Seguridad

Seguridad, Servidores, Sistemas

Cómo crear una VPN con OpenVPN en Windows. Parte 1: Servidor

David G. Smyth (SmythSys) / 29 enero, 2019

Nota: este artículo es válido hasta OpenVPN v. 2.3.x. que vienen con easy-rsa 2. A partir de OpenVPN v 2.4.x la generación de certificados se hace con Easy-rsa 3 y el proceso es diferente. Hace unos días nos han encargado realizar una VPN en un Windows Server 2008 R2. Como los usuarios podían no ser todos Windows (y también para probar), decidimos no usar la VPN de Windows y crearla con OpenVPN.Os dejamos los pasos.Puedes seguir el proceso en inglés también aquí. Y este vídeo está muy bien para ver los pasos (yo he hecho modificaciones al proceso, cuidado). Instalar y configurar el servidor. Primero hay que configurar el servidor al que se van a conectar los clientes, donde están las carpetas que queremos ver. En nuestro caso el Windows Server 2008, pero puede ser cualquier otro Windows (evidentemente mejor el servidor). Instalar el programa OpenVPN en el servidor. Vamos a descargarnos el programa de OpenVPN (es el mismo para servidor y para cliente). Puedes hacerlo aquí (la versión community es la gratuita). El programa más sencillo a descargar es el Windows Installer.Descargamos el instalador, lo ejecutamos y damos a todas las opciones que si marcando la casilla de EasyRSA 2 Certificate…. (la necesitas para generar los certificados). Cuando te pida instalar el adaptador TAP di que si y marca la opción de confiar en el fabricante. Abre un terminal (cmd) y ve a la carpeta C:\Program Files\OpenVPN\easy-rsa Pon init-config y pulsa Enter. Después haz copy vars.bat.sample vars.bat Edita el fichero creado con notepad vars.batVe a las líneas siguientes y modifica la información con tus datos. Voy a poner unos de ejemplo: set KEY_COUNTRY=US set KEY_PROVINCE=CA set KEY_CITY=SanFrancisco set KEY_ORG=OpenVPN set KEY_EMAIL=mail@host.domainLo modificamos porset KEY_COUNTRY=ES set KEY_PROVINCE=MD set KEY_CITY=Madrid set KEY_ORG=TUEMPRESA (tb puedes dejarlo como OPenVPN) set KEY_EMAIL=tucorreo@tucorreo.com Guarda el fichero y ejecuta (Enter después de cada comando):vars.batclean-all Generar las claves y certificados del servidor. Ahora vamos a generar las claves y certificados que necesita el servidor. En la misma carpeta de Easy-rsa ejecutamos el comando para crear la entidad certificadora:build-ca Va a preguntar unos valores pero son los anteriores que has puesto en el fichero. Así que con que des a Enter se quedan esos valores. Salvo cuando pregunte: Common Name (eg, your name or your server’s hostname) [] que yo suelo poner el nombre completo del servidor (aunque OpenVPN lo deja como OpenVPN-CA). Creemos las claves con:build-key-server server Vuelve a preguntar los mismos datos, das como antes a Enter salvo cuando pregunte “Common Name” pones server. Responde y a las dos preguntas y ya está. Ahora genera la encriptación conbuild-dh Configuración final del servidor. Ahora copia el fichero server.ovpn de la carpeta C:\Program Files\OpenVPN\sample-config al directorio C:\Program Files\OpenVPN\config Edita el fichero server.ovpn. Recomiendo Notepad++ o, en Windows Server, Wordpad (“abrir con”, elegir programa, Wordpad). No uses notepad, te va a descolocar las líneas. Vamos a modificar las siguientes secciones: Poner el túnel como dev tap o tun (ver aquí). No hace falta hacer la parte de Bridge (puente) en los interfaz de red que dice el vídeo mencionado arriba. Pero por lo que leo tap admite más protocolos que tun (aunque tun requiere menos recursos). Tu elijes, nosotros usamos tap pero sin modo bridge salvo cuando la red del servidor coincide con la del cliente remoto. Entonces tun. Donde pone: ca ca.crt cert server.crt key server.key Pon (las dobles contrabarras y las comillas son importantes): ca “C:\\Program Files\\OpenVPN\\config\\ca.crt” cert “C:\\Program Files\\OpenVPN\\config\\server.crt” key “C:\\Program Files\\OpenVPN\\config\\server.key” Donde pone: dh dh1024.pem pon: dh “C:\\Program Files\\OpenVPN\\config\\dh2048.pem” Nota: en la generación de mis certificados me creó el fichero dh2048.pem en C:\Program Files\OpenVPN\easy-rsa\ La cifra puede variar y podéis tener dh4096.pem, verifícalo. Donde pone server 10.8.0.0 255.255.255.0 elije la red de tu VPN. Puedes poner cualquier red privada pero te recomiendo que no uses las de telefónica típicas (192.168.1.X ni 192.168.0.X). Yo suelo usar las 10, como la que viene en el fichero por ejemplo, o 192.168.2.X, 192.168.3.X etc). También, por lo tanto, puedes dejar la red que viene por defecto. Esto quiere decir que tu servidor VPN tendrá IP de VPN 10.8.0.1 y tus clientes tendrán la 10.8.0.X (según la máscara que elijas). Verifica que la línea tls-auth ta.key 0 pone 0 en el servidor. Quita lo de # This file is kept secret de detrás. En los clientes tiene que ser: tls-auth ta.key 1. Salva el fichero. Copia los ficheros de clave. Ve a C:\Program Files\OpenVPN\easy-rsa\keys\ y copia los ficheros siguientes a C:\Program Files\OpenVPN\config\ ca.crt dh1024.pem server.crt server.key server.ovpn En la misma carpeta easy-rsa pon openvpn –genkey –secret ta.key y copia ese fichero también a la carpeta C:\Program Files\OpenVPN\config\ El servidor ya está. Sólo tendrías que abrir el puerto 1194 UDP en el router apuntando a la IP (fija) de tu servidor. Recomiendo también abrir el firewall de Windows, si está activado, para ese puerto. Si tienes IP dinámica tendrás que activar un servicio de DNS dinámicon tipo DYNDNS. Puedes probar a ejecutar el icono de OpenVPN que te ha creado en el escritorio y darle botón derecho>Connect para que se empieze a ejecutar el servidor VPN. Si todo va bien está preparado para recibir llamadas. Queda configurar a los clientes (en otro artículo). Nota: si quieres que los clientes remotos vean los clientes de la oficina tienes que activar la opción client-to-client en el fichero de configuración del servidor.Nota2: si quieres dirigir todo el tráfico del cliente por la VPN activa la opción push “redirect-gateway def1 bypass-dhcp” en el fichero de configuración del servidor. Nosotros encontramos un error en Windows Server 2008 R2, que al arrancar la primera vez funcionaba, pero si reiniciábamos la GUI el TAP no cogía IP en Windows (OpenVPN decía que si). Y no sabía enrutar. Lo arreglamos instalando OpenVPN como servicio (otro artículo) y, si ocurre (que no debería al ser un servicio) con desactivar el TAP un momento y volver a activarlo cogía IP de nuevo. Tenéis la parte de la configuración de clientes en este artículo.

Noticias Informáticas, Seguridad

Comprueba si te han hackeado la cuenta. Más de 772 millones de correos.

David G. Smyth (SmythSys) / 23 enero, 2019

Hace unos días, el fundador de la página Have I been Pwned anunció que ha descubierto una colección de contraseñas e e-mails hackeados enorme. Supone la segunda mayor filtración de datos de la historia. Estamos hablando de 772,904,991 correos, 21,222,975 contraseñas únicas y 1,160,253,228 combinaciones de contraseñas y correos. En total ¡¡más de 87Gb de datos!! La colección la ha descubierto en MEGA, gracias comentarios de lectores de su página. La ha llamado Collection #1. Su tamaño impresiona, aunque contiene recopilaciones de filtraciones anteriores.Ya la ha subido a su página (que es una base de datos pública de filtraciones). ¿Cómo compruebo si mi cuenta está ahí? Para eso es para lo que esta persona creó la página Have I Been Pwned. Entra en esta página, pon tu e-mail para comprobar si está ahí. Si no está no te preocupes, estás a salvo. Si está significa que alguna página en la que estuviera tu correo ha sido hackeada y tus datos son públicos. Esta página te dirá dónde. Pero aún así recomendamos que cambies la contraseña en todos los servicios que usen ese correo. No sólo puedes comprobar si tu correo se ha filtrado, sino que también puedes comprobar tu contraseña en esta página. Al comprobar tu contraseña verás si está en la lista. Si está, no la uses….es una de las que comprobarán automáticamente (con robots) al intentar acceder a un servicio.

Diseño Web, Gestores de contenidos, Seguridad

Si tienes una página web DEBES mantenerla actualizada. Es muy importante.

David G. Smyth (SmythSys) / 28 diciembre, 2018

Lo hemos visto cientos de veces. La gente pide una página web un año, y está muy contenta con ella. Cuando se la das al cliente está al día…Un año más tarde ellos no han entrado ni una vez para actualizarla, y eso es una granja de malware y virus. Cuando les contactas para indicárselo, o se enteran porque les sale un aviso de Google, se sorprenden y responden “¿por qué? ¡Si yo no he hecho nada!” PRECISAMENTE, por eso, porque no has hecho nada. Hay que actualizar los gestores contenidos y plugins de las páginas web. Lo que creo que muchos no se dan cuenta es que las páginas web se hacen ahora con unos “programas” que se llaman gestores de contenidos (WordPress, Prestashop, Magento, etc). Como en cualquier otro programa, se van descubriendo fallos de seguridad por el que pueden entrar hackers o se va volviendo el código obsoleto (y deja de funcionar). Además, a estos gestores se les añaden módulos, plugins o addons, que son pequeños programas a los que les pasa lo mismo (vulnerabilidades y código obsoleto). Hasta aquí es lo mismo que un Windows, un Mac o los programas dentro de estos. Y ya sería lógico actualizar por seguridad. PERO, la gran diferencia en una página web es que está en Internet 24 horas al día, disponible para hackers, robots, curiosos o aspirantes a hackers.No sabéis la de ataques que hay por segundo. Os pongo un ejemplo. Coge un servidor web, conéctalo a Internet y mira los registros (logs). A los pocos segundos ya tienes intentos de entrada por segundo. Y los atacantes (hackers, robots etc), tienen un listado de las versiones de los gestores, de los plugins y los posibles ataques que pueden hacer en cada versión. Así que sólo tienen que comprobar qué tienes, y probar cosas de su lista hasta que una entra. Es MUY sencillo. Una vez dentro pueden hacer varias cosas:– llenarte la web de malware para que cada visitante que entre reciba pop-ups, les redirijan a otras webs o se infecten. Es decir convertirte en un foco de infección.– romperte la web.– sacar datos de ella. Nota: ahora con la nueva RGPD, si te hackean la web (caso 3), tienes obligación de notificarlo a las autoridades (porque han conseguido datos personales de tus clientes). Resumen: las webs son vulnerables. Son vuestra imagen y vuestra responsabilidad. TENÉIS que mantenerlas actualizadas. Si no sabéis, contratad a alguna empresa que os haga un mantenimiento cada cierto tiempo. Si no… en poco tiempo la tendréis infectada, o inservible.

Compartir, Seguridad

Consejos para comprar por Internet con tarjeta de manera segura

David G. Smyth (SmythSys) / 3 diciembre, 2018

Es época de compras y, cada día más usuarios usan Internet para realizar sus pedidos. Pero la web está lleno de sitios preparados para timar a la gente que no toma las mínimas precauciones. Os dejamos algunos consejos para evitar que os engañen cuando uséis la tarjeta de crédito en Internet. Consejos para comprar por Internet con tarjeta de manera segura. Podéis ver los consejos en el vídeo y os los dejamos de manera resumida debajo. Cosas que tener en cuenta en las tiendas online. Comprado sólo en sitios conocidos. Desconfiad de los que no conozcáis. Desconfiad de chollos. Suelen ser el cebo para que piquen los incautos. Comprad sólo en tiendas con https. Se ve porque la dirección de Internet empieza con https, y tiene un candado gris o verde al lado. No deis vuestros datos de tarjeta para que guarde ninguna tienda. Se suele hacer en Amazon, por ejemplo, pero no es recomendable y, bajo ningún concepto, en las menos conocidas. Cuando vayáis a pagar, que sea a través de pasarela de pago o banco. Es decir que tengáis vosotros que poner los datos en la web de la pasarela o del banco, y no la tienda por vosotros. NUNCA deis la clave PIN o el código CVV (de tres dígitos detrás). Consejos para la tarjeta. No deis PIN ni código CVV a nadie. Con el CVV, la numeración de la tarjeta y la fecha de caducidad pueden realizar pagos por vosotros. Es como si les dierais la tarjeta y la clave. Activad doble autenticación en todas las tarjetas. El banco lo puede hacer por vosotros. Hay gente que tiene una tarjeta sólo para compras por Internet. Esto permite activar y desactivarla de manera rápida. Esta tarjeta especial podéis limitarla en cantidad de gasto que se puede realizar con ella. También es buena idea limitarla para que no compre en el extranjero. Si la tarjeta es contactless compra una funda para evitar pagos a distancia (en menos de 20€ no pide confirmación). Consejos al navegar cuando compres. No compres en redes públicas. Puede haber gente espiando tus datos. Es más habitual de lo que piensas. No compréis a través de correos. Pueden ser fraudulentos.

Seguridad, Sistemas

CLARA: herramienta para la auditoría obligatoria en el sector público según el ENS

David G. Smyth (SmythSys) / 26 septiembre, 2018

El Real Decreto 3/2010 regula el Esquema Nacional de Seguridad , ENS, en el ámbito de la Administración Electrónica. En el capítulo 5 establece la obligatoriedad de una auditoria de seguridad para el sector público (realmente para todos los sistemas de nivel medio y alto): “1. Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.” Las auditorías son necesarias para obtener el Certificación de Conformidad. Herramienta CLARA para realizar la auditoría de seguridad. Para poder cumplir con los requisitos del ENS, el CCN-CERT, del Centro Criptológico Nacional, ha sacado una herramienta llamada CLARA. Clara está disponible para sistemas Windows (32 y 64 bits). Clara forma parte de una serie de herramientas que el CCN-CERT ha desarrollado (como PILAR, ROCIO e INES) para que los administradores de sistemas puedan hacer análisis de sistemas. CLARA está adaptado a los requisitos actuales y lo van actualizando. Como sabemos que muchos están interesados en este tema os dejamos el programa para que experimentéis.

Diseño Web, Legalidad, Seguridad, Trucos

Formularios de Google: crear una casilla de aceptación de la Política de Privacidad

David G. Smyth (SmythSys) / 20 septiembre, 2018

Creo que nos quedaban pocos sistemas donde mostrar cómo poner la casilla de aceptación de Política de Privacidad. Ya lo hemos hecho en Html, en WordPress, en Prestashop…. Hoy os enseñamos a hacerlo en Google Forms. Cómo añadir la casilla de aceptación de la Política de Privacidad en Google Forms. El proceso es sencillo y lo podéis ver en el vídeo de este artículo. Abre un formulario de Google Forms y rellena las preguntas necesarias. Donde quieras (lo normal es al final) crea una pregunta y cambia el tipo de pregunta a “Casilla de Verificación”. En el texto de la casilla de verificación pon la frase de aceptación de la política de privacidad y un enlace a la misma. Además, es conveniente añadir una segunda capa a modo de recuadro de texto donde poner un resumen de las políticas de privacidad. Así, rápidamente, el cliente puede ver quién es el responsable del fichero, la finalidad y dónde ejercer los derechos. A mi también me gusta añadir un enlace a la política de Google, ya que los datos se van a almacenar en sus servidores. Así el cliente puede ver dicha información si quiere. En el vídeo os mostramos cómo hacerlo.

Diseño Web, Gestores de contenidos, Seguridad

Protege tu backend de WordPress, wp-admin, con contraseña adicional en .htaccess

David G. Smyth (SmythSys) / 14 septiembre, 2018

En informática siempre decimos que no hay un método de seguridad infalible. Que lo importante es añadir “capas de seguridad”. Es la suma de capas lo que securiza mejor el sistema. Hoy vamos a enseñaros a añadir otra más a vuestra web en WordPress: una contraseña adicional en tu backend (wp-admin o incluso wp-login si no tienes usuarios que usen el backend). Proteger el backend de WordPress, wp-admin, con contraseña usando htaccess. La idea es usar este artículo para generar dos cosas: un fichero .htpasswd que contenga un usuario y una contraseña encriptada. Puedes usar la web en el artículo para generarlo. Este fichero hay que ponerlo FUERA de la web, en un directorio al que el servidor pueda acceder pero que no sea público (en home o en cualquier otro). Un fichero .htaccess que debe llamar al fichero anterior, y que guardaremos en el directorio wp-admin de nuestra web (importante, no es el fichero .htacess de la raíz). De esta manera, cuando alguien escriba en el navegador tudominio/wp-admin el fichero htaccess verá que necesita usuario y contraseña, y abrirá una ventana solicitándolo. Comprobará lo que introduzcas con el fichero htpasswd. Parece un poco lata, porque habrá 2 identificaciones (usuario y contraseña de htaccess y usuario y contraseña de WordPress). Pero recordad que significa que tenéis 2 “verjas” en el panel de administración de vuestra web. Además, este primer método elimina buena parte de los ataques de fuerza bruta a la web. El fichero htaccess en el directorio wp-admin será algo como esto (puede variar): AuthType Basic AuthName “Acceso restringido con contraseña” AuthUserFile “/home/user/.htpasswds/public_html/wp-admin/passwd” require valid-user La ruta del AuthUserFile puede ser la que querías. Por ejemplo /home/user/pepe/passswordsweb Arreglos extra que hay que añadir. Esta protección extra rompe alguna funcionalidad que puede (y puede que no) tenga tu tema. Rompe la API Ajax de WordPress. También las peticiones GET/POST. Para arreglarlo tenemos que editar el fichero .htaccess creado en el directorio wp-admin (el que acabamos de crear) y añadir: <FilesMatch “(admin-ajax|admin-post)\.php”> Order allow,deny Allow from all Satisfy any </FilesMatch> Para que permita estas solicitudes. Proteger wp-login con contraseña. Sin no tienes usuarios que deban acceder a tu backend puede interesarte también proteger wp-login. No puedes hacerlo igual que en el caso anterior porque, en este caso, no es un directorio sino un fichero. Pero es similar, y también protege el admin (que es un login) Tienes que editar el .htaccess del directorio raíz de tu web, el que crea WordPress y añadir: # Stop Apache from serving .ht* files <Files ~ “^\.ht”> Order allow,deny Deny from all </Files> # Protect wp-login.php <Files wp-login.php> AuthUserFile “/home/user/.htpasswds/public_html/wp-admin/passwd” AuthName “Private access” AuthType Basic require user mysecretuser </Files> Como veis, cuando alguien quiere entrar en wp-login hace lo mismo que el fichero anterior. Hemos puesto la misma ruta del fichero, podéis tener otra. Y hemos puesto un usuario pero puedes poner valid-user. Errores 404 o redirecciones infinitas. Después de estos cambios pueden ocurrir errores 404 o redirecciones en la web. Para evitarlos edita el .htaccess del directorio raíz de tu web y añade: ErrorDocument 401 default Recordad que todos estos casos, además de proteger la web, lo que hacen es mejorar el rendimiento de tu servidor. Porque estamos elminando muchas de las las peticiones de acceso “ilícitas” y los intentos de ataque (os sorprenderían la cantidad que hay).

Información Tecnica, Noticias Informáticas, Seguridad

El timo de la llamada del falso técnico de Microsoft. CUIDADO

David G. Smyth (SmythSys) / 11 septiembre, 2018

Hoy alertamos de un timo que va apareciendo y desapareciendo por temporadas. Recientemente hemos recibido la llamada de uno de ellos, y claro respondido acorde. Y algún cliente también lo ha recibido (y nos ha llamado inmediatamente). Hoy os hablamos de la llamada del falso técnico de Microsoft. La primera vez que oímos sobre este timo, hace unos tres años, un cliente había “picado” y había pagado para la “reparación”. Después, hace un par de años, otro cliente nos llamó porque casi fue víctima del mismo timo En el último momento se lo pensó mejor y nos llamó para verificarlo. Desde entonces, ha estado volviendo cada cierto tiempo. Casi cada año la guardia civil recuerda este timo. Y Microsoft también ha avisado sobre él. El timo tiene variantes, pero básicamente consiste en: 1) Una persona que te llama haciéndose pasar por técnico de Microsoft (en otras ocasiones simplemente técnico sin mencionar empresa). En la mayoría de las ocasiones tiene acento extranjero, y habla como si llamara desde un SAT oficial (tono y vocabulario). 2) Una vez se ha puesto en contacto contigo, procede a intentar asustarte. De nuevo hay variantes: tu ordenador está infectado se ha detectado que tu ordenador está mandando spam. Tu ordenador se está usando para fines delictivos etc 3) Como no, el siguiente paso es darte la “solución”. El debe conectarse para poder arreglarlo, para limpiar tu ordenador, para analizarlo, para detener el spam etc etc. Es importante hacerlo lo antes posible. 4) Para poder conectarse tu tienes que o hacerle un ingreso/pago por sus servicios, instalar un programa desde una web que te deja (y que obviamente te llenará de todo) o pinchar en un enlace que te va a mandar para descargar su programa. Los riesgos de aceptar son muchos. Por un lado si te pide dinero la pérdida obvia de dicho dinero. Pero además, estás permitiendo el acceso a una persona que desconoces. En el mejor de los casos instalará virus, troyanos etc que obtendrán tus datos y convertirán tu ordenador en parte de una botnet. O te pedirá dinero por “la reparación realizada”. Estos son los amables. Pero en muchos casos, una vez dentro de tu ordenador, pueden cifrar los datos y pedirte dinero para que recuperes la información, chantajearte con datos que tienes, etc. No dejes a nadie conectarse a tu ordenador si no es de confianza. Sigue los consejos de OSI, no te fies de nadie que no sea conocido. Verifica las identidades antes de aceptar que se conecten a tu ordenador. Ante la duda, pide una segunda opinión. Microsoft sólo da soporte a través de sus canales de confianza (cuidado, esta gente hace páginas que suplantan dichos canales). Si te ocurre, denuncia.

Información Tecnica, Seguridad

Autenticación de múltiples factores y por qué debéis usarlo. Las contraseñas no son seguras.

David G. Smyth (SmythSys) / 17 julio, 2018

Hoy explicamos qué es la autenticación de múltiples factores y por qué debéis usarla. Hace tiempo que las contraseñas, por largas que sean, no son seguras. La mejor manera de protegeros son los factores múltiples. Qué es la autenticación de múltiples factores. En el vídeo os explicamos que una contraseña sólo es como poner sólo una puerta. Es fácil saltársela. La mejor manera de proteger tu vida digital es con varias capas, varias puertas. De ahí la autenticación múltiple. Se suele usar: Algo que sabes. Algo que tienes. Algo que eres. Os recomendamos activarlo en Facebook, WhatsApp, el correo, vuestras webs y todos los servicios importantes. Recordad que ahora podemos decir que nuestros dispositivos son seguros para que en ellos no nos pregunte todo el rato la contraseña. Así que ya no hay razón para no usarlo.

Diseño Web, Gestores de contenidos, Legalidad, Seguridad

Plugins para guardar registros de actividad y auditoria de seguridad en WordPress

David G. Smyth (SmythSys) / 13 junio, 2018

Una de las cosas que implica la nueva RGPD es que se debe hacer una vigilancia proactiva de la seguridad y del tratamiento de datos personales en nuestras webs. Y es muy aconsejable tener un registro de todo lo que hacemos y hacen nuestros usuarios para poder demostrar que hemos cumplido. O para defendernos ante posibles sanciones. En estos casos, es muy útil tener un plugin que registre los eventos de nuestra web, tanto de usuarios como administrativos, y mantenga un log de ellos. Si ya nos avisa…fantástico. Hoy os dejamos dos que hacen ambas cosas. Plugins de registro de actividad y auditorias de seguridad en WordPress. WP Security Audit Log. Este plugin es una pasada. Mantiene un registro de todos los cambios en tu página o multisite de WordPress. Así puedes: – identificar actividades sospechosas y evitarlas antes de que causen males mayores. – Guardar las actividades de los usuarios para poder, por ejemplo, saber cuando se ha iniciado sesión, borrado contenido o creado una cuenta. – Ver cambios de contenido y quien los ha hecho. – Ver inicios de sesión de usuarios. – Se integra con otros plugins como Woocommerce o Yoast. Y mucho más. Podéis ver todos los eventos aquí. Todo esto lo puedes ver desde un registro de actividad en el backend. Guarda fecha y hora, usuarios, roles, IP de origen y url de la entrada. Además puedes recibir alertas según la actividad detectada, recibir correos, enviar alertas a ciertos usuarios etc. Todo esto gratis (aunque tiene una versión premium). Los avisos automáticos son de pago. Activity Log. Un pugin muy similar al anterior, también muy personalizable. En este caso los avisos automáticos son gratuitos. Puedes exportar los logs, tiene una API de exportación, tiene compatibilidad para varios idiomas…Y avisos de todos estos eventos (y más). -WordPress – Core Updates -Posts – Created, Updated, Deleted -Pages – Created, Updated, Deleted -Custom Post Type – Created, Updated, Deleted -Tags – Created, Edited, Deleted -Categories – Created, Edited, Deleted -Taxonomies – Created, Edited, Deleted -Comments – Created, Approved, Unproved, Trashed, Untrashed, Spammed, Unspammed, Deleted -Media – Uploaded, Edited, Deleted -Users – Login, Logout, Login has failed, Update profile, Registered and Deleted -Plugins – Installed, Updated, Activated, Deactivated, Changed -Themes – Installed, Updated, Deleted, Activated, Changed (Editor and Customizer) -Widgets – Added to a sidebar / Deleted from a sidebar, Order widgets -Menus – A menu is being Created, Updated, Deleted -Setting – General, Writing, Reading, Discussion, Media, Permalinks -Options – Can be extend by east filter -Export – User download export file from the site -WooCommerce – Monitor all shop options -bbPress – Forums, Topics, Replies, Taxonomies and other actions Como veis…ambos plugins son muy potentes, con avisos de muchísimos eventos y excelentes para auditorias RGPD, auditorias de seguridad o evitar hackeos.