Registro delle Attività di WordPress – 7 Cose da Tenere Sotto Controllo

Se il vostro sito WordPress è piccolo, è facile tenere sotto controllo tutto ciò che accade al suo interno. Tuttavia, man mano che cresce in dimensioni e complessità, può diventare molto più difficile tenerne il passo. Questo è vero soprattutto se si consente agli utenti di registrarsi sul proprio sito, se si gestisce un sito ad iscrizione o se si hanno più collaboratori.

In ogni caso, è fondamentale sapere cosa succede sul vostro sito in ogni momento. È possibile farlo monitorando le attività degli utenti, come le modifiche ai contenuti, gli aggiornamenti del profilo, gli accessi non riusciti e altro ancora. Quando si dispone di informazioni come queste, è possibile rintracciare rapidamente la fonte di eventuali problemi e mantenere una rigida sicurezza.

In questo post parleremo brevemente del motivo per cui è necessario tenere traccia dell’attività del vostro sito WordPress e vi aiuteremo a capire quali sono le principali attività da tenere d’occhio. Cominciamo subito!

Perché è Fondamentale Utilizzare un Registro delle Attività di WordPress

Un registro delle attività può aiutarvi a tenere sotto controllo i cambiamenti importanti del vostro sito.

Se il vostro sito ha un solo utente – voi – non dovrebbero esserci sorprese. A meno che il vostro sito non venga violato (cosa di cui parleremo più avanti), ogni modifica e aggiornamento sarà stato fatto da voi.

Tuttavia, molti siti permettono a più di un singolo utente di registrarsi. Potreste incoraggiare i vostri visitatori a sottoscrivere un abbonamento, ad esempio. In alternativa, potreste avere un intero team di writer, sviluppatori, redattori e collaboratori terzi che vi aiutano a creare e gestire i contenuti.

In ogni caso, avere tante persone che accedono al sito può generare molte incertezze. Non è sempre facile capire chi ha cancellato un post o perché un profilo utente è stato modificato. Se siete preoccupati che una particolare modofica sia dannosa, o semplicemente volete sapere perché si è verificata, potreste non sapere come procedere.

Ecco perché il monitoraggio dell’attività di un sito WordPress è così importante. Avere un registro delle attività di ogni cambiamento significativo, con i dettagli su quando è avvenuto e quali utenti sono stati coinvolti, permette di affrontare gli eventi inaspettati in modo molto più semplice. Anche se siete gli unici utenti del vostro sito, questo tipo di log può aiutarvi a rintracciare l’origine di quelle modifiche risultanti da tentativi di hacking riusciti.

Naturalmente non è possibile mantenere un registro delle attività manualmente. Ma per fortuna, è possibile utilizzare un plugin per il registro delle attività di WordPress per gestire il lavoro in modo automatico. Tutto quello che dovrete fare è controllare il vostro registro ogni volta che avrete bisogno delle informazioni in esso contenute.

WP Activity Log

Uno dei migliori plugin sul mercato per questo è WP Activity Log. È possibile scaricare la versione gratuita sul repository di WordPress. Al momento in cui scriviamo, il plugin conta oltre 200.000 installazioni attive con un’impressionante valutazione di 4,6 stelle su 5. È anche attivamente aggiornato dagli sviluppatori.

Esiste anche una versione premium (a partire da 99 dollari all’anno) che offre funzioni aggiuntive come report, avvisi istantanei via e-mail e SMS e filtri di ricerca. Ma tutte le funzionalità di log e di ricerca testuale sono completamente gratuite.

Configurazione di WP Activity Log

Per questo articolo utilizziamo la versione gratuita di WP Activity Log. Dopo l’installazione, la prima cosa che vedrete è la procedura guidata di configurazione.

Passo 1

Cliccate su “Start Configuring the Plugin” per iniziare.

Passo 2

Selezionate “Basic” o “Geek”.

• Basic: scegliete questa opzione se volete solo i dati di registrazione di base.
• Geek: scegliete questa opzione se volete tutti i dati che il plugin ha da offrire.

È possibile modificare queste impostazioni in qualsiasi momento, ma per questo esempio utilizzeremo l’opzione “Geek” per mostrare il tipo di registro delle attività che il plugin è in grado di registrare.

Passo 3

Successivamente, si dovrà scegliere per quanto tempo si desidera conservare i dati del registro attività. Per questo esempio, sceglieremo 6 mesi.

• 6 mesi (i dati più vecchi di 6 mesi saranno cancellati)
• 12 mesi (i dati più vecchi di 12 mesi saranno cancellati)
• Conserva tutti i dati.

Questo può essere cambiato in seguito. Ma è importante notare che i dati sono memorizzati nel database di WordPress. E anche se viene fatto in modo efficiente, non dovreste mai memorizzare più dati di quelli che pensate di utilizzare. Nella maggior parte dei casi, 6 mesi dovrebbero andare bene, soprattutto se si è piuttosto proattivi nel risolvere i problemi man mano che si presentano.

Se acquistate la versione premium di WP Activity log, potete conservare i dati ancora più a lungo e persino archiviarli in un database esterno. È anche possibile eseguire il mirroring su sistemi di gestione dei log di terze parti o su syslog.

Passo 4

Questa fase della procedura guidata è molto importante. In esso si specifica se gli utenti accedono al sito web tramite la pagina di accesso predefinita di WordPress o meno. Ciò è necessario affinché il plugin possa rilevare gli accessi da pagine di accesso front-end di terze parti, come quelle create da plugin di membership o di ecommerce.

Se si sceglie no e si dispone di una pagina di accesso front-end personalizzata, il plugin potrebbe non essere in grado di rilevare gli accessi. Questa opzione, come tutte le altre della procedura guidata, può essere modificata in qualsiasi momento dalle impostazioni del plugin.

Passo 5

Nell’ultima fase della procedura guidata, si deve specificare se gli utenti possono registrarsi o meno al sito web. Come per l’opzione precedente, se si seleziona no e gli utenti sono autorizzati, il plugin potrebbe non essere in grado di tenere un registro delle registrazioni dei nuovi utenti.

Questa impostazione può essere modificata in qualsiasi momento dalle impostazioni del plugin.

E questo è quanto! Tutte le modifiche apportate al vostro sito WordPress vengono ora registrate per essere conservate. I dati e le impostazioni di WP Activity Log sono visibili nel menu “WP Activity Log” della dashboard di WordPress. Per approfondire tutte le impostazioni, vi consigliamo di consultare la documentazione introduttiva.

Il resto di questo articolo evidenzierà alcuni dei diversi tipi di attività che dovreste inserire nel vostro diario di bordo.

7 Tipi di Modifiche che un Plugin per il Registro delle Attività di WordPress Dovrebbe Registrare

C’è molto da fare anche nel più semplice sito web WordPress. Alcune delle modifiche e degli eventi sono più importanti di altri, ed è più probabile che indichino possibili problemi o violazioni della sicurezza.

In tutto il resto di questo articolo, descriveremo le sette principali attività da tracciare sul vostro sito. Anche se non è un elenco esaustivo, queste sono le voci che dovrete assolutamente includere nel log delle attività di WordPress.

1. Modifiche ai Contenuti
2. Utenti Nuovi ed Eliminati
3. Tentativi di Accesso non Riusciti
4. Modifiche ai Temi o ai Plugin
5. Modifiche al Core e alle Impostazioni di WordPress
6. Modifiche ai Profili degli Utenti
7. Modifiche ai Siti e agli Utenti nelle Configurazioni Multisito

1. Modifiche ai Contenuti

I contenuti sono il cuore di ogni sito di successo. Come minimo, il vostro sito sarà composto da una o più pagine, che dovranno essere aggiornate periodicamente con informazioni nuove o riviste, se volete che rimangano rilevanti.

Inoltre, molti siti WordPress pubblicano spesso nuovi contenuti sotto forma di post. Potete usare il vostro sito per gestire un blog, pubblicare notizie sulla vostra attività, o qualcosa di completamente diverso. Una volta che il vostro sito è stato visto per un po’ di tempo, il numero di post può salire rapidamente alle stelle.

La qualità e l’accuratezza di tutti quei contenuti è fondamentale per fornire valore ai vostri visitatori, rafforzare la vostra autorità ed essere sicuri che il vostro pubblico si fidi di ciò che avete da dire. Tutto questo significa che è fondamentale tenere d’occhio i vostri contenuti. Dovrete assicurarvi che sia i nuovi contenuti che le modifiche ai contenuti esistenti si riflettano sul vostro sito e/o sulla vostra azienda.

Ecco perché dovrete tenere traccia di tutte le modifiche relative ai contenuti all’interno di WordPress. Questo include:

• La creazione di nuove pagine, post o altri tipi di contenuti.
• Alterazioni di una pagina esistente o del titolo di un post, della data, dell’URL, dei campi personalizzati o di altre variabili chiave.
• Contenuti modificati all’interno di contenuti esistenti – se qualcosa è stato aggiunto, modificato o rimosso.
• Cambiamenti di stato, come ad esempio un post che è stato pubblicato o riportato in bozza.

La SEO è un altro ottimo motivo per tenere sempre d’occhio i cambiamenti dei contenuti. Ad esempio, se un URL cambia su un post popolare con traffico e backlink, e voi non lo sapete, potrebbe essere disastroso. Anche se WordPress ha un redirect integrato e farà del suo meglio per cercare di reindirizzare i contenuti aggiornati, questo non sempre funziona. Si dovrebbe sempre aggiungere un redirect 301, a livello di server se possibile, per motivi di performance. Lo strumento di reindirizzamento di Kinsta rende tutto questo molto facile!

Tutti le modifiche di cui sopra avvengono abbastanza regolarmente su un sito WordPress attivo, e di solito non sono un problema. Tuttavia, è necessario essere sempre pronti ad affrontare l’imprevisto. Un articolo potrebbe essere pubblicato troppo presto, ad esempio, o una sezione all’interno di una pagina potrebbe essere rimossa. In queste situazioni, se avete seguito le modifiche ai contenuti del vostro sito, saprete esattamente chi ha effettuato la modifica e quando (e vi sarà facile scoprirne il motivo).

2. Utenti Nuovi ed Eliminati

Come abbiamo detto, molti siti WordPress finiscono per aggiungere un certo numero di utenti alle loro fila. Questo è generalmente segno di un sito fiorente, dato che ci sono più persone che si impegnano e lavorano su di esso.

Tuttavia, bisognerebbe mantenere un certo livello di controllo sulla base di utenti del sito. Anche se si abilitano le iscrizioni, è necessario sapere chi è titolare di ogni account utente e perché. Come minimo, quindi, dovreste essere consapevoli di questo quando gli utenti vengono aggiunti o rimossi dal vostro sito.

È importante il monitoraggio di entrambe le attività. Se un nuovo utente si registra inaspettatamente sul vostro sito, dovreste saperlo subito. Se non si abilitano le iscrizioni, questo può essere il segno di un tentativo di hacking. Lo stesso vale per gli utenti cancellati – anche in questo caso, non è un genere di cose che si può lasciare che accadano inaspettatamente.

3. Tentativi di Accesso non Riusciti

Tutti devono effettuare il login prima di poter accedere alle vostre pagine di amministrazione di WordPress – anche voi. Per questo la pagina di login costituisce una prima linea di difesa fondamentale per proteggere il cruscotto del sito o le pagine “riservate ai clienti”. Anche se ci sono diversi modi per cercare di forzare l’accesso al vostro sito, la maggior parte degli aggressori cercheranno di entrare dalla pagina di login.

In genere, non hanno successo al primo tentativo. Gli hacker scrivono programmi che tentano migliaia di combinazioni di login, fino a quando non ne beccano una che funziona. Pertanto, tenere traccia dei tentativi di login falliti può essere un avvertimento che qualcuno sta cercando di attaccare con brute-force il vostro sito.

Naturalmente ogni sito avrà occasionalmente dei login non riusciti. La maggior parte degli utenti dimentica la propria password di tanto in tanto o scrive male le proprie credenziali. Ciò che bisogna cercare sono ripetuti tentativi falliti provenienti dallo stesso indirizzo IP. Se qualcuno ha provato e fallito il login da una località più di una manciata di volte di fila, potrebbe non avere a cuore i vostri interessi.

Per fortuna, se state tracciando i login non riusciti attraverso il registro delle attività, saprete quanti tentativi sono stati fatti, quando e da dove sono stati effettuati. Questo può aiutarvi a rintracciare la fonte e a scoprire se si tratta di un tentativo di hacking o semplicemente di un utente persistente. Potete anche bloccare temporaneamente l’indirizzo IP in questione, giusto per essere sicuri.

Naturalmente, dovrete prendere anche altre misure per proteggere la vostra pagina di accesso a WordPress. Cambiare l’URL di accesso a WordPress è facile. Più si farà per stringere la ‘porta d’ingresso’ del sito, meno ci si dovrà preoccupare di utenti malintenzionati che si fanno strada con la forza.

4. Modifiche ai Temi o ai Plugin

A questo punto, prendiamoci un momento per parlare dei ruoli degli utenti di WordPress. Ad ogni persona autorizzata ad accedere al vostro sito viene assegnato un ruolo specifico. Anche se ci sono plugin che aggiungono opzioni extra, i ruoli predefiniti in WordPress sono Administrator, Editor, Author, Contributor, e Subscriber (e Super Admin sulle installazioni multisito).

Ogni ruolo ha il proprio set di permessi – in altre parole, le azioni che l’utente è autorizzato a compiere. Gli amministratori possono fare praticamente tutto quello che vogliono, ad esempio, mentre gli abbonati possono gestire solo il loro profilo personale. Gli altri ruoli si trovano a metà strada.

Questo è importante perché ci sono alcune azioni che solo gli utenti di alto livello dovrebbero essere in grado di eseguire. Per esempio, su un sito regolare (non multisite), solo un amministratore può installare, rimuovere o aggiornare plugin e temi.

Dato che gli amministratori possono apportare tali modifiche fondamentali al vostro sito, è consigliabile avere un solo utente con questo livello di accesso (voi, molto probabilmente). La possibilità di installare o rimuovere i componenti aggiuntivi dal vostro sito dà all’utente la possibilità di apportare enormi cambiamenti alle sue funzionalità, o addirittura di interrompere completamente il sito se non sta attento.

Questo significa che se qualcun altro sta apportando modifiche ai plugin e ai temi, probabilmente qualcosa non va. O un utente malintenzionato sta eseguendo queste azioni (per esempio, sta cercando di installare qualcosa di proprio sul vostro sito), oppure un utente approvato ha un livello di permessi troppo alto.

In ogni caso, questi sono problemi che dovreste affrontare immediatamente. Se mai doveste notare una modifica ai plugin o ai temi del vostro sito nel registro delle attività di WordPress che non avete fatto voi stessi, sarete in grado di rintracciare subito la fonte. Inoltre, vedrete esattamente quali modifiche sono state apportate, in modo da poterle annullare se necessario.

5. Modifiche al Core e alle Impostazioni di WordPress

In un certo senso, questo tipo di attività è molto simile a quelle dell’ultima sezione. Ci sono varie altre cose che solo gli amministratori possono fare, insieme all’installazione di plugin e temi. Infatti, quasi tutti i privilegi specifici degli amministratori dovrebbero essere monitorati.

La cosa più importante, tuttavia, sono le modifiche al core di WordPress e alle impostazioni generali del sito. Dovrebbe essere abbastanza chiaro il motivo per cui queste due categorie sono così vitali. Entrambe possono influenzare il vostro sito nel suo complesso in modo molto drammatico.

Le modifiche al core di WordPress, per esempio, possono causare incompatibilità con plugin, temi e altre parti del vostro sito. Per quanto riguarda le impostazioni, ci sono molte cose che possono creare problemi se non usate con attenzione. Modificare i permalink del sito può essere fondamentale per l’ottimizzazione dei motori di ricerca (SEO), ad esempio. Ci sono anche impostazioni che modificano la home page del sito, abilitano o disabilitano i commenti e molto altro.

In altre parole, si deve prestare grande attenzione alle modifiche apportate al core di WordPress e alle impostazioni. Quindi dovrete assolutamente sapere subito se questi elementi del vostro sito sono stati modificati da qualcun altro. Come nella sezione precedente, questo probabilmente significa che il vostro sito è sotto attacco, oppure qualcuno ha più permessi di quelli necessari.

6. Modifiche ai Profili degli Utenti

Abbiamo già discusso degli utenti in senso lato – dovrete sapere subito quali sono gli utenti nuovi e quelli che si sono cancellati. Tuttavia, è altrettanto importante rimanere al corrente dei cambiamenti dei profili utente esistenti.

Chiunque abbia un account utente sul vostro sito è in grado di apportare almeno alcune modifiche di base al proprio profilo. Tuttavia, i ruoli degli utenti determinano il tipo di attività che ogni persona può svolgere. Ad esempio, la maggior parte degli utenti non sarà in grado di modificare l’account di qualcun altro. Inoltre, solo gli amministratori possono modificare il ruolo di un utente.

Non è raro vedere cambiamenti abbastanza frequenti dei dati degli utenti su un sito WordPress molto frequentato. Tuttavia, ci sono alcune attività da tenere particolarmente d’occhio, tra cui:

• Modifiche alla password, all’email e al nome visualizzato. Mentre è normale che un utente modifichi queste informazioni di tanto in tanto (e in modo intelligente nel caso delle password), una quantità insolita di modifiche in un breve periodo di tempo potrebbe essere indicativo di un problema.
• Cambiamenti di ruolo dell’utente. Questa è la principale attività da tracciare per quel che riguarda i profili utente. In qualità di amministratori, nessun ruolo utente deve essere modificato sul vostro sito a vostra insaputa.

Se lasciate la registrazione aperta sul vostro sito, dovrete in particolare essere a conoscenza di livelli di attività inusuali sui nuovi account. Questo può essere segno che il proprietario dell’account non è un utente legittimo.

7. Modifiche ai Siti e agli Utenti nelle Configurazioni Multisito

Abbiamo accennato brevemente alle installazioni multisito. Questa è una delle caratteristiche meno conosciute ma più utili di WordPress. Grazie alla funzionalità multisito, è possibile eseguire più siti web singoli ma collegati in un network organizzato.

Quando si esegue una configurazione multisito, ogni sito è una propria entità. Allo stesso tempo, tutti possono essere gestiti attraverso un cruscotto centrale. Uno o più super amministratori supervisionano l’intera rete, prendendo decisioni su larga scala su utenti, impostazioni, plugin e temi. Poi, ogni sito ha il proprio amministratore, che può apportare modifiche solo a quel particolare sito.

Le configurazioni multisito possono essere particolarmente impegnative da mantenere organizzate e sicure. Dopo tutto, ora avete più siti di cui preoccuparvi, ognuno con il proprio set di utenti. Ciò significa che il monitoraggio delle attività su ogni sito (insieme alla rete nel suo complesso) è più importante che mai.

Ecco alcune delle attività a cui dovreste prestare particolare attenzione se gestite una rete Multisito:

• Siti aggiunti o cancellati. Questo è il punto principale. Come super amministratori, siete gli unici che dovrebbero essere in grado di creare o rimuovere siti – nessun altro utente dovrebbe eseguire una tale azione.
• Aggiunta o cancellazione di utenti dai siti. Per gli stessi motivi visti in precedenza, è una buona idea tenere traccia degli utenti registrati ad ogni sito della rete.
• Modifiche alle impostazioni di rete. In una configurazione multisito, si accede a una schermata speciale con opzioni specifiche per la rete. Queste impostazioni hanno effetti di vasta portata e non dovrebbero essere modificate con leggerezza.

L’utilizzo di un registro delle attività per le reti WordPress Multisite consente di tracciare le attività da tutte le direzioni. In questo modo è possibile tenere sotto controllo i comportamenti degli utenti su ogni singolo sito, nonché le modifiche apportate alla rete nel suo complesso.

Non Dimenticate il Vostro Account di Hosting

Oltre ai vostri siti WordPress, è anche consigliabile tenere traccia di ciò che accade sul vostro account di hosting WordPress. Questo è ovviamente il motore che fa girare tutto dietro le quinte.

Se siete clienti di Kinsta potete facilmente vedere i cambiamenti dalla sezione Attività utente nel cruscotto MyKinsta. Tutto, dalle creazioni di siti, alle cancellazioni, ai cambiamenti di dominio, ai reindirizzamenti, ecc. Se avete più utenti sul vostro account, il tutto viene registrato globalmente in modo da poter vedere chi ha fatto quale azione.

Riepilogo

Le più piccole modifiche apportate a un sito web WordPress possono avere risultati drammatici. Una semplice modifica delle impostazioni può alterare il modo in cui il vostro sito funziona e l’installazione di un plugin o di un tema non compatibile con gli altri strumenti può interrompere importanti funzionalità. Ecco perché, soprattutto se avete molti utenti, dovrete tenere traccia di tutto ciò che accade sul vostro sito. Ecco come eliminare in modo sicuro un tema WordPress.

Uno dei modi migliori per farlo è quello di procurarsi un plugin per Registro Attività WP che raccoglie le informazioni su ogni modifica apportata al sito in un pratico log. Questo registro dovrebbe tenere traccia di tutte le modifiche più importanti (e potenzialmente problematiche), come ad esempio:

1. Modifiche ai contenuti.
2. Utenti nuovi e rimossi.
3. Tentativi di login falliti.
4. Modifiche ai temi o ai plugin.
5. Modifiche al core e alle impostazioni di WordPress.
6. Modifiche ai profili utente.
7. Modifiche ai siti web e agli utenti su configurazioni multisito.

Avete domande su come monitorare l’attività degli utenti sui siti WordPress? Chiedete nella sezione dei commenti qui sotto!