Se il vostro sito WordPress è piccolo, è facile tenere sotto controllo tutto ciò che accade al suo interno. Tuttavia, man mano che cresce in dimensioni e complessità, può diventare molto più difficile tenerne il passo. Questo è vero soprattutto se si consente agli utenti di registrarsi sul proprio sito, se si gestisce un sito ad iscrizione o se si hanno più collaboratori.

In ogni caso, è fondamentale sapere cosa succede sul vostro sito in ogni momento. È possibile farlo monitorando le attività degli utenti, come le modifiche ai contenuti, gli aggiornamenti del profilo, gli accessi non riusciti e altro ancora. Quando si dispone di informazioni come queste, è possibile rintracciare rapidamente la fonte di eventuali problemi e mantenere una rigida sicurezza.

In questo post parleremo brevemente del motivo per cui è necessario tenere traccia dell’attività del vostro sito WordPress e vi aiuteremo a capire quali sono le principali attività da tenere d’occhio. Cominciamo subito!

Indipendentemente dalle dimensioni, è importante sapere sempre cosa succede sul tuo sito WordPress. 🔍 Clicca per twittare

Perché è Fondamentale Utilizzare un Registro delle Attività di WordPress

Un registro delle attività può aiutarvi a tenere sotto controllo i cambiamenti importanti del vostro sito.

Se il vostro sito ha un solo utente – voi – non dovrebbero esserci sorprese. A meno che il vostro sito non venga violato (cosa di cui parleremo più avanti), ogni modifica e aggiornamento sarà stato fatto da voi.

Tracciare l'attività degli utenti in WordPress
Tracciare l’attività degli utenti in WordPress

Tuttavia, molti siti permettono a più di un singolo utente di registrarsi. Potreste incoraggiare i vostri visitatori a sottoscrivere un abbonamento, ad esempio. In alternativa, potreste avere un intero team di writer, sviluppatori, redattori e collaboratori terzi che vi aiutano a creare e gestire i contenuti.

In ogni caso, avere tante persone che accedono al sito può generare molte incertezze. Non è sempre facile capire chi ha cancellato un post o perché un profilo utente è stato modificato. Se siete preoccupati che una particolare modofica sia dannosa, o semplicemente volete sapere perché si è verificata, potreste non sapere come procedere.

Ecco perché il monitoraggio dell’attività di un sito WordPress è così importante. Avere un registro delle attività di ogni cambiamento significativo, con i dettagli su quando è avvenuto e quali utenti sono stati coinvolti, permette di affrontare gli eventi inaspettati in modo molto più semplice. Anche se siete gli unici utenti del vostro sito, questo tipo di log può aiutarvi a rintracciare l’origine di quelle modifiche risultanti da tentativi di hacking riusciti.

Naturalmente non è possibile mantenere un registro delle attività manualmente. Ma per fortuna, è possibile utilizzare un plugin per il registro delle attività di WordPress per gestire il lavoro in modo automatico. Tutto quello che dovrete fare è controllare il vostro registro ogni volta che avrete bisogno delle informazioni in esso contenute.

WP Security Audit Log

Uno dei migliori plugin sul mercato per questo è WP Security Audit Log. È possibile scaricare la versione gratuita sul repository di WordPress. Al momento in cui scriviamo, il plugin conta oltre 70.000 installazioni attive con un’impressionante valutazione di 4,5 stelle su 5. È anche attivamente aggiornato dagli sviluppatori.

WP Security Audit Log plugin
WP Security Audit Log

C’è anche una versione premium (a partire da 89 dollari all’anno) che offre ulteriori funzionalità come rapporti, avvisi istantanei via email e ricerca. Ma tutte le funzionalità di registrazione sono completamente gratuite.

Configurazione di WP Security Audit Log

Per questo articolo utilizziamo la versione gratuita di WP Security Audit log. Dopo l’installazione, la prima cosa che vedrete è la procedura guidata di configurazione.

Passo 1

Cliccate su “Start Configuring the Plugin” per iniziare.

Configurare il plugin WP Security Audit Log
Configurare il plugin WP Security Audit Log

Passo 2

Selezionate “Basic” o “Geek”.

  • Basic: scegliete questa opzione se volete solo i dati di registrazione di base.
  • Geek: scegliete questa opzione se volete tutti i dati che il plugin ha da offrire.

È possibile modificare queste impostazioni in qualsiasi momento in seguito, ma per questo esempio, sceglieremo l’opzione “Geek” per mostrarvi di più del plugin WP Security Audit Log.

Impostazioni geek WP Security Audit Log
Impostazioni geek WP Security Audit Log

Passo 3

Successivamente, dovrete scegliere per quanto tempo desiderate conservare i dati di WP Security Audit Log. Per questo esempio, sceglieremo 6 mesi.

  • 6 mesi (i dati più vecchi di 6 mesi saranno cancellati)
  • 12 mesi (i dati più vecchi di 12 mesi saranno cancellati)
  • Conserva tutti i dati.

Questo può essere cambiato in seguito. Ma è importante notare che i dati sono memorizzati nel database di WordPress. E anche se viene fatto in modo efficiente, non dovreste mai memorizzare più dati di quelli che pensate di utilizzare. Nella maggior parte dei casi, 6 mesi dovrebbero andare bene, soprattutto se si è piuttosto proattivi nel risolvere i problemi man mano che si presentano.

Conservazione dei dati in WP Security Audit Log
Conservazione dei dati in WP Security Audit Log

Se si acquista la versione premium di WP Security Audit Log, è possibile conservare i dati ancora più a lungo e persino memorizzarli in un database esterno.

Passo 4

Il passaggio successivo è la configurazione di un accesso supplementare, se necessario. Di default, solo gli amministratori potranno accedere ai log delle attività di WordPress.

Accesso a WP Security Audit Log
Accesso a WP Security Audit Log

Passo 5

Nella schermata successiva è possibile escludere gli oggetti (nomi utente, ruoli, indirizzi IP) dalla registrazione. Forse siete l’unico amministratore di un sito WordPress e volete vedere solo le modifiche che gli autori e gli editori apportano. O forse volete semplicemente monitorare i login e le registrazioni degli account. Indipendentemente dal motivo, potete facilmente escludervi dalla registrazione dei dati.

Esclusione di oggetti in WP Security Audit Log
Esclusione di oggetti in WP Security Audit Log

E questo è tutto! Tutte le modifiche sul vostro sito WordPress sono ora registrate per essere conservate in modo sicuro. I dati e le impostazioni di WP Security Audit Log possono essere visualizzati nel menu “Audit Log” nella bacheca di WordPress. Per immergersi davvero in profondità in tutte le impostazioni, consigliamo di consultare la documentazione di partenza.

Audit Log nella bacheca di WordPress
Audit Log nella bacheca di WordPress

Il resto di questo articolo evidenzierà alcuni dei diversi tipi di attività che dovreste inserire nel vostro diario di bordo.

7 Tipi di Modifiche che un Plugin per il Registro delle Attività di WordPress Dovrebbe Registrare

C’è molto da fare anche nel più semplice sito web WordPress. Alcune delle modifiche e degli eventi sono più importanti di altri, ed è più probabile che indichino possibili problemi o violazioni della sicurezza.

In tutto il resto di questo articolo, descriveremo le sette principali attività da tracciare sul vostro sito. Anche se non è un elenco esaustivo, queste sono le voci che dovrete assolutamente includere nel log delle attività di WordPress.

  1. Modifiche ai Contenuti
  2. Utenti Nuovi ed Eliminati
  3. Tentativi di Accesso non Riusciti
  4. Modifiche ai Temi o ai Plugin
  5. Modifiche al Core e alle Impostazioni di WordPress
  6. Modifiche ai Profili degli Utenti
  7. Modifiche ai Siti e agli Utenti nelle Configurazioni Multisito

1. Modifiche ai Contenuti

I contenuti sono il cuore di ogni sito di successo. Come minimo, il vostro sito sarà composto da una o più pagine, che dovranno essere aggiornate periodicamente con informazioni nuove o riviste, se volete che rimangano rilevanti.

Inoltre, molti siti WordPress pubblicano spesso nuovi contenuti sotto forma di post. Potete usare il vostro sito per gestire un blog, pubblicare notizie sulla vostra attività, o qualcosa di completamente diverso. Una volta che il vostro sito è stato visto per un po’ di tempo, il numero di post può salire rapidamente alle stelle.

La qualità e l’accuratezza di tutti quei contenuti è fondamentale per fornire valore ai vostri visitatori, rafforzare la vostra autorità ed essere sicuri che il vostro pubblico si fidi di ciò che avete da dire. Tutto questo significa che è fondamentale tenere d’occhio i vostri contenuti. Dovrete assicurarvi che sia i nuovi contenuti che le modifiche ai contenuti esistenti si riflettano sul vostro sito e/o sulla vostra azienda.

Ecco perché dovrete tenere traccia di tutte le modifiche relative ai contenuti all’interno di WordPress. Questo include:

  • La creazione di nuove pagine, post o altri tipi di contenuti.
  • Alterazioni di una pagina esistente o del titolo di un post, della data, dell’URL, dei campi personalizzati o di altre variabili chiave.
  • Contenuti modificati all’interno di contenuti esistenti – se qualcosa è stato aggiunto, modificato o rimosso.
  • Cambiamenti di stato, come ad esempio un post che è stato pubblicato o riportato in bozza.
Modifiche ai contenuti in WP Security Audit Log
Modifiche ai contenuti in WP Security Audit Log

La SEO è un altro ottimo motivo per tenere sempre d’occhio i cambiamenti dei contenuti. Ad esempio, se un URL cambia su un post popolare con traffico e backlink, e voi non lo sapete, potrebbe essere disastroso. Anche se WordPress ha un redirect integrato e farà del suo meglio per cercare di reindirizzare i contenuti aggiornati, questo non sempre funziona. Si dovrebbe sempre aggiungere un redirect 301, a livello di server se possibile, per motivi di performance. Lo strumento di reindirizzamento di Kinsta rende tutto questo molto facile!

Tutti le modifiche di cui sopra avvengono abbastanza regolarmente su un sito WordPress attivo, e di solito non sono un problema. Tuttavia, è necessario essere sempre pronti ad affrontare l’imprevisto. Un articolo potrebbe essere pubblicato troppo presto, ad esempio, o una sezione all’interno di una pagina potrebbe essere rimossa. In queste situazioni, se avete seguito le modifiche ai contenuti del vostro sito, saprete esattamente chi ha effettuato la modifica e quando (e vi sarà facile scoprirne il motivo).

2. Utenti Nuovi ed Eliminati

Come abbiamo detto, molti siti WordPress finiscono per aggiungere un certo numero di utenti alle loro fila. Questo è generalmente segno di un sito fiorente, dato che ci sono più persone che si impegnano e lavorano su di esso.

Tuttavia, bisognerebbe mantenere un certo livello di controllo sulla base di utenti del sito. Anche se si abilitano le iscrizioni, è necessario sapere chi è titolare di ogni account utente e perché. Come minimo, quindi, dovreste essere consapevoli di questo quando gli utenti vengono aggiunti o rimossi dal vostro sito.

Registrazione degli utenti in WP Security Audit Log
Registrazione degli utenti in WP Security Audit Log

È importante il monitoraggio di entrambe le attività. Se un nuovo utente si registra inaspettatamente sul vostro sito, dovreste saperlo subito. Se non si abilitano le iscrizioni, questo può essere il segno di un tentativo di hacking. Lo stesso vale per gli utenti cancellati – anche in questo caso, non è un genere di cose che si può lasciare che accadano inaspettatamente.

3. Tentativi di Accesso non Riusciti

Tutti devono effettuare il login prima di poter accedere alle vostre pagine di amministrazione di WordPress – anche voi. Per questo la pagina di login costituisce una prima linea di difesa fondamentale per proteggere il cruscotto del sito o le pagine “riservate ai clienti”. Anche se ci sono diversi modi per cercare di forzare l’accesso al vostro sito, la maggior parte degli aggressori cercheranno di entrare dalla pagina di login.

In genere, non hanno successo al primo tentativo. Gli hacker scrivono programmi che tentano migliaia di combinazioni di login, fino a quando non ne beccano una che funziona. Pertanto, tenere traccia dei tentativi di login falliti può essere un avvertimento che qualcuno sta cercando di attaccare con brute-force il vostro sito.

Naturalmente ogni sito avrà occasionalmente dei login non riusciti. La maggior parte degli utenti dimentica la propria password di tanto in tanto o scrive male le proprie credenziali. Ciò che bisogna cercare sono ripetuti tentativi falliti provenienti dallo stesso indirizzo IP. Se qualcuno ha provato e fallito il login da una località più di una manciata di volte di fila, potrebbe non avere a cuore i vostri interessi.

Per fortuna, se state tracciando i login non riusciti attraverso il registro delle attività, saprete quanti tentativi sono stati fatti, quando e da dove sono stati effettuati. Questo può aiutarvi a rintracciare la fonte e a scoprire se si tratta di un tentativo di hacking o semplicemente di un utente persistente. Potete anche bloccare temporaneamente l’indirizzo IP in questione, giusto per essere sicuri.

Login falliti WP Security Audit Log
Login falliti WP Security Audit Log

Naturalmente, dovrete prendere anche altre misure per proteggere la vostra pagina di accesso a WordPress. Cambiare l’URL di accesso a WordPress è facile. Più si farà per stringere la ‘porta d’ingresso’ del sito, meno ci si dovrà preoccupare di utenti malintenzionati che si fanno strada con la forza.

4. Modifiche ai Temi o ai Plugin

A questo punto, prendiamoci un momento per parlare dei ruoli degli utenti di WordPress. Ad ogni persona autorizzata ad accedere al vostro sito viene assegnato un ruolo specifico. Anche se ci sono plugin che aggiungono opzioni extra, i ruoli predefiniti in WordPress sono Administrator, Editor, Author, Contributor, e Subscriber (e Super Admin sulle installazioni multisito).

Ogni ruolo ha il proprio set di permessi – in altre parole, le azioni che l’utente è autorizzato a compiere. Gli amministratori possono fare praticamente tutto quello che vogliono, ad esempio, mentre gli abbonati possono gestire solo il loro profilo personale. Gli altri ruoli si trovano a metà strada.

Questo è importante perché ci sono alcune azioni che solo gli utenti di alto livello dovrebbero essere in grado di eseguire. Per esempio, su un sito regolare (non multisite), solo un amministratore può installare, rimuovere o aggiornare plugin e temi.

Dato che gli amministratori possono apportare tali modifiche fondamentali al vostro sito, è consigliabile avere un solo utente con questo livello di accesso (voi, molto probabilmente). La possibilità di installare o rimuovere i componenti aggiuntivi dal vostro sito dà all’utente la possibilità di apportare enormi cambiamenti alle sue funzionalità, o addirittura di interrompere completamente il sito se non sta attento.

Questo significa che se qualcun altro sta apportando modifiche ai plugin e ai temi, probabilmente qualcosa non va. O un utente malintenzionato sta eseguendo queste azioni (per esempio, sta cercando di installare qualcosa di proprio sul vostro sito), oppure un utente approvato ha un livello di permessi troppo alto.

Cambio di tema in WP Security Audit Log
Cambio di tema in WP Security Audit Log

In ogni caso, questi sono problemi che dovreste affrontare immediatamente. Se mai doveste notare una modifica ai plugin o ai temi del vostro sito nel registro delle attività di WordPress che non avete fatto voi stessi, sarete in grado di rintracciare subito la fonte. Inoltre, vedrete esattamente quali modifiche sono state apportate, in modo da poterle annullare se necessario.

5. Modifiche al Core e alle Impostazioni di WordPress

In un certo senso, questo tipo di attività è molto simile a quelle dell’ultima sezione. Ci sono varie altre cose che solo gli amministratori possono fare, insieme all’installazione di plugin e temi. Infatti, quasi tutti i privilegi specifici degli amministratori dovrebbero essere monitorati.

La cosa più importante, tuttavia, sono le modifiche al core di WordPress e alle impostazioni generali del sito. Dovrebbe essere abbastanza chiaro il motivo per cui queste due categorie sono così vitali. Entrambe possono influenzare il vostro sito nel suo complesso in modo molto drammatico.

Le modifiche al core di WordPress, per esempio, possono causare incompatibilità con plugin, temi e altre parti del vostro sito. Per quanto riguarda le impostazioni, ci sono molte cose che possono creare problemi se non usate con attenzione. Modificare i permalink del sito può essere fondamentale per l’ottimizzazione dei motori di ricerca (SEO), ad esempio. Ci sono anche impostazioni che modificano la home page del sito, abilitano o disabilitano i commenti e molto altro.

Impostazioni del core di WordPress in WP Security Audit Log
Impostazioni del core di WordPress in WP Security Audit Log

In altre parole, si deve prestare grande attenzione alle modifiche apportate al core di WordPress e alle impostazioni. Quindi dovrete assolutamente sapere subito se questi elementi del vostro sito sono stati modificati da qualcun altro. Come nella sezione precedente, questo probabilmente significa che il vostro sito è sotto attacco, oppure qualcuno ha più permessi di quelli necessari.

6. Modifiche ai Profili degli Utenti

Abbiamo già discusso degli utenti in senso lato – dovrete sapere subito quali sono gli utenti nuovi e quelli che si sono cancellati. Tuttavia, è altrettanto importante rimanere al corrente dei cambiamenti dei profili utente esistenti.

Chiunque abbia un account utente sul vostro sito è in grado di apportare almeno alcune modifiche di base al proprio profilo. Tuttavia, i ruoli degli utenti determinano il tipo di attività che ogni persona può svolgere. Ad esempio, la maggior parte degli utenti non sarà in grado di modificare l’account di qualcun altro. Inoltre, solo gli amministratori possono modificare il ruolo di un utente.

Non è raro vedere cambiamenti abbastanza frequenti dei dati degli utenti su un sito WordPress molto frequentato. Tuttavia, ci sono alcune attività da tenere particolarmente d’occhio, tra cui:

  • Modifiche alla password, all’email e al nome visualizzato. Mentre è normale che un utente modifichi queste informazioni di tanto in tanto (e in modo intelligente nel caso delle password), una quantità insolita di modifiche in un breve periodo di tempo potrebbe essere indicativo di un problema.
  • Cambiamenti di ruolo dell’utente. Questa è la principale attività da tracciare per quel che riguarda i profili utente. In qualità di amministratori, nessun ruolo utente deve essere modificato sul vostro sito a vostra insaputa.
Modifiche dei profili utente in WP Security Audit Log
Modifiche dei profili utente in WP Security Audit Log

Se lasciate la registrazione aperta sul vostro sito, dovrete in particolare essere a conoscenza di livelli di attività inusuali sui nuovi account. Questo può essere segno che il proprietario dell’account non è un utente legittimo.

7. Modifiche ai Siti e agli Utenti nelle Configurazioni Multisito

Abbiamo accennato brevemente alle installazioni multisito. Questa è una delle caratteristiche meno conosciute ma più utili di WordPress. Grazie alla funzionalità multisito, è possibile eseguire più siti web singoli ma collegati in un network organizzato.

Quando si esegue una configurazione multisito, ogni sito è una propria entità. Allo stesso tempo, tutti possono essere gestiti attraverso un cruscotto centrale. Uno o più super amministratori supervisionano l’intera rete, prendendo decisioni su larga scala su utenti, impostazioni, plugin e temi. Poi, ogni sito ha il proprio amministratore, che può apportare modifiche solo a quel particolare sito.

Le configurazioni multisito possono essere particolarmente impegnative da mantenere organizzate e sicure. Dopo tutto, ora avete più siti di cui preoccuparvi, ognuno con il proprio set di utenti. Ciò significa che il monitoraggio delle attività su ogni sito (insieme alla rete nel suo complesso) è più importante che mai.

Ecco alcune delle attività a cui dovreste prestare particolare attenzione se gestite una rete Multisito:

  • Siti aggiunti o cancellati. Questo è il punto principale. Come super amministratori, siete gli unici che dovrebbero essere in grado di creare o rimuovere siti – nessun altro utente dovrebbe eseguire una tale azione.
  • Aggiunta o cancellazione di utenti dai siti. Per gli stessi motivi visti in precedenza, è una buona idea tenere traccia degli utenti registrati ad ogni sito della rete.
  • Modifiche alle impostazioni di rete. In una configurazione multisito, si accede a una schermata speciale con opzioni specifiche per la rete. Queste impostazioni hanno effetti di vasta portata e non dovrebbero essere modificate con leggerezza.

L’utilizzo di un registro delle attività per le reti WordPress Multisite consente di tracciare le attività da tutte le direzioni. In questo modo è possibile tenere sotto controllo i comportamenti degli utenti su ogni singolo sito, nonché le modifiche apportate alla rete nel suo complesso.

Non Dimenticate il Vostro Account di Hosting

Oltre ai vostri siti WordPress, è anche consigliabile tenere traccia di ciò che accade sul vostro account di hosting WordPress. Questo è ovviamente il motore che fa girare tutto dietro le quinte.

Se siete clienti di Kinsta, potete facilmente vedere i cambiamenti dalla schermata del registro delle attività nel cruscotto di MyKinsta. Qui c’è tutto, dalla creazione del sito, alle cancellazioni, dai cambiamenti di dominio ai redirect, ecc. Se avete più utenti sul vostro account, la registrazione avviene a livello globale in modo da poter vedere chi ha fatto quale azione.

Registro delle attività di MyKinsta
Registro delle attività di MyKinsta

Riepilogo

Le più piccole modifiche apportate a un sito web WordPress possono avere risultati drammatici. Una semplice modifica delle impostazioni può alterare il modo in cui il vostro sito funziona e l’installazione di un plugin o di un tema non compatibile con gli altri strumenti può interrompere importanti funzionalità. Ecco perché, soprattutto se avete molti utenti, dovrete tenere traccia di tutto ciò che accade sul vostro sito. Ecco come eliminare in modo sicuro un tema WordPress.

Uno dei modi migliori per farlo è quello di installare un plugin per il log delle attività di WordPress che raccoglie informazioni su ogni modifica apportata al vostro sito in un unico pratico registro. Questo registro dovrebbe tenere traccia di tutte le modifiche più importanti (e potenzialmente problematiche), come ad esempio:

  1. Modifiche ai contenuti.
  2. Utenti nuovi e rimossi.
  3. Tentativi di login falliti.
  4. Modifiche ai temi o ai plugin.
  5. Modifiche al core e alle impostazioni di WordPress.
  6. Modifiche ai profili utente.
  7. Modifiche ai siti web e agli utenti su configurazioni multisito.

Avete domande su come monitorare l’attività degli utenti sui siti WordPress? Chiedete nella sezione dei commenti qui sotto!


Tieni tutte le tue applicazioni, database e Siti WordPress online e sotto lo stesso tetto. La nostra piattaforma cloud ad alte prestazioni è ricca di funzionalità e include:

  • Semplici configurazione e gestione dalla dashboard di MyKinsta
  • Supporto esperto 24/7
  • I migliori hardware e network di Google Cloud Platform, con la potenza di Kubernetes per offrire la massima scalabilità
  • Integrazione di Cloudflare di livello enterprise per offrire velocità e sicurezza
  • Copertura globale del pubblico con 35 data center e 275+ PoP in tutto il mondo

Prova tu stesso con 20 dollari di sconto sul primo mese di Hosting di Applicazioni o Hosting di Database. Esplora i nostri piani oppure contattaci per trovare la soluzione più adatta a te.