Na mnoha webech má uživatelská oprávnění administrátora hodně uživatelů, ačkoliv správně by měl být admin jeden, možná dva. K vydání článků nepotřebujete mít práva admina, ten je určen ke správě systému a uživatelů. Ale praxe bývá taková, že admin je kdekdo. Když se na webu něco rozbije, těžko se hledá, co kdo vlastně udělal.
Sledování aktivit je základ zabezpečení
A nejde o trestání, na vině je ostatně ten, kdo práva rozdával, takže zodpovědnost za poučené uživatele je na něm. Spíše je potřeba zjistit, co přesně se stalo, kdy se to stalo a jak to tedy napravit. Samotný WordPress neuchovává žádné záznamy, ze kterých byste mohli např. vyčíst, že před třemi dny uživatel pepa aktualizoval plugin Extra zabezpečení. Naštěstí to ale dokáží pluginy, které je dobré co nejdříve nainstalovat a správně nastavit.
Monitorování uživatelů
Doporučuji a používám Activity Log, který je pak česky v hlavní nabídce přeložen jako Protokol změn. Jeho hlavní výhody jsou, že zaznamenává asi úplně všechno po dostatečně dlouhou dobu a na určité změny dokáže upozornit e-mailem. Důležité je, že umí v záznamech vyhledávat a filtrovat je. Podobně to dělá User Activity Log nebo Stream (článek o Streamu na našem blogu wp-admin.cz).
Dříve jsem používal WP Security Audit Log, který mi vyhovoval, než jsem si uvědomil, že neumí záznamy filtrovat. Nejde snadno vypsat aktivity jednoho uživatele, což je opravdu potřeba; plugin jsem tedy přestal používat.
Monitorování chyb webu
Některý z výše uvedených pluginů lze ještě doplnit sledováním logů v iThemes Security, který zvyšuje zabezpečení webu. Zobrazuje taky neplatné adresy, které někdo na webu hledal; většina z nich budou různí průzkumníci, kteří hledají díru do webu, ale občas udělá chybu někdo u vás a můžete tak chybnou adresu opravit. Zobrazené zdrojové IP adresy útočníků můžete umístit na blacklist, aby jim byl přístup na web zcela odepřen.
Další postřehy
Našel jsem na první pohled atraktivní plugin WP Tao, který vypadá skvěle, ale je mi podezřelý – sbírá opravdu hodně informací, vytváří z nich kontext a trochu bych se bál, že s nimi pracuje jinak, než bychom si přáli. Je sice v hlavním úložišti WordPressu, měl by tedy být schválený a bezpečný, ale jeden nikdy neví.
1 komentář u „Jak zjistit, co dělali uživatelé na webu a kdo ho rozbil“