Aumente o tráfego qualificado no seu site.
Email info@fredericolopes.com

Log de atividades em WordPress – 6 coisas que deve sempre acompanhar

Home > Blog > Segurança > Log de atividades em WordPress – 6 coisas que deve sempre acompanhar

Quando o seu site WordPress é pequeno, é fácil manter o controle sobre tudo o que está a acontecer com ele. No entanto, à medida que cresce em tamanho e complexidade, pode tornar-se muito mais difícil de acompanhar. Isso torna-se ainda mais complicado caso permita que os utilizadores se registrem no seu site para determinadas acções, ou caso que tenha vários colaboradores a trabalhar no mesmo site.

Independentemente disso, é vital saber o que está a acontecer no seu site a todo momento. Pode fazer isso acompanhando as atividades dos utilizadores, como alterações no conteúdo, atualizações de perfil, falhas nos logins e muito mais. Quando possui este tipo informações, pode acompanhar rapidamente a origem de qualquer problema e manter uma segurança rígida.

Eu sou o Frederico Lopes e neste artigo vou falar sobre por que deve sempre acompanhar no seu site WordPress. Depois, ajudarei a descobrir que tipos de atividades são mais importante de acompanhar. Vamos então mergulhar no assunto!

Independentemente do tamanho, é importante saber o que está acontecendo no seu site WordPress a todos os instantes.

Por que é crucial usar um log de atividades em WordPress

Um registro de atividades pode ajuda-lo a acompanhar alterações importantes no seu site.

Se o seu site tiver apenas um usuário – o administrador – não deverá haver surpresas. A menos que o site tenha ficado invadido (sobre o qual falaremos mais adiante), todas as alterações e atualizações serão feitas por uma só pessoa.

 

acompanhar a atividade do utilizador

 

No entanto, muitos sites permitem muito mais do que um único utilizador. Pode incentivar os seus visitantes a se inscreverem em contas de assinantes, por exemplo. Como alternativa, pode ter uma equipe inteira de editores, desenvolvedores e outros, que o ajudama criar e a gerir conteúdo.

De qualquer forma, ter tantas pessoas a aceder ao seu site pode levar a muita incerteza. Nem sempre é fácil descobrir quem apagou um artigo ou entender por que um perfil foi alterado. Se está preocupado com o fato de uma alteração específica ser mal-intencionada ou se simplesmente quer saber por que ela ocorreu, talvez não tenha um procedimento estabelecido para isto.

É por isso que o acompanhamento da actividade dentro do seu site WordPress é tão importante. Ter um registro de atividades de todas as alterações significativas, além de detalhes sobre quando isso aconteceu e quais utilizadores estiveram envolvidos, simplifica o tratamento de eventos inesperados. Mesmo se for o único utilizador no seu site, esse tipo de registro pode ajudar a rastrear a origem das alterações resultantes de tentativas bem-sucedidas de invasão.

Felizmente, para isto existe um plugin de registro de atividades do WordPress para lidar com este trabalho automaticamente. Tudo o que precisa fazer é verificar os seus registros sempre que precisar das informações neles contidas.

Auditoria de segurança Logs para WordPress

Um dos melhores plugins no mercado para isto é o WP Security Audit Log. Pode instalar a versão gratuita no repositório do WordPress. Até o momento, tem mais de 70.000 instalações ativas com uma impressionante classificação de 4,5 de 5 estrelas. Também é ativamente atualizado regularmente pelos desenvolvedores.

Há também uma versão premium (a partir de 89 USD por ano), que oferece recursos adicionais, como relatórios, alertas instantâneos por e-mail e pesquisa. Mas toda a funcionalidade de registro é totalmente gratuita.

Configurar Auditoria de segurança Logs para WordPress

Estamos a usar a versão gratuita do log de auditoria de segurança do WP neste artigo. Depois de instalá-lo, a primeira coisa que verá após a ativação é o assistente de configuração.

Passo 1

Clique em “Start Configuring the Plugin” para começar.

– Configurar o plugin WP Security Audit Log

 

Passo 2

Selecione “Básico” ou “Geek”.

Básico: Escolha esta opção se quiser apenas dados básicos de registro.
Geek: Escolha opção se quiser todos os dados que o plugin tem para oferecer.
Pode alterar essas configurações a qualquer momento, mas, neste exemplo, faremos a opção “Geek” para mostrar mais do plug-in do registro de auditoria de segurança do WP.

– Configurações Geek WP Security Audit Log

Passo 3

De seguida, desejará escolher por quanto tempo deseja manter os dados do registro de auditoria de segurança do WP. Para este exemplo, escolheremos seis meses.

6 meses (os dados com mais de 6 meses serão excluídos)
12 meses (dados com mais de 12 meses serão excluídos)
Mantenha todos os dados.
Pode mudar isto mais tarde. Mas é importante observar que os dados estão armazenados na sua base de dados do WordPress. E, embora isso seja feito de maneira eficiente, nunca deve armazenar mais dados do que acha que usará. Para a maioria, seis meses devem ser suficiente, especialmente se for bastante pro-ativo em corrigir problemas à medida que eles surgirem.

– Retenção de dados WP Security Audit Log

Passo 4

O próximo passo é configurar o acesso adicional, se necessário. Por padrão, somente os administradores poderão aceder aos logs de atividades do WordPress.

– Acessos WP Security Audit Log

Passo 5

No proximo ecrã, pode excluir objetos (utilizadores, funções, endereços IP) de serem registrados. Seja o único administrador de um site do WordPress que queira ver as alterações que os autores e editores fazem ou simplesmente queira monitorar logins e registros de conta. Independentemente do motivo, pode facilmente excluir alguns dados.

– excluir objetos WP Security Audit Log

E é tudo! Todas as alterações no seu site WordPress estão agora a ser registradas. Os dados e configurações doWP Security Audit Log podem ser vistos no menu “Audit Log” no seu painel do WordPress. Para realmente mergulhar em todas as configurações, recomendamos que consulte a documentação de primeiros passos do plugin.

– Registro de Logs no painel do WordPress

6 tipos de alterações que deve sempre acompanhar com um registo de actividades em WordPress

Há sempre muita coisa a acontecer até no site WordPress mais simples. Algumas dessas mudanças e eventos são mais importantes do que outros (e são mais propensos a indicar possíveis problemas ou violações de segurança).

Durante este artigo, vamos discutir as sete atividades mais cruciais a serem acompanhadas no seu site. Embora não seja uma lista exaustiva, esses são os itens que deve absolutamente incluir no acompanhamento ao log de atividades em WordPress.

  1. Alterações ao conteúdo
  2. Usuários novos e removidos
  3. Tentativas de login com falha
  4. Alterações em temas ou plugins
  5. Alterações no Core e nas configurações do WordPress
  6. Alterações em Perfil de usuários

1. Alterações no Conteúdo

O conteúdo é o coração de qualquer website de sucesso. No mínimo, o seu site será composto de uma ou mais páginas, que devem ser atualizadas periodicamente com informações novas ou revistas, isto se quiser que elas permaneçam relevantes.

Além disso, muitos sites em WordPress lançam novos conteúdos na forma de artigos. Pode usar o seu site para publicar um blog, colocar notícias sobre a sua empresa ou algo totalmente diferente. Uma vez que o seu site já existe há algum tempo, o número de visitas pode disparar rapidamente.

A qualidade e precisão de todo esse conteúdo é fundamental para agregar valor a seus visitantes, aumentar sua autoridade e garantir que o seu público confie no que tem a dizer. Isso tudo significa que controlar o seu conteúdo é vital. Pretende garantir que tanto o novo conteúdo quanto as alterações no conteúdo existente sejam refletidas no seu site e / ou empresa.

É por isso que deseja acompanhar todas as alterações relacionadas ao conteúdo no seu site WordPress. Isso inclui:

  • A criação de novas páginas, artigos ou outros tipos de conteúdo.
  • Alterações a uma página existente ou a um título, data, URL, campos personalizados ou outras variáveis-chave do artigo.
  • Conteúdo modificado dentro do conteúdo existente – se algo foi adicionado, editado ou removido.
  • Alterações de status, como um artigo publicado que tenha voltado ao formato “Rascunho”.

SEO é outro grande motivo para estar sempre atento à mudança de conteúdo. Por exemplo, se um URL mudar em num artigo popular com tráfego e backlinks, e caso não tenha esse conhecimento, o resultado pode ser desastroso. Embora o WordPress tenha redirecionamentos integrados e faça o melhor para tentar redirecionar para o conteúdo atualizado, isso nem sempre funciona. Para isso deve sempre adicionar redirecionamentos 301, ao nível do servidor, e se possível, por motivos de desempenho.

Todas as mudanças acima acontecem regularmente num site ativo dem WordPress, e geralmente não são um problema. No entanto, deve estar sempre preparado para o inesperado. Um artigo pode ser publicado cedo demais, por exemplo, ou uma seção numa página pode ser removida. Nestes cenários, se estiver a acompanhar estas alterações de conteúdo n o seu site, saberá exatamente quem fez a alteração e quando (e estará bem posicionado para descobrir o motivo).

2. Usuários novos e removidos

Como mencionamos anteriormente, muitos sites em WordPress acabam por adicionar um sem número número de usuários. Este é geralmente um sinal de um site próspero, já que tem muitas pessoas envolvidas e a trabalhar para isso.

No entanto, deve manter algum nível de controle sobre a base de usuários no seu site. Mesmo se ativar os registros abertos, precisará saber quem detém cada conta de utilizador e porquê. No mínimo, deve estar ciente disso quando os usuários forem adicionados ou removidos do seu site.

O acompanhamento destas duas atividades é importante. Se um novo utilizador se inscreve inesperadamente no seu site, precisará saber imediatamente. Se não ativar registros abertos, isso pode ser um sinal de uma tentativa de invasão. O mesmo é valido para os utilizadores excluídos. Novamente, esse não é o tipo de coisa que quer que aconteça inesperadamente.

3. Falha de tentativas de login

Todos precisam fazer o login antes de poder aceder às suas páginas de administração do WordPress. Na verdade, o seu ecrã de login forma uma primeira linha de defesa crucial quando se trata de proteger o painel do seu site ou as páginas “reservadas ao cliente”. Embora haja várias maneiras de tentar forçar o acesso ao seu site, a maioria dos invasores concentrará os seus esforços na tentativa de entrar no ecrã de login.

Geralmente, essas tentativas não serão bem-sucedidas numa primeira tentativa. Os hackers escrevem programas que tentam milhares de combinações de login, até que eles atinjam uma que funcione. Portanto, manter-se informado sobre as tentativas de login que falharam pode dar um aviso quando alguém estiver a tentar forçar o seu site dessa maneira.

Todos os sites ocasionalmente terão logins com falha, é claro. A maioria dos utilizadores esquecem-se das suas senhas de tempos em tempos ou digitam incorretamente as suas credenciais. O que vai querer procurar são tentativas repetidas e malsucedidas do mesmo endereço IP. Se alguém de um local tentou ou não efetuar login várias vezes seguidas, ele pode não ter as melhores intenções em mente.

Felizmente, se acompanhar os logins com falha no seu log de atividades, saberá quantas tentativas foram feitas, quando e de onde elas vieram. Isso pode ajuda-lo a acompanhar a origem e descobrir se é uma tentativa de invasão ou simplesmente um usuário persistente. Também pode bloquear temporariamente o endereço IP em questão, apenas para se sentir seguro.

Claro que também vai querer tomar outras medidas para proteger o seu ecrã de login do WordPress. Mudar o URL de login no WordPress é fácil. Quanto mais reforçar a “porta da frente” de seu site, menos precisará se preocupar com a entrada de utilizadores mal-intencionados.

4. Alterações em temas ou plugins

Neste ponto, vamos falar um pouco sobre as funções do utilizador em WordPress. Cada pessoa com acesso permitido ao seu site recebe uma função específica. Embora existam plugins que adicionam opções extras, as funções padrão no WordPress são Administrador, Editor, Autor, Colaborador e Assinante.

Cada função tem seu próprio conjunto de permissões – noutras palavras, ações que cada papel de utilizador pode executar. Os administradores podem fazer praticamente tudo o que quiserem, por exemplo, enquanto os assinantes só podem acompanhar os seus perfis pessoais. Os outros papéis estão em lugares intermédios.

Isto é importante porque há determinadas ações que somente os utilizadores de nível superior devem poder executar. Por exemplo, num site normal (não multi), apenas o administrador pode instalar, remover ou atualizar plugins e temas.

Dado que os administradores podem fazer alterações importantes no seu site, é recomendável que tenha apenas um usuário com esse nível de acesso (provavelmente, você mesmo). A capacidade de instalar ou remover complementos do seu site permite que o utilizador faça grandes alterações às funcionalidades ou até mesmo quebrar o site por completo se não tiver cuidado.

Isso significa que, se outra pessoa estiver a fazer alterações em plugins e temas, provavelmente há algo errado. Um utilizador mal-intencionado está a realizar essas ações (por exemplo, tentar instalar algo próprio no seu site) ou um utilizador aprovado com um nível de permissão muito alto.

De qualquer forma, estes são problemas que vai querer imediatamente. Se notar uma alteração nos plugins ou nos temas do seu log de atividades do WordPress deverá rastrear a fonte imediatamente. Além disso, verá exatamente quais alterações que foram feitas para poder revertê-las, se necessário.

5. Alterações no Core e nas configurações do WordPress

De certa forma, estes tipos de atividades são muito semelhantes aos da última seção. Existem várias outras coisas que somente os administradores podem fazer, além de instalar plugins e temas. Na verdade, vale a pena acompanhar todos os privilégios exclusivos de administrador no seu site.

O mais importante, no entanto, são as alterações na plataforma principal do WordPress e nas configurações gerais do site. Deve ficar bem claro por que essas duas categorias são as mais vitais. Ambos podem afetar o seu site como um todo de uma maneira muito dramática.

Alterações no núcleo do WordPress, por exemplo, podem causar incompatibilidade com plugins, temas e outras partes do site. Quanto às configurações, há muitas que podem criar problemas se não for usadas com cuidado. Mudar os permalinks do seu site pode atrapalhar o seu SEO, por outro lado, há também configurações que alteram a página inicial do seu site, ativam ou desativam comentários e muito mais.

6. Alterações ao perfil dos utilizadores

Já aqui discutimos os utilizadores num sentido amplo: novos utilizadores e utilizadores excluídos são algo que deverá ter conhecimento imediato. No entanto, ficar a par das alterações nos perfis de utilizadores existentes é igualmente vital.
Todos com uma conta de utilizadores no seu site podem fazer pelo menos algumas alterações básicas nos seus próprios perfis. No entanto, as funções dos utilizadores determinam quais tipos de atividades cada pessoa pode executar. A maioria dos utilizadores não poderá editar a conta de outra pessoa, por exemplo. Além disso, apenas administradores podem alterar a função de um utilizadores.

Não é incomum ver alterações bastante frequentes nos detalhes do utilizadores num site WordPress. No entanto, ainda existem algumas atividades a serem observadas, incluindo:

  • Senha, e-mail e alterações no nome de exibição. Embora seja normal que um utilizador altere essas informações de tempos em tempos (e inteligente no caso de senhas), uma quantidade incomum de alterações num curto período de tempo pode indicar um problema.
  • Mudanças na função do utilizador Esta é a atividade número um para acompanhar quando se trata de perfis de utilizadores. Como administrador, nenhuma outra função deve ser alterada em seu site sem seu conhecimento.

Resumo:

As mais pequenas alterações feitas num site em WordPress podem ter resultados impressionantes. Um ajuste de configurações simples pode alterar a maneira como o site funciona, e a instalação de um plugin ou tema que não seja compatível com suas outras ferramentas pode prejudicar funcionalidades importantes. É por isso que, especialmente se tem muitos usuários, deve acompanhar tudo o que acontece no seu site.

Uma das melhores maneiras de fazer isso é instalar e activar um plugin de registro de atividades do WordPress que compila informações sobre cada alteração feita no seu site com um log acessível. Esse log deve acompanhar todas as alterações mais importantes (e potencialmente problemáticas), como:

  1. Alterações no conteúdo.
  2. Usuários novos e removidos.
  3. Tentativas de login falhadas.
  4. Alterações em temas ou plugins.
  5. Alterações no núcleo e nas configurações do WordPress.
  6. Ajustes do perfil do usuário.

Caso ainda tenha ficado com alguma dúvida sobre como acompanhar a atividade dos utilizadores no seu site WordPress? Pergunte na seção de comentários abaixo!

Log de atividades em WordPress – 6 coisas que deve sempre acompanhar
5 (100%) 1 voto[s]

About the author

Faço parte de uma das principais agências digitais em Portugal. Desenhamos experiências para a web ajudando marcas a falar em linguagem digital.

Leave a Reply

Frederico Lopes

Frederico Lopes é um Freelancer de Lisboa, Especializado em WordPress e E-Commerce. Apaixonado por SEO e Conversões é também obcecado por novas ideias, e tecnologias, que tragam mais clientes para seu negócio.
Como criar loja online: Guia Completo
6 Agosto, 2019
7 Melhores Plugins de Dropshipping para WooCommerce
7 Melhores Plugins de Dropshipping para WooCommerce
29 Julho, 2019
Os Métodos de Pagamento Online mais populares para E-commerce
Os Métodos de Pagamento Online mais populares para E-commerce
22 Julho, 2019
Certificado Google
fechar

Copie e cole este código para exibir a imagem no seu site