPress-Seite verfolgen möchtest. Dann helfen wir dir herauszufinden, welche Arten von Aktivitäten am wichtigsten sind, die du im Auge behalten solltest. Lasst uns direkt einsteigen!

Unabhängig von der Größe ist es wichtig, jederzeit zu wissen, was auf deiner WordPress-Seite passiert. 🔍Click to Tweet

Warum es Wichtig ist, ein WordPress Aktivitätsprotokoll zu Verwenden?

Ein Aktivitätsprotokoll kann dir helfen, wichtige Änderungen an deiner Website im Auge zu behalten.

Wenn deine Website nur einen einzigen Benutzer hat – dich – sollte es keine Überraschungen geben. Sofern deine WordPress-Seite nicht gehackt wurde (worüber wir später noch mehr sprechen werden), wurde jede Änderung und Aktualisierung von dir vorgenommen.

WordPress Nutzeraktivitäten verfolgen

WordPress Nutzeraktivitäten verfolgen

Allerdings erlauben viele Websites viel mehr als nur einen einzelnen Benutzer zu registrieren. Du kannst deine Besucher ermutigen, sich z.B. für Abonnentenkonten anzumelden. Alternativ kannst du auch ein ganzes Team von Autoren, Entwicklern, Editoren und Drittanbietern haben, die dir bei der Erstellung und Verwaltung von Inhalten helfen.

So oder so, wenn so viele Personen auf deine Website zugreifen, kann das zu großer Unsicherheit führen. Es ist nicht immer einfach herauszufinden, wer einen Beitrag gelöscht hat, oder um zu verstehen, warum ein Benutzerprofil geändert wurde. Wenn du dir Sorgen machst, dass eine bestimmte Änderung bösartig war, oder wenn du einfach nur wissen willst, warum sie stattgefunden hat, hast du vielleicht keinen guten Weg, um fortzufahren.

Aus diesem Grund ist die Verfolgung von Aktivitäten auf Ihrer WordPress-Seite so wichtig. Ein Aktivitätsprotokoll jeder wesentlichen Änderung sowie Details darüber, wann es passiert ist und welche Benutzer beteiligt waren, erleichtern den Umgang mit unerwarteten Ereignissen. Selbst wenn du der einzige Benutzer auf deiner Website bist, kann diese Art von Protokoll dir helfen, die Quelle von Änderungen aufzuspüren, die das Ergebnis erfolgreicher Hacking-Versuche sind.

Natürlich kannst du ein Aktivitätsprotokoll nicht manuell pflegen. Glücklicherweise kannst du ein WordPress Aktivitätslog-Plugin verwenden, um diesen Job automatisch zu erledigen. Alles, was du tun musst, ist, dein Protokoll zu überprüfen, wann immer du die darin enthaltenen Informationen brauchst.

WP Security Audit Log

Eines der besten Plugins auf dem Markt ist das WP Security Audit Log. Du kannst die kostenlose Version auf dem WordPress-Repository herunterladen. Zum Zeitpunkt des Schreibens hat es über 70.000 aktive Installationen mit beeindruckenden 4,5 von 5 Sternen. Es wird auch regelmäßig von den Entwicklern aktiv aktualisiert.

WP Security Audit Log Plugin

WP Security Audit Log Plugin

Es gibt auch eine Premium-Version (ab 89 $ pro Jahr), die dir zusätzliche Funktionen wie Berichte, sofortige E-Mail-Benachrichtigungen und Suche bietet. Aber alle Protokollierungsfunktionen sind völlig kostenlos.

WP Security Audit Log Konfigurieren

Wir verwenden die kostenlose Version des WP Security Audit Log in diesem Beitrag. Nach der Installation sieht man nach der Aktivierung als erstes den Konfigurationsassistenten.

Schritt 1

Klicke auf „Start Configuring the Plugin“, um zu beginnen.

Das WP Security Audit Log Plugin Konfigurieren

Das WP Security Audit Log Plugin Konfigurieren

Schritt 2

Wähle „Basic“ oder „Geek“.

Du kannst diese Einstellungen später jederzeit ändern, aber in diesem Beispiel werden wir die Option „Geek“ verwenden, um dir mehr vom WP Security Audit Log Plugin zu zeigen.

WP Security Audit Log Geek Einstellungen

WP Security Audit Log Geek Einstellungen

Schritt 3

Als nächstes wähle, wie lange du die Daten des WP Security Audit Log behalten möchtest. Für dieses Beispiel wählen wir 6 Monate.

Du kannst dies später ändern. Es ist jedoch wichtig zu beachten, dass die Daten in deiner WordPress-Datenbank gespeichert sind. Und obwohl dies auf effiziente Weise geschieht, solltest du niemals mehr Daten speichern, als du denkst. Für die meisten sollten 6 Monate in Ordnung sein, vor allem, wenn du ziemlich proaktiv bist, wenn es darum geht, Probleme zu beheben, sobald sie auftreten.

WP Security Audit Log Datenaufbewahrung

WP Security Audit Log Datenaufbewahrung

Wenn du die Premium-Version des WP Security Audit Log kaufst, kannst du Daten noch länger aufbewahren und sogar in einer externen Datenbank speichern.

Schritt 4

Der nächste Schritt besteht darin, bei Bedarf zusätzliche Zugriffe zu konfigurieren. Standardmäßig können nur Administratoren auf die WordPress-Aktivitätsprotokolle zugreifen.

WP Security Audit Log Zugriff

WP Security Audit Log Zugriff

Schritt 5

Auf dem nächsten Fenster kannst du Objekte (Benutzernamen, Rollen, IP-Adressen) von der Protokollierung ausschließen. Vielleicht bist du der einzige Administrator auf einer WordPress-Seite und möchtest nur Änderungen sehen, die Autoren und Redakteure vornehmen. Oder vielleicht willst du einfach nur Logins und Kontoeröffnungen überwachen. Unabhängig vom Grund kannst du dich leicht von den Daten ausschließen.

WP Security Audit Log exclude Objects

WP Security Audit Log Exclude Objects

Und das ist es! Alle Änderungen auf deiner WordPress-Seite werden nun zur sicheren Aufbewahrung protokolliert. Die Daten und Einstellungen für das WP Security Audit Log findest du im Menü „Audit Log“ in deinem WordPress Dashboard. Um wirklich tief in alle Einstellungen einzutauchen, empfehlen wir dir, die Dokumentation zum Einstieg zu lesen.

Audit Log im WordPress Dashboard

Audit Log im WordPress Dashboard

Der Rest dieses Beitrags wird einige der verschiedenen Arten von Aktivitäten hervorheben, die du in dein Protokoll aufnehmen solltest.

7 Arten von Änderungen die dein WordPress Activity Log Plugin Aufzeichnen Sollte

Selbst auf der einfachsten WordPress-Website ist viel los. Einige dieser Änderungen und Ereignisse sind wichtiger als andere (und weisen eher auf mögliche Probleme oder Sicherheitsverletzungen hin).

Im weiteren Verlauf dieses Beitrags werden wir die sieben wichtigsten Aktivitäten besprechen, die auf deiner Website verfolgt werden sollten. Obwohl keine vollständige Liste, sind dies die Elemente, die du unbedingt in das WordPress-Aktivitätsprotokoll aufnehmen solltest.

  1. Änderungen am Inhalt
  2. Neue und entfernte Benutzer
  3. Fehlgeschlagene Anmeldeversuche
  4. Änderungen an Themes oder Plugins
  5. WordPress Core und Einstellungsänderungen
  6. Benutzerprofil Änderungen
  7. Änderungen an Websites und Benutzern in Multisite-Konfigurationen

1. Änderungen am Inhalt

Der Inhalt ist das Herzstück jeder erfolgreichen Website. Zumindest besteht deine Website aus einer oder mehreren Seiten, die regelmäßig mit neuen oder überarbeiteten Informationen aktualisiert werden sollten, wenn du willst, dass sie relevant bleiben.

Darüber hinaus stellen viele WordPress-Seiten häufig neue Inhalte in Form von Beiträgen zur Verfügung. Du kannst deine Website verwenden, um einen Blog zu betreiben, Nachrichtenartikel über dein Unternehmen zu veröffentlichen oder etwas anderes. Sobald deine Website für eine Weile in Betrieb ist, kann die Anzahl der Beiträge schnell in die Höhe schnellen.

Die Qualität und Genauigkeit aller dieser Inhalte ist der Schlüssel zur Wertschöpfung für deine Besucher, zur Verbesserung deiner Autorität und zur Sicherstellung, dass dein Publikum dem vertraut, was du zu sagen hast. Das alles bedeutet, dass ein genauer Blick auf deine Inhalte von entscheidender Bedeutung ist. Du wirst sicherstellen wollen, dass sowohl neue Inhalte als auch Änderungen an bestehenden Inhalten auf deiner Website und/oder deinem Unternehmen gut ankommen.

Deshalb solltest du alle inhaltsbezogenen Änderungen in WordPress verfolgen. Dazu gehören:

WP Security Audit Log Inhaltsänderungen

WP Security Audit Log Inhaltsänderungen

SEO ist ein weiterer wichtiger Grund, immer ein Auge auf sich ändernde Inhalte zu haben. Wenn sich beispielsweise eine URL bei einem beliebten Beitrag mit Traffic und Backlinks ändert und du nichts davon weißt, kann das katastrophal sein. WordPress hat zwar integrierte Umleitungen und wird sein Bestes tun, um zu versuchen, auf die aktualisierten Inhalte umzuleiten, aber das funktioniert nicht immer. Du solltest immer 301 Redirects hinzufügen, wenn möglich aus Performancegründen auf Serverebene. Kinsta’s Redirect-Tool macht das super einfach!

Alle der oben genannten Änderungen finden ziemlich regelmäßig auf einer aktiven WordPress-Seite statt und sind in der Regel kein Problem. Allerdings solltest du immer darauf vorbereitet sein, dass das Unerwartete passiert. Ein Beitrag kann z.B. zu früh veröffentlicht werden oder ein Abschnitt innerhalb einer Seite kann entfernt werden. In diesen Szenarien, wenn du Inhaltsänderungen auf deiner Website verfolgt hast, weißt du genau, wer die Änderung vorgenommen hat und wann (und bist gut positioniert, um herauszufinden, warum).

2. Neue und Entfernte Benutzer

Wie bereits erwähnt, fügen viele WordPress-Seiten am Ende eine Reihe von Benutzern zu ihren Rängen hinzu. Dies ist im Allgemeinen ein Zeichen für eine blühende Website, da du mehr Menschen hast, die sich mit ihr beschäftigen und daran arbeiten.

Du wirst jedoch ein gewisses Maß an Kontrolle über die Benutzerbasis deiner Website behalten wollen. Selbst wenn du offene Registrierungen aktivierst, musst du wissen, wer jedes Benutzerkonto besitzt und warum. Zumindest solltest du daher darauf achten, wenn Benutzer zu deiner Website hinzugefügt oder entfernt werden.

WP Security Audit Log Nutzer Registrierungen

WP Security Audit Log Nutzer Registrierungen

Die Verfolgung dieser beiden Aktivitäten ist von Bedeutung. Wenn sich ein neuer Benutzer unerwartet auf deiner Website registriert, solltest du sofort darüber informiert werden. Wenn du keine offenen Registrierungen aktivierst, kann dies ein Zeichen für einen Hackversuch sein. Das Gleiche gilt für gelöschte Benutzer – auch dies ist nicht die Art von Dingen, die du unerwartet passieren lassen solltest.

3. Fehlgeschlagene Anmeldeversuche

Jeder muss sich einloggen, bevor er auf deine WordPress-Admin-Seiten zugreifen kann – auch du. Tatsächlich bildet dein Login-Bildschirm eine wichtige erste Verteidigungslinie, wenn es darum geht, dein Dashboard oder deine „kundenreservierten“ Seiten zu schützen. Es gibt zwar eine Vielzahl von Möglichkeiten, den Zugriff auf deine Website zu erzwingen, aber die meisten Angreifer konzentrieren ihre Bemühungen darauf, über den Anmeldebildschirm einzudringen.

Im Allgemeinen werden diese Versuche bei einem ersten Versuch nicht erfolgreich sein. Hacker schreiben Programme, die Tausende von Anmeldekombinationen ausprobieren, bis sie auf eines treffen, das funktioniert. Daher kann die Verfolgung fehlgeschlagener Anmeldeversuche eine Warnung sein, wenn jemand versucht, deine Website auf diese Weise zu durchbrechen.

Jede Seite wird gelegentlich fehlgeschlagene Logins haben, natürlich. Die meisten Benutzer vergessen von Zeit zu Zeit ihre Passwörter oder schreiben ihre Zugangsdaten falsch. Worauf du achten solltest, sind wiederholte fehlgeschlagene Versuche von derselben IP-Adresse. Wenn jemand von einem Standort versucht hat, sich mehr als eine Handvoll Mal hintereinander anzumelden, hat er vielleicht nicht das Beste im Sinn.

Glücklicherweise, wenn du fehlgeschlagene Logins über dein Aktivitätsprotokoll verfolgst, weißt du, wie viele Versuche gemacht wurden, wann und woher sie kamen. Dies kann dir helfen, die Quelle aufzuspüren und herauszufinden, ob es sich um einen Hacking-Versuch oder einfach um einen hartnäckigen Benutzer handelt. Du kannst auch die betreffende IP-Adresse vorübergehend sperren, nur um sicher zu gehen.

WP Security Audit Log fehlgeschlagenen Anmeldeversuche

WP Security Audit Log fehlgeschlagenen Anmeldeversuche

Natürlich wirst du auch andere Maßnahmen ergreifen müssen, um deinen WordPress-Login-Bildschirm zu schützen. Das Ändern deiner WordPress-Login-URL ist einfach. Je mehr du tun kannst, um die „Haustür“ deiner Website zu stärken, desto weniger musst du dir Sorgen machen, dass böswillige Benutzer ihren Weg nach innen finden.

4. Änderungen an Themes oder Plugins

An dieser Stelle nehmen wir uns einen Moment Zeit, um über die Benutzerrollen von WordPress zu sprechen. Jeder Person, die den Zugriff auf deine Website erlaubt, wird eine bestimmte Rolle zugewiesen. Während es Plugins gibt, die zusätzliche Optionen hinzufügen, sind die Standardrollen in WordPress Administrator, Editor, Autor, Mitwirkender und Abonnent (und Super-Admin bei Installationen mit mehreren Webseiten).

Jede Rolle hat ihren eigenen Satz von Berechtigungen – mit anderen Worten, Aktionen, die der Benutzer ausführen darf. Administratoren können z.B. so ziemlich alles tun, was sie wollen, während Abonnenten nur ihre persönlichen Profile verwalten können. Die anderen Rollen liegen irgendwo dazwischen.

Haben Sie mit Ausfallzeiten und WordPress-Problemen zu kämpfen? Kinsta ist die Hosting-Lösung, die Ihnen Zeit spart! Sieh dir unsere Features an

Dies ist wichtig, da es bestimmte Aktionen gibt, die nur Top-Level-Benutzer ausführen können sollten. Auf einer regulären (nicht Multisite) Website kann beispielsweise nur ein Administrator Plugins und Themes installieren, entfernen oder aktualisieren.

Da Administratoren solche wichtigen Änderungen an deiner Website vornehmen können, wird empfohlen, dass du nur einen Benutzer mit dieser Zugriffsebene hast (du höchstwahrscheinlich). Die Möglichkeit, Add-ons auf deiner Website zu installieren oder zu entfernen, gibt einem Benutzer die Möglichkeit, große Änderungen an ihrer Funktionalität vorzunehmen oder die Website sogar vollständig zu zerstören, wenn er nicht vorsichtig ist.

Das bedeutet, wenn jemand anderes Änderungen an Plugins und Themes vornimmt, stimmt wahrscheinlich etwas nicht. Entweder führt ein bösartiger Benutzer diese Aktionen durch (z.B. versucht er, etwas Eigenes auf Ihrer Website zu installieren), oder ein zugelassener Benutzer hat eine zu hohe Berechtigungsstufe.

WP Security Audit Log Änderungen am Theme

WP Security Audit Log Änderungen am Theme

So oder so, das sind Probleme, mit denen du dich sofort befassen solltest. Wenn du jemals eine Änderung an den Plugins oder Themes deiner Website in deinem WordPress-Aktivitätsprotokoll entdeckst, die du nicht selbst vorgenommen hast, kannst du die Quelle sofort aufspüren. Außerdem siehst du genau, welche Änderungen vorgenommen wurden, so dass du sie bei Bedarf rückgängig machen kannst.

5. WordPress Core und Einstellungsänderungen

In gewisser Weise sind diese Arten von Aktivitäten denjenigen im letzten Abschnitt sehr ähnlich. Es gibt noch viele andere Dinge, die nur Administratoren tun können, zusammen mit der Installation von Plugins und Themes. Tatsächlich sind so gut wie alle reinen Administratorrechte es wert, auf deiner Website verfolgt zu werden.

Am wichtigsten sind jedoch alle Änderungen an der Kernplattform WordPress und an den Gesamteinstellungen deiner Website. Es sollte ziemlich klar sein, warum diese beiden Kategorien so wichtig sind. Beide können deine Website als Ganzes auf sehr dramatische Weise beeinflussen.

Änderungen am WordPress Core können beispielsweise zu Inkompatibilität mit Plugins, Themes und anderen Teilen deiner Website führen. Was die Einstellungen betrifft, so gibt es eine Menge, die bei unvorsichtiger Verwendung Probleme verursachen können. Das Ändern der Permalinks deiner Website kann zum einen mit der Suchmaschinenoptimierung (SEO) verheerende Auswirkungen haben. Es gibt auch Einstellungen, die die Startseite deiner Website ändern, Kommentare aktivieren oder deaktivieren und vieles mehr.

WP Security Audit Log WordPress Core EInstellungen

WP Security Audit Log WordPress Core EInstellungen

Mit anderen Worten, Änderungen sollten nur am WordPress Core und deinen Einstellungen mit großer Sorgfalt vorgenommen werden. Du solltest also unbedingt sofort wissen, ob diese Elemente deiner Website von jemand anderem verändert werden. Wie im vorherigen Abschnitt bedeutet dies wahrscheinlich, dass entweder deine Website angegriffen wird oder jemand mehr Berechtigungen hat, als er benötigt.

6. Benutzerprofil Anpassen

Wir haben die Benutzer bereits im weitesten Sinne diskutiert – neue und gelöschte Benutzer sind etwas, worüber du sofort informiert werden solltest. Ebenso wichtig ist es jedoch, über Änderungen an bestehenden Benutzerprofilen auf dem Laufenden zu bleiben.

Jeder mit einem Benutzerkonto auf deiner Seite kann zumindest einige grundlegende Änderungen an seinen eigenen Profilen vornehmen. Die Benutzerrollen bestimmen jedoch, welche Arten von Aktivitäten jede Person ausführen kann. Die meisten Benutzer können beispielsweise das Konto einer anderen Person nicht bearbeiten. Darüber hinaus können nur Administratoren die Rolle eines Benutzers ändern.

Es ist nicht ungewöhnlich, dass auf einer stark frequentierten WordPress-Seite relativ häufige Änderungen an den Benutzerdaten vorgenommen werden. Es gibt jedoch noch einige Aktivitäten, auf die man achten muss, darunter:

WP Security Audit Log Benutzerprofil geändert

WP Security Audit Log Benutzerprofil geändert

Wenn du eine offene Registrierung auf deiner Website zulässt, solltest du insbesondere auf ungewöhnliche Aktivitäten bei neuen Konten achten. Dies kann ein Zeichen dafür sein, dass der Besitzer des Kontos kein legitimer Benutzer ist.

7. Änderungen an Websites und Benutzern in Multisite-Konfigurationen

Zuvor haben wir kurz auf Multisite-Installationen eingegangen. Dies ist eine der weniger bekannten, aber nützlichsten Funktionen von WordPress. Mit der Multisite-Funktionalität kannst du mehrere einzelne, aber miteinander verbundene Websites in einem organisierten Netzwerk betreiben.

Wenn du ein Multisite-Einrichtung betreibst, ist jede Webseite eine eigene Einheit. Gleichzeitig können sie alle über ein zentrales Dashboard verwaltet werden. Ein oder mehrere Superadministratoren überwachen das gesamte Netzwerk und treffen umfangreiche Entscheidungen über Benutzer, Einstellungen, Plugins und Themes. Dann hat jede Website ihren eigenen Administrator, der nur Änderungen an dieser bestimmten Website vornehmen kann.

Multisite-Konfigurationen können besonders schwierig sein, um organisiert und sicher zu bleiben. Schließlich musst du dich jetzt um mehrere Websites kümmern, jede mit ihren eigenen Benutzern. Das bedeutet, dass die Verfolgung von Aktivitäten an jedem Standort (zusammen mit dem Netzwerk als Ganzes) wichtiger denn je ist.

Hier sind einige der Aktivitäten, auf die du besonders achten solltest, wenn du ein Multisite-Netzwerk betreibst:

Die Verwendung eines Aktivitätsprotokolls für WordPress Multisite-Netzwerke ermöglicht es dir, Aktivitäten aus allen möglichen Richtungen zu verfolgen. Auf diese Weise behältst du das Nutzerverhalten auf jeder einzelnen Website im Auge, ebenso wie Änderungen am gesamten Netzwerk.

Vergiss dein Hosting-Konto Nicht

Neben deinen WordPress-Seiten ist es auch ratsam, den Überblick zu behalten, was mit deinem WordPress-Hosting-Account passiert. Das ist natürlich das, was alles hinter den Kulissen antreibt.

Wenn du ein Kinsta-Kunde bist, kannst du Änderungen leicht im Activity Log-Bildschirm im MyKinsta-Dashboard sehen. Alles von der Erstellung der Website, Löschungen, Domainänderungen, Umleitungen, etc. Wenn du mehrere Benutzer in deinem Konto hast, wird es global protokolliert, so dass du sehen kannst, wer welche Aktionen durchgeführt hat.

MyKinsta Aktivitätenprotokoll

MyKinsta Aktivitätenprotokoll

Zusammenfassung

Die kleinsten Änderungen, die an einer WordPress-Website vorgenommen werden, können dramatische Folgen haben. Eine einfache Anpassung der Einstellungen kann die Funktionsweise deiner Website verändern, und die Installation eines Plugins oder Themes, das nicht mit deinen anderen Tools kompatibel ist, kann wichtige Funktionen beeinträchtigen. Das ist der Grund, warum, besonders wenn du viele Benutzer hast, du den Überblick über alles behalten solltest, was auf deiner Website passiert. Hier erfährst du, wie du ein WordPress-Theme sicher löschen kannst.

Eine der besten Möglichkeiten, dies zu tun, ist, ein WordPress Aktivitätsprotokoll-Plugin zu erstellen, das Informationen über jede Änderung an deiner Website in einem praktischen Protokoll zusammenfasst. Dieses Protokoll sollte alle wichtigen (und potenziell problematischen) Änderungen verfolgen, wie z.B.:

  1. Änderungen am Inhalt.
  2. Neue und entfernte Benutzer.
  3. Fehlgeschlagene Anmeldeversuche.
  4. Ändert sich zu Themes oder Plugins.
  5. WordPress Core- und Einstellungsänderungen.
  6. Das Benutzerprofil wird angepasst.
  7. Änderungen an Websites und Benutzern in Multisite-Konfigurationen.

Hast du Fragen dazu, wie du die Benutzeraktivitäten auf deiner WordPress-Seite verfolgen kannst? Frage im Kommentarfeld unten nach!


Wenn Dir dieser Artikel gefallen hat, dann wirst du Kinsta’s WordPress Hosting-Plattform lieben. Beschleunige deine Webseite und erhalte 24/7 Support von unserem erfahrenen WordPress-Team. Unsere Google Cloud basierte Infrastruktur konzentriert sich auf die Bereiche Auto-Scaling, Performance und Sicherheit. Lass uns dir den Kinsta-Unterschied zeigen! Schau Dir hier unsere Pakete an