Журнал активности в WordPress. Плагин WP Security Audit Log

Вопрос безопасности веб-сайта WordPress – это то, о чем много говорят, но мало что делается.

Другими словами, когда вы завершаете создание своего веб-сайта и запускаете его в онлайн-мире, вы убедитесь, что все работает идеально, но никогда не думаете, что ваш веб-сайт может подвергнуться «пиратским» атакам.

И дело в том, что проблема безопасности вашего веб-сайта WordPress является повседневной, и вы никогда не должны принимать как должное, что ваш сайт «не появится».

И вы можете спросить: почему я так уверен? Потому что, когда мы думаем о веб-безопасности или «пиратских» атаках, мы всегда представляем себе типичного хакера в темноте, в своей комнате, в капюшоне, с плохим лицом, пытающимся взломать ваш веб-сайт. Но мы очень боимся, что такое бывает только в кино.

Безопасность, о которой мы говорим, начинается изнутри. И это мы увидим в этой статье: как иметь возможность контролировать или отслеживать все, что происходит на вашем сайте, чтобы вы знали, откуда возникает проблема, и могли пресечь ее в зародыше.

Теперь перейдем к основной теме статьи, которая хоть и проста и конкретна, но очень важна.

С помощью плагина, который мы представляем вам ниже (в его бесплатной версии, хотя у него есть версия премиум-класса), вы всегда сможете знать, кто что делал на вашем веб-сайте, и иметь общее представление о каждом из движений, которые происходят на вашем веб-сайте.

 

Зачем использовать WP Security Audit Log (бесплатная версия)

Плагин, который мы анализируем в этой статье, имеет бесплатную и премиум- версию.

Хотя мы рассмотрим функции оплаты позже, мы подумали, что в этом случае с бесплатной версией у вас будет достаточно средств для обеспечения определенного контроля безопасности на вашем веб-сайте.

Компания, стоящая за этим плагином, называется WP White Security, а сам плагин имеет более 100000 активных установок , поэтому многие люди не могут ошибаться в том, насколько он хорош.

Кроме того, если вы один из тех, кому нравится все на вашем родном языке на вашем веб-сайте, плагин полностью на русском языке, поэтому у вас не будет проблем с пониманием каждой из его характеристик.

И поскольку это хороший анализ плагина, мы будем идти шаг за шагом , экран за экраном, объясняя все возможности, которые он предлагает.

Итак, начнем.

 

6 шагов для обучения использованию плагина

Начнем с анализа этого хорошего плагина безопасности для вашего сайта.

Мы хотели сделать это в несколько шагов, чтобы упростить «переваривание», поскольку эти темы настроек безопасности обычно не так привлекательны, как другие плагины для других функций WordPress.

В чем мы можем вас заверить, так это в том, что плагин забавен в той части, которая есть у «Большого брата», то есть в том, что он видит, что все делают, без вашего ведома, и ведет себя так, как будто вы всего мощного света »на вашем сайте.

 

Шаг 1. Установите плагин

На этом шаге вам нечего сказать нового, потому что установка плагина в WordPress такая же, как и любая другая (хотя этот шаг всегда нужно упоминать).

Найдите плагин в репозитории, установите его и активируйте . Это просто.

Конечно, вы можете сделать это прямо на своем веб-сайте, в разделе плагинов или из официального репозитория за пределами Интернета, загрузить его и «загрузить» на свой веб-сайт из wp-admin или с FTP. Любой из них действителен.

Если в будущем вы решите приобрести премиум- версию , вы можете активировать лицензию прямо из параметров плагина (как мы увидим позже).

 

Шаг 2: Запустите мастер

При активации плагина на шаге 1 появится мастер для редактирования основных настроек плагина.

Все, что вы настраиваете во время этого мастера, вы можете снова отредактировать в общих настройках плагина, чтобы вы не беспокоились о «совершении ошибки».

Во время работы мастера вы собираетесь настроить:

• Уровень детализации записи (если вы хотите его на базовый уровень или продвинутый уровень, который они называют «Geek»).
• Если вы заходите на свой сайт через wp-admin или другую комбинацию (чтобы сделать доступ к панели администратора вашего сайта более безопасным).
• Как вы хотите поступить с записями 404 («страница не существует»).
• Если вам нужна возможность регистрации в Интернете или нет (многие люди забывают снять этот флажок, если им действительно не нужно регистрироваться на вашем сайте).
• Срок хранения записи (6 месяцев, 12 месяцев или всегда).
• Кто может получить доступ к журналу активности (всех ваших пользователей).
• Исключить из журнала определенных пользователей (например, если вы не хотите появляться).

Мы знаем, что все эти и многие другие настройки кажутся «чересчур много», если не видеть их напрямую.

 

Шаг 3. Средство просмотра журнала аудита

Это страница параметров плагина, которую вы собираетесь посещать чаще всего, потому что именно она собирает журнал (или контрольный журнал).

Это список «событий», по каждому из которых вы можете увидеть различную информацию, разделенную на столбцы:

• Идентификатор события: чтобы узнать тип события (вы узнаете их по мере их повторения).
• Серьезность: своего рода светофор, чтобы узнать, насколько важно внимание к этому событию (например, если он красный, это первое, на что вам нужно посмотреть).
• Дата: когда произошло событие.
• Пользователь: создатель события.
• Исходный IP-адрес: откуда это произошло (полезно для возможности заблокировать определенных пользователей).
• Сообщение: Подробнее о мероприятии.

Вы можете упорядочить каждый столбец «от меньшего к большему» и наоборот, чтобы сгруппировать все произошедшие события. Например, все срочные события, требующие вашего внимания, или все события на пользователя и т. д.

 

Шаг 4. Проверьте, какие элементы появятся в ЖУРНАЛЕ

В этой части конфигурации вы сможете активировать или деактивировать различные события, чтобы они отображались или не появлялись в вашем журнале безопасности.

Здесь мы укажем самые важные группы:

• Профили пользователей и действий (вся активность пользователей на вашем сайте).
• Контент и комментарии (все действия, связанные с «Пользовательскими типами сообщений» вашего веб-сайта и комментариями).
• Установка WordPress (наиболее техническая часть журнала, которая содержит любое движение к базе данных, плагинам, темам, которые вы используете, настройкам WordPress, виджетам, системе в целом и меню).
• Мультисайтовая сеть (эта часть посвящена активности мультисайтовых установок WordPress).
• Сторонние плагины (здесь появятся дополнительные параметры, когда вы установите сторонние плагины. Например, WooCommerce, BBPress, Yoast SEO и т. д.).
• Обложка события (запись других событий, не связанных с предыдущими, но которые для некоторых опытных пользователей могут быть полезны благодаря информации, которую может генерировать каждый из доступных вариантов).

Помните, что все эти активации или деактивации событий, которые будут регистрироваться в журнале безопасности вашего веб-сайта, можно увидеть «базовым» способом, продвинутым или «компьютерным» способом (имя, которое они решили использовать).

Мы знаем, что эту часть немного сложнее переварить, поскольку вы сталкиваетесь со всеми типами событий, доступных на вашем веб-сайте, но мы рекомендуем вам пройти одно за другим, понять их и решить, заинтересованы вы в их активации или нет (из этого Таким образом, вы достигнете идеального баланса между тем, что нужно вашему сайту, и тем, что вам нужно знать ).

 

Шаг 5. Проверьте настройки

В следующем разделе меню (после пропуска всех премиальных вариантов, которые мы видим позже выше), вы можете найти настройки самого плагина.

Как мы уже упоминали, к счастью, этот плагин очень заботится о своих пользователях, и все варианты также выполнены на идеальном испанском языке, и они также довольно интуитивно понятны.

Здесь вы можете вернуться к редактированию параметров, выбранных во время работы мастера на шаге 2.

И, как и в случае с событиями, которые активируются или деактивируются на предыдущем шаге, здесь есть много вариантов, и мы не собираемся видеть их все (чтобы не делать эту статью бесконечной), но мы собираемся рассказать вам о наиболее важных группах опций.

Параметры плагина делятся на:

• Параметры «Общие»
• Параметры «Журнал активности»
• Параметры для «Проверка целостности файлов»
• Параметры для «Исключить элементы»
• Параметры «Импорт и экспорт»
• Расширенные настройки

Некоторые параметры могут показаться очень продвинутыми, но на самом деле, если вы прочитаете описания, сопровождающие каждый из вариантов, вы сразу поймете, для чего они нужны. (Как мы уже сказали, этот плагин действительно заботится о качестве и UX для всех своих пользователей).

 

Шаг 6. Просмотрите справку

И, поскольку это хороший плагин, в нем не может отсутствовать раздел справки и поддержки.

Для такой помощи плагин предлагает бесплатный форум поддержки, а также бесплатную электронную почту поддержки.

И в дополнение ко всему этому они сопровождают его обширной документацией плагина.

Конечно, здесь плохие новости, и все дело в английском. Но если вы не говорите по-английски, возможно, со всеми скриншотами, сопровождающими каждую страницу документации, это также может помочь вам, пока вы не найдете решение своих сомнений.

Если нет, придется взять словарь.

Также добавьте, что во второй вкладке этого раздела вы найдете информацию о вашей системе, которая будет очень полезна службе поддержки, с которой вы обратитесь, если она им понадобится.

 

Возможности премиум-класса

Хотя это не входит в цель данной статьи «само по себе», стоит упомянуть дополнительные возможности, предлагаемые платной версией плагина, очень «выше».

В любой момент вы можете «обновить», нажав на супер красочную ссылку (они уже позаботились об этом, поместив ее в люминофорный зеленый цвет ) в меню.

В платной версии, помимо всего, что мы видели в этой статье, вы также можете:

• Получайте уведомления по SMS и электронной почте о том, о каких событиях вы говорите.
• Посмотрите, какие пользователи подключены к вашему сайту в данный момент.
• Автоматизируйте отчеты о безопасности для своего сайта.
• Интегрируйте плагин с другими сторонними сервисами (например, чтобы уведомлять вас об определенных событиях через Slack ).
• Искать конкретные события во всем журнале (пожалуй, это самое интересное).

Мы думаем, что если вы действительно находите этот плагин полезным, и вам он очень нравится, и он является частью вашего веб-сайта в вашей повседневной жизни, вы платите за премиум- версию, потому что плагин этого заслуживает.

Если вы используете его в качестве дополнения к своему сайту, просто используйте бесплатную версию, но да, рекомендуйте плагин людям, которым, по вашему мнению, он нужен (это хороший способ предложить им что-то взамен).

Конечно, как всегда, мы помним, что плагины, которые мы упоминаем в статьях (например, в этой), не платят нам и не предлагают мне окорока с черными ножками или дополнительные рождественские корзины, чтобы хорошо о них говорить.

Как всегда, мы стараемся предложить вам хорошие, качественные решения для вашего проекта (ов) WordPress, чтобы сэкономить ваше время и деньги (и, прежде всего, головную боль).

 

Выводы

Как видите, реализовать хороший метод безопасности для своего сайта проще, чем вы думаете.

Этот плагин превратит вас в настоящего «Большого брата», который видит все и может проконсультироваться с каждым движением в WordPress, когда и где угодно.

В этой статье мы затронем тип защиты, наиболее «близкий» к вашему сайту изнутри. (Есть и другие плагины безопасности, но более «внешние»).

Мы считаем, что рассматриваемый плагин является ключевым, когда речь идет о знании того, кто что и когда делает, что очень важно при решении внутренних проблем, особенно если вы работаете с клиентами или с большим количеством разработчиков WordPress на одном и том же веб-сайте.

Мы используем его каждый день в своих проектах, и он избавил меня от множества проблем и помог найти дыры в безопасности на некоторых клиентских веб-сайтах.

Надеемся, что это помогло вам, и, прежде всего, вы нашли его полезным.

Рекомендуем вам попробовать и поиграть с этим плагином, всегда в тестовой среде, которая может быть взломана только вами. А когда вы уверены в том, что делаете, делайте это в производственной среде.

Пока это все, и до встречи в следующей статье!