WordPress-Installationen überwachen

Es passiert immer wieder, dass ein Kunde sich meldet, dass die Website nicht mehr richtig funktioniert. Nach eigener Aussage „hat er aber gar nichts gemacht, das war plötzlich so“. Um herauszufinden, was die Ursache für den oder die Fehler auf der Website ist, lohnt es, eine Kontrollmöglichkeit ähnlich einer Log-Datei zu haben. Mit Boardmitteln liefert WordPress so etwas nicht mit, aber wofür gibt es schließlich Plugins…

Gesucht ist also die Möglichkeit, die in WordPress getätigten Aktionen der letzten Stunden oder Tage nachzuverfolgen und auf verdächtige Aktionen zu überprüfen. Das ist hilfreich bei selbst verursachten Fehlern (inkompatibles Plugin installiert, Plugin aktualisiert, Einstellungen geändert, …) aber auch, wenn man einen unerlaubten Zugriff auf das System vermutet (Benutzer verändert, neue Benutzer angelegt, etc.). Ergänzend wäre es schön, wenn kritische Aktionen pro-aktiv automatisch gemeldet werden könnten (zum Beispiel per Mail oder einer anderen Art der Benachrichtigung).

Lange Zeit war mir für solche Überwachungen nur das Plugin „WP Security Audit Log“ bekannt.

Dieses Plugin dokumentiert so ziemlich alles, was innerhalb der WP-Installation passiert und nutzt dafür die Datenbank. Man kann sehr detailliert einstellen, welche Ereignisse protokolliert werden sollen, so dass man die für einen irrelevanten Ereignisse schon gut von Anfang an entfernen kann.

Großer Nachteil dieses Plugins ist, dass die kostenlose Version des Plugins keine Benachrichtigungsfunktion anbietet. Diese ist als kostenpflichtiges Add-On vorhanden, neben einigen anderen erweiterten Funktionen wie zum Beispiel die Möglichkeit einen Bericht erstellen zu lassen oder die Log-Einträge in eine externe Datenbank zu schreiben. Gerade Letzteres kann bei großen Seiten (mit vielen Ereignissen) für die Performance interessant sein.

Für die Überwachung vieler Seiten kann der Kauf der Add-Ons deutlich ins Geld gehen (Add-On-Bundle kostet $89 für eine Seite, für bis zu 5 Seiten $189 oder für bis zu 50 Seiten $489).

Eine Alternative ist das Plugin „Stream“, welches ich dank des WPAdminDays im Zuge des WordCamps Berlin neu entdeckt habe.

Auch Stream schreibt ein Log aller Aktivitäten in die Datenbank. Auch bei Stream kann man definieren, welche Ereignisse getrackt werden sollen, allerdings muss man hier jeweils einzelne Ausnahmen definieren für jedes Ereignis, welches nicht gespeichert werden soll. Bei „WP Security Audit Log“ gibt es eine übersichtlichere Liste mit Checkboxen, mit denen man diese Ausnahmen einfacher definieren kann.

Dafür überzeugt Stream mit einem anderen Feature: Benachrichtigungen, zum Beispiel oder E-Mail oder IFTTT sind verfügbar. Allerdings muss man auch hier für einzelne Ereignisse definieren, dass man benachrichtigt werden möchte. Es gibt keine vordefinierten „gefährlichen“ Ereignisse, die man als Standard-Einstellungen für Benachrichtigungen setzen kann.

Wer lieber keine Benachrichtigungen per E-Mail erhalten will, kann auch auf diverse Erweiterungs-Plugins setzen. Diese ermöglichen die Kommunikation zwischen Stream und anderen Diensten, zum Beispiel mit Slack.

Da auch IFTTT eine der Benachrichtigungsmethoden ist, kann man sich auch ohne Programmierkenntnisse eigene Benachrichtigungswege zusammenbauen.

Insgesamt überzeugt mich Stream wegen der Anpassungsmöglichkeiten mehr. Ich setze es mittlerweile testweise bei einigen Kunden ein.


Über Marc Nilius

Diplom-Informatiker, 20 Jahre IT- und Web-Erfahrung, 5 Jahre intensive WordPress-Erfahrung, Mit-Organisator WordPress Meetup Köln und WordCamp Köln 2016, Wapuu-Fan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.