Geekflare
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
In WordPress  |  Dernière mise à jour : 7 août 2023
Partager sur:
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Comment capturer un journal d'activité des sites WordPress pour l'audit

By
journal d'audit wp

Les journaux d'activité sont essentiels pour gérer et sécuriser les sites WordPress.

Le journal d'activité, également appelé piste d'audit ou journal d'audit, est un ensemble d'enregistrements de ce qui s'est passé sur votre site. Les journaux d'activité sont généralement associés à sécurité, bien qu'ils servent un objectif beaucoup plus important sur un site WordPress.

Dans cet article, nous mettrons en évidence les avantages de tenir un journal d'activité, quelles données vous pouvez trouver dans le journal d'activité, et comment installer un plugin de journal d'activité sur votre site WordPress.

Why do you need one?

Vous trouverez ci-dessous quelques-uns des avantages dont vous pouvez profiter en conservant un journal d'activité pour WordPress sur vos sites et réseaux multisites.

Dépannage simplifié: lorsque vous avez un journal de qui a fait quoi sur votre site, vous n'avez pas à passer des heures à faire des suppositions, à essayer de comprendre ce qui s'est passé. Vous avez un enregistrement de ce qui s'est passé dans le journal d'activité, de sorte que vous pouvez facilement trouver ce qui n'a pas fonctionné en quelques minutes, minimisant ainsi les possibilités temps d'arrêt du site Web et la productivité des utilisateurs.

Meilleure gestion du site WP et de l'équipe: La plupart du temps, vos développeurs, blogueurs invités et autres membres de l'équipe ne vous contactent pas avec des mises à jour et vous devez les poursuivre. Lorsque vous conservez un journal d'activité de ce qu'ils font, vous pouvez rester au top du jeu, vous n'avez donc pas à les chasser pour obtenir des mises à jour, car vous pouvez voir ce qu'ils font en temps réel.

Exigences de conformité réglementaire: Cela ne s'applique peut-être pas à tout le monde, mais s'applique certainement à ceux qui ont un site Web d'entreprise. Les entreprises qui doivent se conformer aux exigences de conformité telles que GDPR, PCI DSS, HIPAA et autres sont légalement tenues de tenir un journal de tout ce qui se passe sur leur site. Par conséquent, en installant un plugin de journal d'activité sur votre site WordPress, vous cochez une autre case vers la conformité.

Créez un système de détection d'intrusion WordPress: Si vous utilisez un plugin de journal d'activité complet pour WordPress, tel que WP Security Audit Log, vous pouvez créer un système de détection d'intrusion WordPress (IDS) qui peut vous alerter instantanément de tout comportement suspect, afin que vous puissiez prendre les mesures nécessaires pour éviter des problèmes.

Il existe de nombreux autres avantages à tenir un journal d'activité.

What information is stored?

La réponse à cette question dépend du plugin de journal d'activité que vous choisissez. Il y en a plusieurs disponibles, et Mélapress est connu pour avoir la meilleure couverture et le journal d'activité le plus complet.

Nous allons donc utiliser le journal d'activité de ce plugin comme exemple.

wp-activité-journal

Le plugin WP Security Audit Log conserve un enregistrement dans le journal d'activité des éléments suivants.

  • Modifications du fichier du site Web - le plugin analyse tous les sites du site Web et pas seulement le noyau WP, les plugins et les thèmes
  • Toute modification de publication, de page et de type de publication personnalisée, y compris les modifications de contenu
  • Modifications des balises et des catégories telles que leur création, leur modification et leur suppression, ainsi que leur ajout ou leur suppression dans les publications
  • Modifications des widgets et des menus telles que leur création, leur modification et leur suppression
  • Modifications de la gestion des utilisateurs, telles que la création et l'enregistrement d'un nouvel utilisateur, et lorsque des utilisateurs sont supprimés ou ajoutés à un site sur un réseau multisite
  • Modifications du profil utilisateur telles que le mot de passe, l'adresse e-mail, le nom d'affichage et les changements de rôle
  • Activité de l'utilisateur telle que la connexion, la déconnexion, les échecs de connexion et la fin d'autres sessions
  • Modifications du noyau et des paramètres de WordPress tels que les mises à jour installées, les liens permanents, le rôle par défaut, l'URL et d'autres modifications à l'échelle du site
  • Modifications des plugins et des thèmes telles que l'installation, l'activation, la désactivation, la désinstallation et la mise à jour
  • Modifications de la base de données telles que lorsqu'un plugin ajoute ou supprime une table

Ce plugin fonctionne également avec les réseaux multisites et les plugins tiers populaires tels que WooCommerce, ACF, etc.

Pour chaque événement dont le plugin tient un journal, il signale l'utilisateur qui a effectué le changement et son rôle, la date et l'heure du changement, l'adresse IP à partir de laquelle le changement s'est produit et tous les autres détails requis.

Exemple - en cas de changement de contenu sur un article, le plugin garde un journal de ce qui était un changement de contenu, que vous pouvez voir via un diff.

How to monitor User Activity?

Maintenant que nous avons toutes ces informations à portée de main, voyons comment configurer un journal d'activité sur notre site et quelles sont les meilleures pratiques de journalisation et de surveillance.

La première étape consiste à installer le plugin du journal d'activité. Vous pouvez télécharger le édition gratuite d'ici.

wp-security-audit-log-assistant

Une fois que vous avez installé le plugin, vous pouvez suivre l'assistant pour configurer les bases, telles que:

  • Sélectionnez le niveau de détail du journal d'activité
  • Configurer les stratégies de rétention du journal d'activité
  • Spécifiez qui peut accéder aux données du journal d'activité
  • Exclure les adresses IP, les utilisateurs ou les publications du journal d'activité

Une fois que vous êtes prêt avec l'assistant, le plugin commence automatiquement à garder une trace de tout ce qui se passe sur votre site WordPress et votre réseau multisite. En tant que tel, vous n'avez rien d'autre à faire, mais voici quelques conseils sur ce que vous pouvez faire pour configurer le plug-in de journal d'activité en fonction de vos besoins et de vos politiques de sécurité d'entreprise.

Désactiver les événements

Si vous souhaitez désactiver la journalisation d'un événement spécifique à partir du journal d'activité, vous pouvez le faire à partir du Activer / désactiver les événements option de menu, ou vous pouvez modifier le niveau de détail du journal.

GDPR conforme

Limitez les utilisateurs autorisés à consulter les journaux pour répondre à l'exigence de conformité au RGPD.

Par défaut, le journal d'activité ne peut être consulté que par les utilisateurs ayant le rôle d'administrateur. Le plugin vous permet de restreindre le journal d'activité à votre utilisateur uniquement et d'exclure également tous les autres administrateurs, ou d'autoriser d'autres utilisateurs individuels à y accéder.

Configurer l'IDS

L'édition premium du plugin WP Security Audit Log possède des fonctionnalités de journal d'activité et de surveillance qui peuvent être utilisées pour configurer votre propre système de détection d'intrusion WordPress (IDS).

Reprenez le contrôle de votre site WP

Étant donné que WordPress est une plate-forme multi-utilisateurs et que de nombreux sites comptent aujourd'hui plus d'une poignée de collaborateurs, il est impossible de gérer le site et votre équipe sans disposer de fonctionnalités de journalisation et de surveillance.

C'est pourquoi de nos jours, les journaux d'activité sont devenus un élément essentiel de la sécurisation et de la gestion des sites WordPress et des réseaux multisites. Premiers pas avec les journaux d'activité aujourd'hui et prenez le contrôle de votre site.

Une fois que vous commencez à garder un journal de tout ce qui s'est passé, vous serez surpris de voir comment vous avez réussi à gérer votre site Web sans eux.

  • Chandan Kumar
    Auteur
    En tant que fondateur de Geekflare, j'ai aidé des millions de personnes à exceller dans le domaine numérique. Passionné de technologie, j'ai pour mission d'explorer le monde et d'amplifier la croissance des professionnels et des entreprises.
Merci à nos commanditaires
Plus de bonnes lectures sur WordPress
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Monday
    Monday.com est un système d'exploitation de travail tout-en-un pour vous aider à gérer les projets, les tâches, le travail, les ventes, le CRM, les opérations, workflowset plus encore.
    Essayez Monday
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder