Quando seu site do WordPress é pequeno, é fácil manter abas sobre tudo o que acontece dentro dele. No entanto, como ele cresce em tamanho e complexidade, pode se tornar muito mais difícil de acompanhar. Isto é particularmente verdade se você permitir que os usuários se registrem em seu site, executem um site de associação ou tenham vários contribuidores nele.

Independentemente disso, é vital saber o que está acontecendo no seu site o tempo todo. Você pode fazer isso rastreando a atividade do usuário, como alterações no conteúdo, atualizações de perfil, logins com falha e muito mais. Quando você tem informações como essa na ponta dos dedos, você pode rastrear rapidamente a origem de qualquer problema e manter a segurança apertada.

Neste post, vamos falar brevemente sobre por que você gostaria de acompanhar a atividade do seu site WordPress. Depois, vamos ajudá-lo a descobrir que tipo de atividade é mais importante vigiar. Vamos saltar para dentro!

Independentemente do tamanho, é importante saber o que está acontecendo no seu site WordPress o tempo todo. 🔍Click to Tweet

Por que é crucial usar um log de atividades do WordPress

Um registo de atividades pode ajudá-lo a manter registos sobre alterações importantes no seu site.

Se o seu site tem apenas um único usuário – você – não deve haver surpresas. A menos que seu site do WordPress tenha sido hackeado (sobre o qual falaremos mais tarde), todas as alterações e atualizações terão sido feitas por você.

Atividade do usuário da faixa do WordPress

Atividade do usuário da faixa do WordPress

No entanto, muitos sites permitem que muito mais do que um único usuário se registre. Você pode incentivar seus visitantes a se cadastrar em contas de assinantes, por exemplo. Alternativamente, você pode ter uma equipe inteira de escritores, desenvolvedores, editores e terceirizados que ajudam você a criar e gerenciar conteúdo.

De qualquer forma, ter tantas pessoas acessando seu site pode levar a muita incerteza. Nem sempre é fácil descobrir quem eliminou um post, ou perceber porque é que um perfil de utilizador foi alterado. Se você está preocupado que uma determinada mudança foi maliciosa, ou você simplesmente quer saber por que ela ocorreu, você pode não ter uma boa maneira de proceder.

É por isso que rastrear a atividade no seu site WordPress é tão importante. Ter um registro de atividades de cada mudança significativa, juntamente com detalhes sobre quando isso aconteceu e quais usuários estiveram envolvidos, torna mais fácil lidar com eventos inesperados. Mesmo que você seja o único usuário em seu site, esse tipo de log pode ajudá-lo a rastrear a origem das alterações que são o resultado de tentativas de hacking bem-sucedidas.

Naturalmente, não é possível atualizar um log de atividades manualmente. Felizmente, você pode usar um plugin de log de atividades do WordPress para lidar com esse trabalho automaticamente. Tudo o que você precisa fazer é verificar seu log sempre que precisar das informações nele contidas.

WP Security Audit Log

Um dos melhores plugins no mercado para isto é o WP Security Audit Log. Você pode baixar a versão gratuita no repositório WordPress. Como de escrever isto, tem sobre 70.000 instalações ativas com um 4.5 impressive fora da avaliação 5-star. Ele também é atualizado regularmente pelos desenvolvedores.

WP Security Audit Log plugin

WP Security Audit Log plugin

Há também uma versão premium (a partir de $89 por ano) que lhe dá recursos adicionais, como relatórios, alertas instantâneos por e-mail e pesquisa.  Mas toda a funcionalidade de logging é completamente livre.

Configurando o WP Security Audit Log

Nós estamos usando a versão livre de WP Security Audit log in this post. Após a instalação, a primeira coisa que você verá após a ativação é o assistente de configuração.

Passo 1

Clique em “Start Configuring the Plugin” para começar.

Configurar o plugin WP Security Audit Login

Configurar o plugin WP Security Audit Login

Passo 2

Escolha “Básico” ou “Geek”.

  • Básico: Selecionar esta opção se desejar apenas dados básicos de registro de dados.
  • Geek: Escolha esta opção se quiser todos os dados que o plugin tem para oferecer.

Você pode alterar estas configurações a qualquer momento mais tarde, mas para este exemplo, vamos fazer a opção “Geek” para mostrar mais do plugin WP Security Audit Login.

WP Security Audit Log configurações geek

WP Security Audit Log geek WP Security Audit Log configurações geek

Passo 3

Em seguida, você vai querer escolher por quanto tempo deseja manter os dados do log de auditoria de segurança do WP. Para este exemplo, vamos escolher 6 meses.

  • 6 meses (os dados com mais de 6 meses serão eliminados)
  • 12 meses (os dados com mais de 12 meses serão eliminados)
  • Guarde todos os dados.

Podes mudar isto mais tarde. Mas é importante notar que os dados são armazenados em seu banco de dados do WordPress. E, embora isso seja feito de maneira eficiente, você nunca deve armazenar mais dados do que pensa que vai usar. Para a maioria, 6 meses deve ser bom, especialmente se você é muito proativo sobre a resolução de problemas como eles surgem.

Retenção de dados do log de auditoria de segurança do WP

Retenção de dados do log de auditoria de segurança do WP

Se você comprar a versão premium do log de auditoria de segurança do WP, poderá reter os dados por mais tempo ainda e até mesmo armazená-los em um banco de dados externo.

Passo 4

O próximo passo é configurar o acesso adicional, se necessário. Por padrão, apenas os administradores poderão acessar os logs de atividade do WordPress.

Acesso ao WP Security Audit Log

Acesso ao WP Security Audit Log

Passo 5

Na tela seguinte, você pode excluir objetos (nomes de usuário, funções, endereços IP) de serem registrados. Talvez você seja o único administrador em um site WordPress e só queira ver as mudanças que os autores e editores fazem. Ou talvez você simplesmente queira monitorar logins e registros de contas. Independentemente do motivo, você pode facilmente excluir-se dos dados.

WP Security Audit Log excluir objetos

WP Security Audit Log excluir objetos

E é tudo! Todas as alterações no seu site WordPress estão agora a ser registadas para uma manutenção segura. Os dados e configurações do WP Security Audit Log podem ser vistos no menu “Audit Log” no seu painel do WordPress. Para realmente mergulhar profundamente em todas as configurações, recomendamos verificar a documentação inicial.

Login de auditoria no painel do WordPress

Login de auditoria no painel do WordPress

O resto deste post irá destacar alguns dos vários tipos de atividades que você vai querer incluir no seu log.

7 Tipos de alterações que o seu plugin de log de atividades do WordPress deve monitorar

Há muita coisa acontecendo até mesmo no site mais simples do WordPress. Algumas dessas mudanças e eventos são mais importantes do que outros (e são mais propensos a indicar problemas potenciais ou violações de segurança).

Ao longo do resto deste post, vamos discutir as sete atividades mais importantes para rastrear em seu site. Embora não seja uma lista exaustiva, esses são os itens que você deseja absolutamente incluir no log de atividades do WordPress.

  1. Alterações ao conteúdo
  2. Usuários novos e removidos
  3. Tentativas de logon falhadas
  4. Mudanças em Temas ou Plugins
  5. Alterações no WordPress Core e nas configurações
  6. Ajustes do perfil do usuário
  7. Mudanças em Websites e Usuários em Configurações de Multisites

1. Alterações ao conteúdo

O conteúdo é o coração de qualquer site de sucesso. No mínimo, o seu site será composto por uma ou mais páginas, que devem ser atualizadas periodicamente com informações novas ou revistas, caso você queira que elas permaneçam relevantes.

Além disso, muitos sites do WordPress frequentemente lançam novos conteúdos na forma de posts. Você pode usar o seu site para executar um blog, postar notícias sobre o seu negócio, ou outra coisa inteiramente. Uma vez que seu site tenha estado em torno de um tempo, o número de posts pode disparar rapidamente.

A qualidade e precisão de todo esse conteúdo é fundamental para fornecer valor aos seus visitantes, aumentar a sua autoridade e garantir que o seu público confie no que você tem a dizer. Tudo isto significa que manter um olhar atento sobre o seu conteúdo é vital. Você vai querer garantir que tanto o novo conteúdo quanto as alterações no conteúdo existente reflitam bem no seu site e/ou empresa.

É por isso que você vai querer acompanhar todas as alterações relacionadas ao conteúdo no WordPress. Isto inclui:

  • A criação de novas páginas, posts ou outros tipos de conteúdo.
  • Alterações em uma página existente ou no título do post, data, URL, campos personalizados ou outras variáveis-chave.
  • Conteúdo modificado dentro do conteúdo existente – se algo foi adicionado, editado ou removido.
  • Modificações de status, como um lançamento que tenha sido publicado ou devolvido ao formulário de esboço.
WP Security Audit Log alterações de conteúdo

WP Security Audit Log alterações de conteúdo

SEO é outra grande razão para manter sempre um olho na mudança de conteúdo. Por exemplo, se um URL muda em uma postagem popular com tráfego e backlinks, e você não sabe sobre ele, isso pode ser desastroso. Embora o WordPress tenha redirecionamentos incorporados e faça o possível para tentar redirecionar para o conteúdo atualizado, isso nem sempre funciona. Você deve sempre adicionar 301 redirecionamentos, no nível do servidor, se possível por razões de desempenho. A ferramenta de redireccionamento da Kinsta torna isto super fácil!

Todas as mudanças acima acontecem regularmente em um site WordPress ativo, e geralmente não são um problema. No entanto, você deve estar sempre preparado para o inesperado acontecer. Um post pode ser publicado muito cedo, por exemplo, ou uma seção dentro de uma página pode ser removida. Nesses cenários, se você estiver rastreando alterações de conteúdo em seu site, saberá exatamente quem fez a alteração e quando (e estará bem posicionado para descobrir o porquê).

2. Usuários novos e removidos

Como mencionamos anteriormente, muitos sites do WordPress acabam adicionando um número de usuários às suas fileiras. Este é geralmente um sinal de um site próspero, como você tem mais pessoas envolvidas com e trabalhando nele.

No entanto, você vai querer manter algum nível de controle sobre a base de usuários do seu site. Mesmo que você habilite registros abertos, você precisará saber quem detém cada conta de usuário e por quê. No mínimo, portanto, você vai querer estar ciente disso quando os usuários são adicionados ou removidos do seu site.

WP Security Audit Log registros de usuário de auditoria de segurança

WP Security Audit Log registros de usuário de auditoria de segurança

Rastrear ambas as actividades é importante. Se um novo usuário se registrar inesperadamente em seu site, você vai querer saber sobre ele imediatamente. Se você não habilitar registros abertos, isso pode ser um sinal de uma tentativa de hacking. O mesmo vale para usuários excluídos – novamente, este não é o tipo de coisa que você quer que aconteça inesperadamente.

3. Tentativas de logon falhadas

Todos têm de iniciar sessão antes de poderem aceder às suas páginas de administração do WordPress – mesmo você. Na verdade, a sua tela de login forma uma primeira linha de defesa crucial quando se trata de proteger o painel do seu site ou páginas ‘reservadas ao cliente’. Embora haja uma variedade de maneiras de tentar forçar o acesso ao seu site, a maioria dos atacantes irá concentrar seus esforços em tentar entrar através da tela de login.

Geralmente, essas tentativas não serão bem sucedidas na primeira tentativa. Hackers escrevem programas que irão tentar milhares de combinações de login, até que eles acertem em um que funcione. Portanto, manter-se a par das tentativas de login falhadas pode dar-lhe um aviso quando alguém está a tentar forçar o seu site desta forma.

Todos os sites ocasionalmente terão logins falhados, é claro. A maioria dos usuários esquece suas senhas de tempos em tempos, ou escreve erroneamente suas credenciais. O que você vai querer procurar é repetir tentativas falhadas provenientes do mesmo endereço IP. Se alguém de um local tentou e não conseguiu entrar mais do que um punhado de vezes seguidas, pode não ter seus melhores interesses no coração.

Felizmente, se você estiver rastreando logins com falha através do seu log de atividades, você saberá quantas tentativas foram feitas, quando e de onde elas vieram. Isso pode ajudá-lo a rastrear a fonte e descobrir se é uma tentativa de hacking ou simplesmente um usuário persistente. Você também pode bloquear temporariamente o endereço IP em questão, só por segurança.

WP Security Audit Log falha login

WP Security Audit Log falha login

Naturalmente, você também vai querer tomar outras medidas para proteger sua tela de login do WordPress. Alterar a URL de login do WordPress é fácil. Quanto mais você puder fazer para restringir a ‘porta da frente’ do seu site, menos você precisará se preocupar com usuários maliciosos forçando sua entrada.

4. Mudanças em Temas ou Plugins

Neste ponto, vamos aproveitar um momento para falar sobre as funções do usuário do WordPress. Cada pessoa a quem é permitido o acesso ao seu site tem um papel particular. Embora existam plugins que adicionam opções extras, as funções padrão no WordPress são Administrador, Editor, Autor, Contribuidor e Assinante (e Super Admin em nstalações multisite).

Cada função tem seu próprio conjunto de permissões – em outras palavras, as ações que o usuário pode tomar. Os administradores podem fazer praticamente tudo o que quiserem, por exemplo, enquanto os assinantes só podem gerenciar seus perfis pessoais. Os outros papéis caem algures no meio.

Lutando com tempo de inatividade e problemas no WordPress? Kinsta é a solução de hospedagem projetada para economizar seu tempo! Confira nossos recursos

Isto é importante porque há certas acções que apenas os utilizadores de nível superior devem poder realizar. Por exemplo, em um site normal (não multi), apenas um administrador pode instalar, remover ou atualizar plugins e temas.

Uma vez que os administradores podem fazer tais alterações chave no seu site, é recomendado que você tenha apenas um usuário com este nível de acesso (você, provavelmente). A capacidade de instalar ou remover add-ons do seu site dá ao usuário a capacidade de fazer grandes mudanças em sua funcionalidade, ou mesmo quebrar o site inteiramente se eles não forem cuidadosos.

Isto significa que se alguém está fazendo alterações em plugins e temas, algo está provavelmente errado. Ou um usuário malicioso está executando essas ações (por exemplo, ele está tentando instalar algo por conta própria em seu site) ou um usuário aprovado tem um nível de permissões muito alto.

WP Security Audit Log mudança para tema

WP Security Audit Log mudança para tema

WP Security Audit Log change to themeSeja como for, estes são problemas com que vais querer lidar imediatamente. Se você detectar uma alteração nos plugins ou temas do seu site no log de atividades do WordPress que você não tenha feito, você poderá rastrear a fonte imediatamente. Além disso, você verá exatamente quais mudanças foram feitas, para que possa revertê-las se necessário.

5. Alterações no WordPress Core e nas configurações

De certa forma, estes tipos de actividades são muito semelhantes às da última secção. Existem várias outras coisas que apenas os administradores podem fazer, juntamente com a instalação de plugins e temas. Na verdade, quase todos os privilégios apenas de administrador são dignos de rastreamento em seu site.

O mais crucial, no entanto, são quaisquer alterações na plataforma WordPress central e nas configurações gerais do seu site. Deve ser bastante claro por que razão estas duas categorias são tão importantes. Ambos podem afetar o seu site como um todo de uma forma muito dramática.

Alterações no núcleo do WordPress, por exemplo, podem causar incompatibilidade com plugins, temas e outras partes do seu site. Quanto às configurações, há muitas que podem criar problemas se não forem usadas com cuidado. Alterar os permalinks do seu site pode causar estragos com a sua Optimização de Motores de Busca (SEO), por uma coisa. Há também configurações que alteram a página inicial do seu site, habilitam ou desabilitam comentários e muito mais.

WP Security Audit Log Definições principais do WordPress

WP Security Audit Log Definições principais do WordPress

Em outras palavras, as mudanças só devem ser feitas no núcleo do WordPress e suas configurações com muito cuidado. Então você vai querer saber imediatamente se esses elementos do seu site estão sendo alterados por outra pessoa. Como na seção anterior, isso provavelmente significa que seu site está sob ataque ou que alguém tem mais permissões do que precisa.

6. Ajustes do perfil do usuário

Já discutimos usuários em um sentido amplo – usuários novos e excluídos são algo que você vai querer saber imediatamente. No entanto, manter-se a par das alterações aos perfis de utilizador existentes é igualmente vital.

Todos com uma conta de usuário em seu site são capazes de fazer pelo menos algumas mudanças básicas em seus próprios perfis. No entanto, as funções do usuário determinam que tipos de atividades cada pessoa pode realizar. A maioria dos usuários não poderá editar a conta de outra pessoa, por exemplo. Além disso, somente administradores podem alterar a função de um usuário.

Não é incomum ver alterações bastante frequentes nos detalhes do usuário em um site WordPress ocupado. No entanto, há ainda algumas actividades a ter em conta, incluindo:

  • Alterações de senha, e-mail e nome de exibição. Embora seja normal para um usuário alterar esta informação de tempos em tempos (e inteligente no caso de senhas), uma quantidade incomum de mudanças em um curto período de tempo pode indicar um problema.
  • Modificações na função do usuário. Esta é a atividade número um para rastrear quando se trata de perfis de usuário. Como administrador, o papel de usuário de ninguém deve ser alterado em seu site sem o seu conhecimento.
Ajustes do perfil do usuário do registro de WP Security Audit Log

Ajustes do perfil do usuário do registro de WP Security Audit Log

Se você permitir o registro aberto em seu site, você vai querer estar particularmente ciente dos níveis de atividade incomuns em novas contas. Isso pode ser um sinal de que o proprietário da conta não é um usuário legítimo.

7. Mudanças em Websites e Usuários em Configurações de Multisites

Anteriormente, mencionámos brevemente as instalações multisite. Este é um dos recursos menos conhecidos mas mais úteis do WordPress. Usando a funcionalidade multisite, você pode executar vários sites individuais mas conectados em uma rede organizada.

Quando você estiver executando uma configuração de vários sites, cada site é sua própria entidade. Ao mesmo tempo, todos eles podem ser geridos através de um painel central. Um ou mais super administradores supervisionam toda a rede, tomando decisões em grande escala sobre usuários, configurações, plugins e temas. Então, cada site tem o seu próprio administrador, que só pode fazer alterações a esse site em particular.

As configurações multisite podem ser particularmente difíceis de manter organizadas e seguras. Afinal, você agora tem vários sites para se preocupar, cada um com seu próprio conjunto de usuários. Isto significa que rastrear atividades em cada site (junto com a rede como um todo) é mais importante do que nunca.

Aqui estão algumas das atividades que você vai querer prestar atenção especial se você executar uma rede Multisite:

  • Adicionados ou eliminados sites. Esta é a grande. Como um super administrador, você é o único que deve ser capaz de criar ou remover sites – nenhum outro usuário deve estar executando tal ação-chave.
  • Adicionar ou excluir usuários de sites. Pelas mesmas razões discutidas anteriormente, acompanhar os usuários cadastrados em cada site da rede é uma idéia inteligente.
  • Altera as definições de rede. Em uma configuração multisite, você terá acesso a uma tela especial com opções específicas de rede. Essas configurações têm efeitos de longo alcance, e não devem ser modificadas levemente.

A utilização de um log de atividades para redes WordPress Multisite permite rastrear atividades de todas as direções possíveis. Isso permite que você fique de olho nos comportamentos dos usuários em cada site individual, bem como nas mudanças feitas na rede como um todo.

Não se esqueça da sua conta de hospedagem

Além de seus sites WordPress, também é aconselhável acompanhar o que está acontecendo em sua conta de hospedagem do WordPress. É claro que isto é o que está a alimentar tudo nos bastidores.

Se você é um cliente Kinsta, você pode ver facilmente as mudanças na tela de registro de atividades no painel do MyKinsta. Tudo desde criações de sites, deleções, mudanças de domínio, redirecionamentos, etc. Se você tiver vários usuários em sua conta, ela será registrada globalmente para que você possa ver quem fez o quê.

Registo de actividades do MyKinsta

Registo de actividades do MyKinsta

Resumo

As menores alterações feitas em um site do WordPress podem ter resultados dramáticos. Um simples ajuste de configurações pode alterar a forma como seu site funciona, e a instalação de um plugin ou tema que não seja compatível com suas outras ferramentas pode quebrar funcionalidades importantes. É por isso que, especialmente se você tiver muitos usuários, você vai querer acompanhar tudo o que acontece no seu site. Veja como excluir com segurança um tema do WordPress.

Uma das melhores maneiras de fazer isso é obter um plugin de log de atividades do WordPress que compila informações sobre cada mudança feita no seu site em um log útil. Este log deve rastrear todas as mudanças mais importantes (e potencialmente problemáticas), tais como:

  1. Alterações ao conteúdo.
  2. Usuários novos e removidos.
  3. Tentativas de login falhadas.
  4. Mudanças em temas ou plugins.
  5. Alterações no núcleo do WordPress e nas configurações.
  6. Ajustes no perfil do usuário.
  7. Alterações em sites e usuários em configurações de vários sites.

Você tem alguma dúvida sobre como rastrear a atividade do usuário em seu site do WordPress? Pergunte na seção de comentários abaixo!


Se você gostou deste artigo, então você vai adorar a plataforma de hospedagem WordPress da Kinsta. Turbine seu site e obtenha suporte 24/7 de nossa experiente equipe de WordPress. Nossa infraestrutura baseada no Google Cloud se concentra em escalabilidade automática, desempenho e segurança. Deixe-nos mostrar-lhe a diferença Kinsta! Confira nossos planos