Quando seu site do WordPress é pequeno, é fácil manter abas sobre tudo o que acontece dentro dele. No entanto, como ele cresce em tamanho e complexidade, pode se tornar muito mais difícil de acompanhar. Isto é particularmente verdade se você permitir que os usuários se registrem em seu site, executem um site de associação ou tenham vários contribuidores nele.

Independentemente disso, é vital saber o que está acontecendo no seu site o tempo todo. Você pode fazer isso rastreando a atividade do usuário, como alterações no conteúdo, atualizações de perfil, logins com falha e muito mais. Quando você tem informações como essa na ponta dos dedos, você pode rastrear rapidamente a origem de qualquer problema e manter a segurança apertada.

Neste post, vamos falar brevemente sobre por que você gostaria de acompanhar a atividade do seu site WordPress. Depois, vamos ajudá-lo a descobrir que tipo de atividade é mais importante vigiar. Vamos saltar para dentro!

Por que é crucial usar um log de atividades do WordPress

Um registo de atividades pode ajudá-lo a manter registos sobre alterações importantes no seu site.

Se o seu site tem apenas um único usuário – você – não deve haver surpresas. A menos que seu site do WordPress tenha sido hackeado (sobre o qual falaremos mais tarde), todas as alterações e atualizações terão sido feitas por você.

Atividade do usuário da faixa do WordPress
Atividade do usuário da faixa do WordPress

No entanto, muitos sites permitem que muito mais do que um único usuário se registre. Você pode incentivar seus visitantes a se cadastrar em contas de assinantes, por exemplo. Alternativamente, você pode ter uma equipe inteira de escritores, desenvolvedores, editores e terceirizados que ajudam você a criar e gerenciar conteúdo.

De qualquer forma, ter tantas pessoas acessando seu site pode levar a muita incerteza. Nem sempre é fácil descobrir quem eliminou um post, ou perceber porque é que um perfil de utilizador foi alterado. Se você está preocupado que uma determinada mudança foi maliciosa, ou você simplesmente quer saber por que ela ocorreu, você pode não ter uma boa maneira de proceder.

É por isso que rastrear a atividade no seu site WordPress é tão importante. Ter um registro de atividades de cada mudança significativa, juntamente com detalhes sobre quando isso aconteceu e quais usuários estiveram envolvidos, torna mais fácil lidar com eventos inesperados. Mesmo que você seja o único usuário em seu site, esse tipo de log pode ajudá-lo a rastrear a origem das alterações que são o resultado de tentativas de hacking bem-sucedidas.

Naturalmente, não é possível atualizar um log de atividades manualmente. Felizmente, você pode usar um plugin de log de atividades do WordPress para lidar com esse trabalho automaticamente. Tudo o que você precisa fazer é verificar seu log sempre que precisar das informações nele contidas.

WP Activity Log

Um dos melhores plugins no mercado para isto é o WP Activity Log. Você pode baixar a versão gratuita no repositório WordPress. Como de escrever isto, tem sobre 200.000 instalações ativas com um 4.6 impressive fora da avaliação 5-star. Ele também é atualizado regularmente pelos desenvolvedores.

WP Activity Log
WP Activity Log

Também existe uma versão premium (a partir de $99 por ano) que oferece recursos adicionais, como relatórios, alertas instantâneos por e-mail e SMS, e filtros de pesquisa. Mas toda a funcionalidade de registro de atividades e busca baseada em texto é completamente gratuita.

Configurando o WP Activity Log

Nós estamos usando a versão livre de WP Activity Log in this post. Após a instalação, a primeira coisa que você verá após a ativação é o assistente de configuração.

Passo 1

Clique em “Start Configuring the Plugin” para começar.

Configurar o plugin WP Activity Log
Configurar o plugin WP Activity Log

Passo 2

Escolha “Básico” ou “Geek”.

  • Básico: Selecionar esta opção se desejar apenas dados básicos de registro de dados.
  • Geek: Escolha esta opção se quiser todos os dados que o plugin tem para oferecer.

Você pode alterar essas configurações a qualquer momento mais tarde, mas, para este exemplo, vamos selecionar a opção “Geek” para mostrar mais do tipo de registro de atividade que o plugin pode manter.

WP Activity Log geek WP Security Audit Log configurações geek
WP Activity Log geek WP Security Audit Log configurações geek

Passo 3

Em seguida, você vai querer escolher por quanto tempo deseja manter os dados do registro de atividade. Para este exemplo, vamos escolher 6 meses.

  • 6 meses (os dados com mais de 6 meses serão eliminados)
  • 12 meses (os dados com mais de 12 meses serão eliminados)
  • Guarde todos os dados.

Podes mudar isto mais tarde. Mas é importante notar que os dados são armazenados em seu banco de dados do WordPress. E, embora isso seja feito de maneira eficiente, você nunca deve armazenar mais dados do que pensa que vai usar. Para a maioria, 6 meses deve ser bom, especialmente se você é muito proativo sobre a resolução de problemas como eles surgem.

Retenção de dados do WP Activity Log
Retenção de dados do WP Activity Log

Se você adquirir a versão premium do WP Activity log, poderá reter os dados por ainda mais tempo e até armazená-los em um banco de dados externo. Você também pode espelhar os dados para sistemas de gestão de registros de terceiros ou syslog.

Passo 4

Esta etapa do assistente é bastante importante. Nela, você especifica se os usuários fazem login no seu site através da página de login padrão do WordPress ou não. Isso é necessário para que o plugin possa detectar logins a partir de páginas de login de frontend de terceiros, como as criadas por plugins de membros ou de eCommerce.

Caso opte por ‘não’ e utilize uma página personalizada de login no frontend, o plugin pode não conseguir detectar os logins. Assim como as demais configurações no assistente, esta pode ser modificada a qualquer momento através das configurações do plugin.

Acesso ao Log
Acesso ao Log

Passo 5

No último passo do assistente, você precisa especificar se os usuários podem se registrar ou não no seu site. Semelhante à opção anterior, se você selecionar não e os usuários puderem se registrar, o plugin pode não conseguir registrar a atividade de novos registros de usuários.

Essa configuração também pode ser alterada a qualquer momento nas configurações do plugin.

Registro de usuário
Registro de usuário

E é tudo! Todas as alterações no seu site WordPress estão agora a ser registadas para uma manutenção segura. Os dados e configurações do WP Activity Log podem ser vistos no menu “WP Activity Log” no seu painel do WordPress. Para realmente mergulhar profundamente em todas as configurações, recomendamos verificar a documentação inicial.

Activity log no painel do WordPress
Activity log no painel do WordPress

O resto deste post irá destacar alguns dos vários tipos de atividades que você vai querer incluir no seu log.

7 Tipos de alterações que o seu plugin de log de atividades do WordPress deve monitorar

Há muita coisa acontecendo até mesmo no site mais simples do WordPress. Algumas dessas mudanças e eventos são mais importantes do que outros (e são mais propensos a indicar problemas potenciais ou violações de segurança).

Ao longo do resto deste post, vamos discutir as sete atividades mais importantes para rastrear em seu site. Embora não seja uma lista exaustiva, esses são os itens que você deseja absolutamente incluir no log de atividades do WordPress.

  1. Alterações ao conteúdo
  2. Usuários novos e removidos
  3. Tentativas de logon falhadas
  4. Mudanças em Temas ou Plugins
  5. Alterações no WordPress Core e nas configurações
  6. Ajustes do perfil do usuário
  7. Mudanças em Websites e Usuários em Configurações de Multisites

1. Alterações ao conteúdo

O conteúdo é o coração de qualquer site de sucesso. No mínimo, o seu site será composto por uma ou mais páginas, que devem ser atualizadas periodicamente com informações novas ou revistas, caso você queira que elas permaneçam relevantes.

Além disso, muitos sites do WordPress frequentemente lançam novos conteúdos na forma de posts. Você pode usar o seu site para executar um blog, postar notícias sobre o seu negócio, ou outra coisa inteiramente. Uma vez que seu site tenha estado em torno de um tempo, o número de posts pode disparar rapidamente.

A qualidade e precisão de todo esse conteúdo é fundamental para fornecer valor aos seus visitantes, aumentar a sua autoridade e garantir que o seu público confie no que você tem a dizer. Tudo isto significa que manter um olhar atento sobre o seu conteúdo é vital. Você vai querer garantir que tanto o novo conteúdo quanto as alterações no conteúdo existente reflitam bem no seu site e/ou empresa.

É por isso que você vai querer acompanhar todas as alterações relacionadas ao conteúdo no WordPress. Isto inclui:

  • A criação de novas páginas, posts ou outros tipos de conteúdo.
  • Alterações em uma página existente ou no título do post, data, URL, campos personalizados ou outras variáveis-chave.
  • Conteúdo modificado dentro do conteúdo existente – se algo foi adicionado, editado ou removido.
  • Modificações de status, como um lançamento que tenha sido publicado ou devolvido ao formulário de esboço.
Alterações de conteúdo
Alterações de conteúdo

SEO é outra grande razão para manter sempre um olho na mudança de conteúdo. Por exemplo, se um URL muda em uma postagem popular com tráfego e backlinks, e você não sabe sobre ele, isso pode ser desastroso. Embora o WordPress tenha redirecionamentos incorporados e faça o possível para tentar redirecionar para o conteúdo atualizado, isso nem sempre funciona. Você deve sempre adicionar 301 redirecionamentos, no nível do servidor, se possível por razões de desempenho. A ferramenta de redireccionamento da Kinsta torna isto super fácil!

Todas as mudanças acima acontecem regularmente em um site WordPress ativo, e geralmente não são um problema. No entanto, você deve estar sempre preparado para o inesperado acontecer. Um post pode ser publicado muito cedo, por exemplo, ou uma seção dentro de uma página pode ser removida. Nesses cenários, se você estiver rastreando alterações de conteúdo em seu site, saberá exatamente quem fez a alteração e quando (e estará bem posicionado para descobrir o porquê).

2. Usuários novos e removidos

Como mencionamos anteriormente, muitos sites do WordPress acabam adicionando um número de usuários às suas fileiras. Este é geralmente um sinal de um site próspero, como você tem mais pessoas envolvidas com e trabalhando nele.

No entanto, você vai querer manter algum nível de controle sobre a base de usuários do seu site. Mesmo que você habilite registros abertos, você precisará saber quem detém cada conta de usuário e por quê. No mínimo, portanto, você vai querer estar ciente disso quando os usuários são adicionados ou removidos do seu site.

Registros de usuários
Registros de usuários

Rastrear ambas as actividades é importante. Se um novo usuário se registrar inesperadamente em seu site, você vai querer saber sobre ele imediatamente. Se você não habilitar registros abertos, isso pode ser um sinal de uma tentativa de hacking. O mesmo vale para usuários excluídos – novamente, este não é o tipo de coisa que você quer que aconteça inesperadamente.

3. Tentativas de logon falhadas

Todos têm de iniciar sessão antes de poderem aceder às suas páginas de administração do WordPress – mesmo você. Na verdade, a sua tela de login forma uma primeira linha de defesa crucial quando se trata de proteger o painel do seu site ou páginas ‘reservadas ao cliente’. Embora haja uma variedade de maneiras de tentar forçar o acesso ao seu site, a maioria dos atacantes irá concentrar seus esforços em tentar entrar através da tela de login.

Geralmente, essas tentativas não serão bem sucedidas na primeira tentativa. Hackers escrevem programas que irão tentar milhares de combinações de login, até que eles acertem em um que funcione. Portanto, manter-se a par das tentativas de login falhadas pode dar-lhe um aviso quando alguém está a tentar forçar o seu site desta forma.

Todos os sites ocasionalmente terão logins falhados, é claro. A maioria dos usuários esquece suas senhas de tempos em tempos, ou escreve erroneamente suas credenciais. O que você vai querer procurar é repetir tentativas falhadas provenientes do mesmo endereço IP. Se alguém de um local tentou e não conseguiu entrar mais do que um punhado de vezes seguidas, pode não ter seus melhores interesses no coração.

Felizmente, se você estiver rastreando logins com falha através do seu log de atividades, você saberá quantas tentativas foram feitas, quando e de onde elas vieram. Isso pode ajudá-lo a rastrear a fonte e descobrir se é uma tentativa de hacking ou simplesmente um usuário persistente. Você também pode bloquear temporariamente o endereço IP em questão, só por segurança.

Logins falhos
Logins falhos

Naturalmente, você também vai querer tomar outras medidas para proteger sua tela de login do WordPress. Alterar a URL de login do WordPress é fácil. Quanto mais você puder fazer para restringir a ‘porta da frente’ do seu site, menos você precisará se preocupar com usuários maliciosos forçando sua entrada.

4. Mudanças em Temas ou Plugins

Neste ponto, vamos aproveitar um momento para falar sobre as funções do usuário do WordPress. Cada pessoa a quem é permitido o acesso ao seu site tem um papel particular. Embora existam plugins que adicionam opções extras, as funções padrão no WordPress são Administrador, Editor, Autor, Contribuidor e Assinante (e Super Admin em nstalações multisite).

Cada função tem seu próprio conjunto de permissões – em outras palavras, as ações que o usuário pode tomar. Os administradores podem fazer praticamente tudo o que quiserem, por exemplo, enquanto os assinantes só podem gerenciar seus perfis pessoais. Os outros papéis caem algures no meio.

Isto é importante porque há certas acções que apenas os utilizadores de nível superior devem poder realizar. Por exemplo, em um site normal (não multi), apenas um administrador pode instalar, remover ou atualizar plugins e temas.

Uma vez que os administradores podem fazer tais alterações chave no seu site, é recomendado que você tenha apenas um usuário com este nível de acesso (você, provavelmente). A capacidade de instalar ou remover add-ons do seu site dá ao usuário a capacidade de fazer grandes mudanças em sua funcionalidade, ou mesmo quebrar o site inteiramente se eles não forem cuidadosos.

Isto significa que se alguém está fazendo alterações em plugins e temas, algo está provavelmente errado. Ou um usuário malicioso está executando essas ações (por exemplo, ele está tentando instalar algo por conta própria em seu site) ou um usuário aprovado tem um nível de permissões muito alto.

Alterações em temas e plugins
Alterações em temas e plugins

Seja como for, estes são problemas com que vais querer lidar imediatamente. Se você detectar uma alteração nos plugins ou temas do seu site no log de atividades do WordPress que você não tenha feito, você poderá rastrear a fonte imediatamente. Além disso, você verá exatamente quais mudanças foram feitas, para que possa revertê-las se necessário.

5. Alterações no WordPress Core e nas configurações

De certa forma, estes tipos de actividades são muito semelhantes às da última secção. Existem várias outras coisas que apenas os administradores podem fazer, juntamente com a instalação de plugins e temas. Na verdade, quase todos os privilégios apenas de administrador são dignos de rastreamento em seu site.

O mais crucial, no entanto, são quaisquer alterações na plataforma WordPress central e nas configurações gerais do seu site. Deve ser bastante claro por que razão estas duas categorias são tão importantes. Ambos podem afetar o seu site como um todo de uma forma muito dramática.

Alterações no núcleo do WordPress, por exemplo, podem causar incompatibilidade com plugins, temas e outras partes do seu site. Quanto às configurações, há muitas que podem criar problemas se não forem usadas com cuidado. Alterar os permalinks do seu site pode causar estragos com a sua Optimização de Motores de Busca (SEO), por uma coisa. Há também configurações que alteram a página inicial do seu site, habilitam ou desabilitam comentários e muito mais.

Configurações principais
Configurações principais

Em outras palavras, as mudanças só devem ser feitas no núcleo do WordPress e suas configurações com muito cuidado. Então você vai querer saber imediatamente se esses elementos do seu site estão sendo alterados por outra pessoa. Como na seção anterior, isso provavelmente significa que seu site está sob ataque ou que alguém tem mais permissões do que precisa.

6. Ajustes do perfil do usuário

Já discutimos usuários em um sentido amplo – usuários novos e excluídos são algo que você vai querer saber imediatamente. No entanto, manter-se a par das alterações aos perfis de utilizador existentes é igualmente vital.

Todos com uma conta de usuário em seu site são capazes de fazer pelo menos algumas mudanças básicas em seus próprios perfis. No entanto, as funções do usuário determinam que tipos de atividades cada pessoa pode realizar. A maioria dos usuários não poderá editar a conta de outra pessoa, por exemplo. Além disso, somente administradores podem alterar a função de um usuário.

Não é incomum ver alterações bastante frequentes nos detalhes do usuário em um site WordPress ocupado. No entanto, há ainda algumas actividades a ter em conta, incluindo:

  • Alterações de senha, e-mail e nome de exibição. Embora seja normal para um usuário alterar esta informação de tempos em tempos (e inteligente no caso de senhas), uma quantidade incomum de mudanças em um curto período de tempo pode indicar um problema.
  • Modificações na função do usuário. Esta é a atividade número um para rastrear quando se trata de perfis de usuário. Como administrador, o papel de usuário de ninguém deve ser alterado em seu site sem o seu conhecimento.
Ajustes no Perfil do Usuário
Ajustes no Perfil do Usuário

Se você permitir o registro aberto em seu site, você vai querer estar particularmente ciente dos níveis de atividade incomuns em novas contas. Isso pode ser um sinal de que o proprietário da conta não é um usuário legítimo.

7. Mudanças em Websites e Usuários em Configurações de Multisites

Anteriormente, mencionámos brevemente as instalações multisite. Este é um dos recursos menos conhecidos mas mais úteis do WordPress. Usando a funcionalidade multisite, você pode executar vários sites individuais mas conectados em uma rede organizada.

Quando você estiver executando uma configuração de vários sites, cada site é sua própria entidade. Ao mesmo tempo, todos eles podem ser geridos através de um painel central. Um ou mais super administradores supervisionam toda a rede, tomando decisões em grande escala sobre usuários, configurações, plugins e temas. Então, cada site tem o seu próprio administrador, que só pode fazer alterações a esse site em particular.

As configurações multisite podem ser particularmente difíceis de manter organizadas e seguras. Afinal, você agora tem vários sites para se preocupar, cada um com seu próprio conjunto de usuários. Isto significa que rastrear atividades em cada site (junto com a rede como um todo) é mais importante do que nunca.

Aqui estão algumas das atividades que você vai querer prestar atenção especial se você executar uma rede Multisite:

  • Adicionados ou eliminados sites. Esta é a grande. Como um super administrador, você é o único que deve ser capaz de criar ou remover sites – nenhum outro usuário deve estar executando tal ação-chave.
  • Adicionar ou excluir usuários de sites. Pelas mesmas razões discutidas anteriormente, acompanhar os usuários cadastrados em cada site da rede é uma idéia inteligente.
  • Altera as definições de rede. Em uma configuração multisite, você terá acesso a uma tela especial com opções específicas de rede. Essas configurações têm efeitos de longo alcance, e não devem ser modificadas levemente.

A utilização de um log de atividades para redes WordPress Multisite permite rastrear atividades de todas as direções possíveis. Isso permite que você fique de olho nos comportamentos dos usuários em cada site individual, bem como nas mudanças feitas na rede como um todo.

Não se esqueça da sua conta de hospedagem

Além de seus sites WordPress, também é aconselhável acompanhar o que está acontecendo em sua conta de hospedagem do WordPress. É claro que isto é o que está a alimentar tudo nos bastidores.

Se você for cliente da Kinsta, pode facilmente visualizar as mudanças a partir da tela de Atividade do Usuário no painel MyKinsta. Tudo desde criações de sites, deleções, mudanças de domínio, redirecionamentos, etc. Se você tiver vários usuários em sua conta, ela será registrada globalmente para que você possa ver quem fez o quê.

Resumo

As menores alterações feitas em um site do WordPress podem ter resultados dramáticos. Um simples ajuste de configurações pode alterar a forma como seu site funciona, e a instalação de um plugin ou tema que não seja compatível com suas outras ferramentas pode quebrar funcionalidades importantes. É por isso que, especialmente se você tiver muitos usuários, você vai querer acompanhar tudo o que acontece no seu site. Veja como excluir com segurança um tema do WordPress.

Uma das melhores maneiras de fazer isso é obter um plugin WP Activity Log que compila informações sobre cada mudança feita no seu site em um log útil. Este log deve rastrear todas as mudanças mais importantes (e potencialmente problemáticas), tais como:

  1. Alterações ao conteúdo.
  2. Usuários novos e removidos.
  3. Tentativas de login falhadas.
  4. Mudanças em temas ou plugins.
  5. Alterações no núcleo do WordPress e nas configurações.
  6. Ajustes no perfil do usuário.
  7. Alterações em sites e usuários em configurações de vários sites.

Você tem alguma dúvida sobre como rastrear a atividade do usuário em seu site do WordPress? Pergunte na seção de comentários abaixo!

Brian Jackson

Brian tem uma enorme paixão pelo WordPress, e tem utilizado há mais de uma década e até desenvolve alguns plugins premium. Brian gosta de blogs, filmes e caminhadas. Conecte-se com Brian no Twitter.