¿Por qué y cómo crear una auditoría de seguridad de acceso a WordPress de forma gratuita

0
13

¿Alguna vez has querido tener más información acerca de lo que está sucediendo dentro de tu tablero de WordPress?

Si llevas una web en la que permites que otros colaboradores accedan al panel de control, es posible que desees saber qué están haciendo esas personas, por ejemplo, si editan un mensaje o cargan una imagen.

O, incluso si eres la única persona con acceso a tu panel de control, es posible que quieras algún tipo de supervisión para asegurarte de que un usuario malintencionado no obtenga las credenciales de tu cuenta de alguna manera y comience a editar las cosas, o que sus plugins no estén realizando ediciones malintencionadas en la base de datos de tu sitio web.

En ambos casos, puedes mantenerte al tanto de todo lo que está sucediendo. Te dará una lista de todas las acciones que los usuarios, plugins y temas realizan en tu tablero de WordPress, lo que te ayudará:

  • Monitoreo de actividades dentro del tablero de WordPress.
  • Detección de comportamientos sospechosos.
  • Manténgase organizado.
  • Auditoría más fácil de los cambios en WordPress.

En este post, te mostraré cómo añadir un registro de auditoría de seguridad a tu sitio de WordPress usando un plugin gratuito llamado WP Security Audit Log. He estado usando este plugin por casi un año, y se ha convertido en una parte integral de la lista de plugins de WordPress.

Como administrador de varios blogs, este plugin va a ser muy útil. Si eres un freelance o una agencia que administra WordPress para un cliente o configuras sitios web basados en WordPress, deberías instalar este plugin y auditar el registro de vez en cuando para asegurarte de que todo está bien.

¿Qué se puede rastrear con un plugin de registro de auditoría de seguridad?

Usando un plugin de registro de auditoría de seguridad, podrás rastrear cuando cualquier usuario de WordPress realiza cualquiera de las siguientes acciones:

  • Publicar, página o tipo de mensaje personalizado cambios.
  • Etiqueta o categoría cambios.
  • Widgets o cambios en el menú.
  • Cambios en el perfil del usuario.
  • Actividad del usuario (como inicios de sesión, Cierre de sesión, inicio de sesión fallido, etc.).
  • Cambios en el núcleo y la configuración de WordPress.
  • Cambios en plugins y temas.
  • Cambios en bases de datos (incluidos los realizados por plugins y temas).
  • Cambios en algunos plugins populares, como WooCommerce o bbPress.
  • Y por cada cambio, podrás ver el:
    • Nombre de usuario de la persona que hizo el cambio.
    • Fecha y hora en que ocurrió el cambio.
    • Dirección IP del usuario que hizo el cambio.

A continuación, te mostraré cómo puedes comenzar con tu propio registro de auditoría de seguridad.

Cómo crear un registro de auditoría de seguridad en su sitio de WordPress

Para crear un registro de auditoría de seguridad de WordPress de forma gratuita, puedes utilizar el plugin Registro de auditoría de seguridad de WP. Este popular plugin está listado en WordPress.org y está activo en más de 70.000 sitios manteniendo una calificación de 4,7 estrellas. También tienen una versión premium que se puede considerar si quieren características avanzadas. Aquí en 10blogs, estoy usando la versión gratuita.

Para empezar, instala y activa el plugin en tu web. Una vez hecho esto, aquí está cómo configurarlo y usarlo….

Configuración del Asistente de configuración del registro de auditoría de seguridad de WP

Una vez que instales y actives el registro de auditoría de seguridad de WP, deberías iniciar automáticamente un asistente de instalación:

Haz clic en Iniciar la configuración del plugin para iniciar el proceso.

A continuación, elige el nivel de registro que desees. Si estás ejecutando un blog normal, el nivel Básico es probablemente suficiente:

La principal diferencia es que Geek añade logging para más actividad de nicho como:

  • Cambiar las posiciones de los widgets.
  • Cambiar los menús.
  • Habilitar trackbacks.
  • Editar tablas de bases de datos.
  • … y más

Geek es una buena opción, especialmente para sitios conscientes de la seguridad, pero de nuevo, Básico debería estar bien para la mayoría de los bloggers.

Lea este post para una lista completa de las diferencias entre los dos niveles de seguimiento.

Una vez que hayas seleccionado su nivel de registro, puedes elegir durante cuánto tiempo desea conservar los datos. Recomiendo usar 6 meses o 12 meses para evitar usar demasiado espacio de almacenamiento en la base de datos. Si deseas conservar todos los datos, necesitas la versión Premium, ya que te permite utilizar una base de datos externa separada para almacenar sus datos de registro:

A continuación, puedes elegir quién tiene acceso para ver tu registro de actividad. De forma predeterminada, sólo los administradores pueden ver el registro. Pero si lo deseas, puedes conceder acceso a usuarios específicos u otros roles de usuario.

A menos que sepas que alguien más necesita acceso a los registros, te recomiendo dejar esta configuración en el valor predeterminado (No):

Finalmente, en la página Excluir objetos, puedes excluir usuarios específicos del registro. Si lo deseas, puedes utilizarlo para excluirse de la grabación en log. Sin embargo, recomiendo no hacer esto, ya que hay un beneficio en rastrearte a ti mismo porque puedes ver si alguien ha obtenido acceso no autorizado a tu cuenta:

Lo que puedes hacer, sin embargo, es excluir tu propia dirección IP. De esta manera, todavía puedes ver si alguien más usa tu cuenta.

Una vez que haga clic en Siguiente, verás una pantalla de éxito y habrás terminado con el proceso de configuración.

Visualización y uso del registro de actividad

Una vez que termines el asistente de instalación, tu registro de actividad comenzará a monitorear toda la actividad en tu sitio.

Para ver una secuencia en directo de la actividad, vaya a Registro de auditoría → Visor de registros de auditoría en el panel de control de WordPress:

Esta vista te mostrará una vista básica de toda la actividad de tu sitio.

La columna Severity te mostrará cuán crítico es potencialmente un cambio. Ten en cuenta que una clasificación severa no es necesariamente mala – sólo significa que debes prestar especial atención para asegurarse de que la actividad fue autorizada.

Y las columnas Usuario y Mensaje te dirán quién hizo el cambio y qué fue el cambio en inglés simple.

Si deseas ver más información sobre un evento específico, puedes hacer clic en el icono …’ para abrir una vista más detallada:

La vista más detallada sólo es realmente útil para los desarrolladores, pero proporciona toda la información relevante si es necesario.

Eso es casi todo lo que hay que hacer para usar el registro – ¡es muy simple!

Con el tiempo, debes habilitar/deshabilitar los eventos que le interesan. Esto asegurará que sólo vea registros útiles.

Características de la versión Premium del plugin de registro de auditoría de WordPress Security:

La versión gratuita de WP Security Audit Log es una gran opción para la mayoría de los sitios, especialmente los blogs. En muchos escenarios, como, por ejemplo, para las agencias, para el sitio WooCommerce WordPress, una versión premium sería más apropiada. He compartido la tabla de precios en la última sección de este artículo. Por ahora, este gráfico muestra la diferencia entre la versión gratuita y varios planes de versión premium:

Aquí estoy destacando tres características entre muchas, que ofrecen el máximo valor:

Notificaciones e informes

Para facilitar la supervisión de su registro de actividad, la versión Premium te permite:

  • Enviar notificaciones por correo electrónico cada vez que un usuario realiza una acción específica.
  • Crear informes que resalten una actividad determinada. También puede recibir estos informes por correo electrónico en una línea de tiempo específica.

Control de usuario conectado

La versión premium te permite ver una lista de todos los usuarios que están actualmente conectados a tu sitio de WordPress. También te permite ver desde dónde se están conectando. Y si es necesario, puede terminar su sesión actual (cerrar sesión) con el clic de un botón.

Base de datos externa

Si quieres mantener un registro permanente, es mejor para el rendimiento y el almacenamiento utilizar una base de datos externa, en lugar de la base de datos de tu sitio WordPress. La versión Premium le permite hacer esto, y también permite reflejar tus registros de auditoría a otras herramientas como Syslog o Papertrail.

Determinación de precios:

Descargar versión gratuita

Reflexiones finales sobre la creación de un registro de auditoría de seguridad de WordPress

El uso de un registro de auditoría de seguridad de WordPress te ayuda a mantener tu sitio más seguro y a supervisar las acciones que realizan los usuarios en tu sitio.

Con un plugin como WP Security Audit Log, puedes obtener esta funcionalidad de forma gratuita y la configuración tarda sólo unos minutos en iniciar el registro.

Y aunque algunos sitios especialmente conscientes de la seguridad pueden querer la versión premium del plugin, la versión gratuita debería funcionar bien para la mayoría de los sitios, especialmente los blogs.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.