Publicado el 2 comentarios

Cómo monitorear la actividad de los usuarios en WordPress

Nuestros visitantes preguntan:

Muy buenos días,

Acudo a ustedes para saber si pueden sugerirme alguna opción para lo siguiente… tenemos un sitio web con WordPress dedicado a noticias locales y gestionado por múltiples administradores, editores, autores, e invitados.

Actualmente me resulta difícil monitorear la activad de cada uno de ellos, les agradecería cualquier sugerencia para saber cómo monitorear la actividad de los usuarios en WordPress, especialmente lo relacionado con:

  1. Inicios de sesión.
  2. Modificación de las contraseñas de las cuentas de usuario.
  3. Edición y creación de publicaciones (un ejemplo: edición de entradas, carga de imágenes, creación de categorías, y modificación del contenido de widgets).
  4. Intentos de inicio de sesión fallidos.

Gracias por su atención y por toda su información!
Pablo José.

Respuesta:

Hola Pablo José,

Anteriormente te mostramos 5 plugins para monitorear la actividad de los usuarios en WordPress, en esta ocasión y para dar respuesta a tu solicitud, te sugerimos un plugin gratuito de gran utilidad para monitorear la actividad de los usuarios en WordPress, y dar solución a los cuatro puntos indicados:


Plugin: WP Security Audit Log

Cómo monitorear la actividad de los usuarios en WordPress
WP Security Audit Log: Permite monitorear la actividad de los usuarios en WordPress.

WP Security Audit Log” se encargará de llevar un registro completo de todos los cambios y tareas realizadas por los usuarios registrados en tu sitio web con WordPress. El plugin también resulta útil para identificar cualquier detalle anormal, antes de que se convierta en un problema de seguridad.

Una vez que instales y actives el plugin ve al menú lateral izquierdo “Audit Log” opción “Ajustes”:

Cómo monitorear la actividad de los usuarios en WordPress

El primer paso consiste en definir los ajustes generales del plugin. Utiliza las dos pestañas incluidas “General” y “Exclude Objects“.


Pestaña “General”:

En la pestaña “General” es posible activar las siguientes funcionalidades:

  • Definir el tiempo que se mantendrán las alerta y registros generados por “WP Security Audit Log”.
  • Activar o desactivar un widget para mostrara las “Últimas Alertas” en la página “Escritorio”.
  • Activar opciones de Proxy y Firewall.
  • Definir los usuarios o tipos de roles específicos que podrán visualizar las alertas y gestionar los ajustes del plugin.
  • Actualizar el registro de alertas de forma automática o manual.
  • Ocultar el plugin “WP Security Audit Log” de la página “Plugins
Cómo monitorear la actividad de los usuarios en WordPress
WP Security Audit Log – Pestaña “General”

Guarda los cambios cuando hayas terminado.


Pestaña “Exclude Objects”:

La pestaña “Exclude Objects” nos permitirá indicarle al plugin aquellos usuarios, tipos de roles, o campos personalizados que deberán ser excluidos de cualquier registro y monitoreo.

Cómo monitorear la actividad de los usuarios en WordPress
WP Security Audit Log – Pestaña “Exclude Objects”

Guarda los cambios cuando hayas terminado.


Registro de actividades:

Una vez que los ajustes de tu elección hayan sido activados, el segundo paso consiste en colsultar el registro de actividades, para hacer esto ve al menú lateral “Audit Log” opción “Visor de Log de Auditoría”:

Cómo monitorear la actividad de los usuarios en WordPress

En la página “Visor de Log de Auditoría” se mostrarán las actividades de todos los usuarios a forma de tabla. La información se ordena en 4 columnas, así tenemos el código de la actividad, su tipo, la fecha en que fue ejecutada, nombre del usuario involucrado en la actividad, IP de Origen, y mensaje o descripción:

Cómo monitorear la actividad de los usuarios en WordPress
WP Security Audit Log: Visor de Log de Auditoría

Habilitar/Desactivar alertas:

El plugin además incluye la opción para “Habilitar/Desactivar alertas:

Cómo monitorear la actividad de los usuarios en WordPress

Es aquí donde podrás elegir a placer, qué alertas serán ejecutadas a partir de diez áreas específicas:

Cómo monitorear la actividad de los usuarios en WordPress
WP Security Audit Log – “Habilitar/Desactivar alertas”
  • Actividad del Sistema
  • Base de datos
  • Multisitio
  • Otra Actividad de Usuario
  • Perfiles de Usuario
  • Plugins y Temas
  • Posts Personalizados
  • Posts del Blog
  • Páginas
  • Widgets

WP Security Audit Log: Extensions

WP Security Audit Log” ofrece también soporte de extensiones que añaden funcionalidades avanzadas: notificaciones, búsqueda, y reporte. Estás extensiones están disponibles a través de tres tipos de licencia: para 1, 5, o un máximo de 20 sitios web.

Cómo monitorear la actividad de los usuarios en WordPress
WP Security Audit Log: Extensions

La extensión de notificaciones permite crear reglas y condiciones para recibir en el correo electrónico de tu elección, una notificación cuando se produzca un cambio o actividad en tu sitio web. Más información aquí.

La extensión de búsquedacomo su nombre lo indica, añade un campo de búsqueda al registro de actividad, facilitando el filtrado de información específica. Más información aquí.

Por último la extensión reporte, resulta ideal para generar reportes de todos los registros a partir de la creación de archivos especiales en formato HTM o CSV. Más información aquí.

WP Security Audit Log: Reporting” es la solución ideal para los administradores de una red (WordPress Multisite), o de blogs con múltiples usuarios que desean monitorear cualquier actividad de forma conveniente.

Descargar Plugin: WP Security Audit Log

Publicado el Deja un comentario

WordSesh 2: El mejor plugin de seguridad para WordPress eres tú

Descripción de “WordSesh“:

WordSesh es un evento gratuito con duración de 24 horas continuas, dedicado a presentaciones de WordPress en directo por streaming

  • Fecha de Publicación: 06/12/2013
  • URL de Evento: WordSesh
  • Tipo de Video: Presentación
  • Oradores: Jason Cosper
  • Idioma: Inglés
Publicado el 2 comentarios

Nuevo servicio de autenticación para WordPress a través de Clef

Nuevo servicio de autenticación para WordPress a través de Clef

Hace tiempo que no te mostraba nuevas herramientas de productividad y seguridad para sitios con WordPress, pero estoy seguro que la siguiente información será de tu interés. El día de ayer escuchaba el podcast “Your Website Engineer” de Dustin Hartzler, quien tuvo una breve charla con Brennen Byrne – creador de este nuevo, e increíble servicio de autenticación que me ha maravillado: “Clef“.


Acerca de Clef

Nuevo servicio de autenticación para WordPress a través de ClefClef es un servicio gratuito de autenticación e inicio de sesión único, simple, seguro y divertido de utilizar ya que es compatible con los dispositivos móviles más populares (iOS y Android).

Probablemente te estarás preguntando ¿qué tan seguro es Clef?. Clef es bastante seguro, el servicio utiliza una arquitectura basada en encriptación, OAuth 2.0, y autenticación de múltiples factores.


¿Cómo integrar Clef con WordPress?

La integración de Clef con WordPress es muy fácil, a continuación te mostraré los pasos necesarios para activar este servicio de autenticación en tu sitio web:

» Paso 1: Descargar e instalar la aplicación móvil

Para comenzar a integrar el servicio de Clef a nuestro sitio web, asegúrate de descargar la aplicación gratuita para ‘iOS‘ y ‘Android‘ desde el sitio oficial: getclef.com/apps.

En este ejemplo utilizaré la aplicación de Clef para iOS en un iPad.

» Paso 2: Crear cuenta

Abre la aplicación y comienza la creación de tu nueva cuenta, asegúrate de registrar el correo electrónico que utilizas para iniciar sesión en tu sitio web con WordPress (Administrador):

Nuevo servicio de autenticación para WordPress a través de Clef


» Paso 3: Elegir un PIN

Elige un número de identificación personal de 4 dígitos, este PIN será necesario para poder acceder a la aplicación móvil:

Nuevo servicio de autenticación para WordPress a través de Clef


» Paso 4: Instalar y activar el plugin en WordPress

Plugins para WordPress: Clef
Plugin para WordPress: Clef

Ahora es momento de instalar y activar el ‘plugin oficial Clef‘. Hecho lo anterior ve a la sección ‘Clef‘ del menú lateral izquierdo ‘Ajustes‘:

Nuevo servicio de autenticación para WordPress a través de Clef


» Paso 5: Activar y sincronizar Clef

En la nueva pantalla ‘Clef Settings‘ se mostrará un asistente que se encargará de generar las claves necesarias para activar y sincronizar Clef en nuestro sitio web:

Nuevo servicio de autenticación para WordPress a través de Clef

Abre la aplicación en tu dispositivo móvil y colócalo frente al código de barras azules con movimiento:

Nuevo servicio de autenticación para WordPress a través de Clef

La sincronización comenzará, y después de algunos segundos el proceso de integración habrá finalizado. Ahora debes completar los campos:

  • WordPress Site Name‘ (Nombre de tu sitio)
  • WordPress Login Page‘ (Escribe la URL que utilizas para iniciar sesión)

Nuevo servicio de autenticación para WordPress a través de Clef

La información de estos campos permitirán crear una aplicación compatible con Clef. Cuando ambos campos estén completos, haz clic sobre el botón ‘Enviar‘, inmediatamente los campos ‘App ID‘ y ‘App Secret‘ serán llenados de forma automática:

Nuevo servicio de autenticación para WordPress a través de Clef

Si deseas remplazar el usos de nombre de usuario y contraseña para iniciar sesión en tu sitio, activa la casilla ‘Disable password login for Clef users‘ – esto desactivará el inicio de sesión de la forma tradicional (nombre de usuario y contraseña).


» Paso 6: Probar la autenticación vía Clef

Ya estamos listos para probar el sistema de autenticación de Clef, abre otro navegador o cierra tu sesión en WordPress. Escribe la URL que utilizas para iniciar sesión (en nuestro caso es https://mvkoen.com/wp-login.php), observa que en la caja de inicio de sesión se ha añadido un nuevo botón en color azul ‘Log in with your phone‘:

Nuevo servicio de autenticación para WordPress a través de Clef

Haz clic sobre el nuevo botón, de forma inmediata se mostrará una animación que explica el proceso de inicio de sesión vía Clef:

Nuevo servicio de autenticación para WordPress a través de Clef

Abre la aplicación en tu dispositivo móvil y colócalo frente al código de barras azules con movimiento. Segundos después, Clef reconocerá que eres un usuario registrado en el sitio web:

Nuevo servicio de autenticación para WordPress a través de Clef

Y habrás ingresado de forma correcta al escritorio de WordPress:

Nuevo servicio de autenticación para WordPress a través de Clef

La aplicación móvil de Clef te mostrará un temporizador, indicando que tu inicio de sesión tendrá una duración de 1 hora como máximo, pero desde la misma aplicación podemos solicitar el continuar una sesión.

Nuevo servicio de autenticación para WordPress a través de Clef


Comentarios finales

Este nuevo servicio de autenticación para WordPress a través de Clef, puede convertirse en un aliado más para los webmaster (especialmente para quienes administran varios sitios web), y también para el usuario promedio. Con el aumento de los ataques de fuerza bruta, Clef es una muy buena alternativa de seguridad, permitiéndonos disfrutar de un servicio de autenticación impenetrable, y respaldado por un sistema de encriptación de grado comercial.

Además de WordPress, existen otros servicios a los que puedes acceder utilizando la autenticación de Clef, por ejemplo: StackOverflow, LiveJournal, HootSuite … también puedes sugerir un servicio popular para una futura integración :).

Feliz blogging!

Publicado el Deja un comentario

Problemas de seguridad generados por Fantastico

Comentamos en una entrada anterior las: “5 razones para NO instalar WordPress a través de Fantastico“, en está entrada te explicaremos algunos de los problemas de seguridad generados por una instalación de WordPress a través de Fantastico. Aún y cuando Fantastico ofrece una vía muy fácil para instalar WordPress en tu servidor, es también una invitación a los hackers para hacer lo suyo en tu sitio web.


Desventajas de usar el script Fantastico

Fantastico es un script similar a los sistemas operativos más modernos: “apunta y haz clic en el icono correspondiente” y obtendrás una instalación de WordPress de forma rápida y fácil. La mayoría de los servidores web y proveedores de hosting ofrecen este script (y similares) para instalar WordPress (y otros programas). Por desgracia para ti, usar Fantastico conlleva a problemas graves de seguridad. En la mayoría de instalaciones de WordPress, los hackers sólo necesitan tres cosas para acceder: el nombre de tu base de datos, nombre de usuario y contraseña. Técnicamente, necesitarán la ubicación de tu base de datos, pero no es tan difícil de averiguar, lamentablemente Fantastico siempre utiliza el mismo nombre para la base de datos y el nombre de usuario.

Esto significa que los hackers tienen ahora dos de las tres claves que se necesitan para entrar en tu sitio web en WordPress. Imagina dejar tu garaje y las puertas de tu vehículo abiertas. Lo único que le faltaría a cualquier aspirante a ladrón, es encontrar las llaves de tu auto (o en el caso de tu sitio web: la contraseña) y obtendrán acceso total y completo. Si elegiste una contraseña fácil de recordar, ellos son hábiles y también podrán averiguarla.

Incluso si tienes varias instalaciones de WordPress, Fantastico utilizará la misma asignación de nombres; por tanto, ninguno de tus sitios estará seguro. Fantastico asigna a cada nombre de base de datos el término “wrdp”, y añade un número al final, por ejemplo: “wrdp1”, “wrdp2”, “wrdp3”, etc. Los bots (programas automáticos) utilizados por los hackers pueden considerar ese factor y realizar una búsqueda de variantes de posibles nombres.


Mantén tu sitio al día, ¡NO utilices Fantastico!

Fantastico, además de usar el mismo nombre (facilitando aún más un ataque por parte de los piratas informáticos), también instala un software que no siempre estará al día. ¿Qué pasa si la última versión de WordPress sufre de un agujero de seguridad importante, u ofrece nuevas características? ¿Realmente estarás dispuesto a esperar?


Instalación manual, limpia y segura de WordPress

Una instalación manual, limpia y segura de WordPress no es tan fácil como hacer clic en un icono, pero es más fácil que resolver un lío de un sitio hackeado.

Instalación manual para tener un sitio seguro en WordPress

WordPress.org cuenta con instrucciones claras sobre cómo instalar WordPress de forma manual y seguir los pasos de la famosa “instalación de 5 minutos“.


¿Qué hacer si nuestra instalación de WordPress se realizó a través de Fantastico?

Estos consejos son importantes para los usuarios que desean crear un nuevo sitio web, ¿pero qué con los usuarios que ya tienen una instalación de WordPress a través de Fantastico?, la buena noticias es que aún tienes la opción de cambiar el nombre de base de datos (técnicamente se trata de crear una nueva, e importar la información), y cambiar tu nombre de usuario y contraseña. Esto añade otra capa de seguridad a tu sitio.

Publicado el Deja un comentario

No olvides la seguridad al instalar WordPress

Un error común que comenten los usuarios que se inician en WordPress durante la famosa “Instalación de 5 minutos”, es olvidar la adición de las “4 Claves de Autenticación” y los “4 Hashings Salts” en el archivo wp-config.php; que por default, no están incluidas y deben ser añadidas directamente por el usuario:

No olvides la protección de tu sitio web al instalar WordPress


¿Qué son las Claves de Autenticación del archivo wp-config.php de WordPress?

Es altamente recomendable que aproveches las ventajas de esta característica del archivo wp-config.php, ya que estas claves trabajan juntas para agregar una capa adicional de seguridad a WordPress, mejorando el sistema de autenticación de las cookies y de las contraseñas de tu sitio web.


¿Cómo puedo obtener las claves de Autenticación?

Para generar las 8 claves de autenticación, visita el link: “https://api.wordpress.org/secret-key/1.1/salt/“. Al entrar al enlace anterior, se crean claves únicas para cada usuario que ingresa a esta página.

Cada clave generada es completamente aleatoria y diferente de las otras, obtendrás algo similar a esto:

Generación de 8 claves de seguridad para WordPress


Sólo tienes que copiar / pegar todo el bloque de código:

Copia y pega todo el bloque de código en wp-config.php

Con este sencillo paso, las 8 claves estarán proporcionando una gran seguridad a tu sitio web. No olvides guardar los cambios.


Notas finales:

  • Las 8 claves pueden ser cambiadas o añadidas en cualquier momento
  • Cualquier usuario registrado tendrá que volver a iniciar sesión después de cambiar las claves
  • El conjunto predeterminado de ocho claves de seguridad también está disponible en el archivo wp-config-sample.php
  • Nunca reveles ni publiques en línea tus claves de seguridad.

Recuerda: Nunca estará por demás tomar cualquier medida de seguridad que ayude a proteger nuestro sitio web en WordPress.