Cómo configurar un registro de auditoría de WordPress en menos de 10 minutos

Inicias sesión en WordPress y algo va mal.

Un plugin que no instalaste está activo. Una publicación se editó a las 2 a. m. Se cambió el rol de un usuario y nadie de tu equipo lo hizo.

Buscas respuestas y no encuentras nada. Sin registro. Sin historial. No hay forma de saber qué pasó o quién lo hizo.

Ese es el estado predeterminado de todos los sitios de WordPress. WordPress no registra las acciones de los usuarios. Nunca lo ha hecho.

No hay un registro integrado de quién publicó qué, quién cambió una configuración, quién inició sesión desde dónde o quién eliminó algo. Si algo sale mal en tu sitio, empiezas desde cero a menos que configures un registro antes de que ocurra el problema.

Eso es lo que cubre este tutorial. Te guiaré para configurar un registro de auditoría completo de WordPress.

Al final, sabrás exactamente qué está sucediendo en tu sitio, quién lo está haciendo y qué hacer cuando algo parezca incorrecto.

Aquí están los puntos clave:

• WordPress no tiene un registro de auditoría integrado. No se registra nada por defecto, lo que significa que sin un plugin ya en funcionamiento antes de que ocurra un problema, ese historial no existe.
• El registro solo captura eventos desde el momento de la activación en adelante. Si estás configurando esto después de un incidente, el registro no recuperará lo que sucedió antes de que lo instalaras.
• Activity Log by Duplicator etiqueta cada evento con un nivel de gravedad (Crítico, Alto, Medio, Bajo o Info), para que puedas priorizar lo que realmente importa en lugar de desplazarte por cientos de entradas rutinarias.
• Emparejar Activity Log by Duplicator con Duplicator Pro te da dos capas de protección: un registro para entender qué sucedió y una copia de seguridad para restaurar si necesitas actuar sobre ello.

Tabla de Contenidos

WordPress no mantiene un registro de auditoría por defecto

La mayoría de los propietarios de sitios asumen que WordPress está rastreando cambios en algún lugar en segundo plano. No lo está.

No hay un registro nativo de acciones de usuario en el núcleo de WordPress. Ningún registro de quién editó una publicación, quién instaló un plugin, quién cambió el correo electrónico de administrador de tu sitio o quién inició sesión desde una dirección IP que no reconoces.

Cuando algo sale mal, esa información se pierde a menos que un plugin ya la estuviera capturando.

Un registro de auditoría llena ese vacío. Es un registro con marca de tiempo de cada acción realizada en tu sitio, vinculada a una cuenta de usuario y una dirección IP específicas.

Piénsalo como una cámara de seguridad para tu administrador de WordPress. No previene problemas, pero te dice exactamente qué sucedió y quién fue el responsable.

Un registro de auditoría completo cubre estas categorías de actividad:

• Inicios y cierres de sesión de usuarios, incluidos intentos de inicio de sesión fallidos y sesiones terminadas desde ubicaciones desconocidas
• Cambios de contenido, incluidas ediciones de publicaciones, cambios de estado y eliminaciones
• Actividad de plugins y temas, incluidas instalaciones, activaciones, desactivaciones y actualizaciones
• Cambios en la configuración de WordPress, incluidas modificaciones en la URL de tu sitio, correo electrónico de administrador, estructura de enlaces permanentes y configuración de registro de usuarios
• Cambios en la cuenta de usuario, incluidos registros de nuevos usuarios, modificaciones de roles y restablecimientos de contraseña
• Actividad de la biblioteca de medios, incluidas cargas, ediciones y eliminaciones

Una cosa que debes saber antes de empezar: un registro solo captura eventos desde el momento en que se activa. Si algo sucedió en tu sitio antes de instalar un plugin de registro, ese historial no se puede recuperar del registro. Configurar esto ahora, antes de que algo salga mal, es el objetivo principal.

Cómo configurar un registro de auditoría de WordPress

Configurar un registro de auditoría para WordPress lleva menos de diez minutos. Aquí está el proceso completo:

• Paso 1: Instalar Activity Log by Duplicator: pon en marcha el plugin en tu sitio, lo que lleva menos de dos minutos y no requiere codificación.
• Paso 2: Revisar la configuración predeterminada de eventos: confirma que las categorías de actividad correctas estén habilitadas para tu tipo de sitio, pero las predeterminadas cubren la mayoría de los sitios.
• Paso 3: Configurar notificaciones por correo electrónico: configura alertas para eventos de gravedad Crítica y Alta para que te enteres de los problemas de inmediato en lugar de descubrirlos días después durante una revisión manual del registro.
• Paso 4: Leer tu primera entrada de registro: aprende qué contiene cada entrada, qué significa la codificación por colores de gravedad y cómo filtrar el registro para que puedas encontrar un evento específico rápidamente en un sitio activo.
• Paso 5: Responder a un evento sospechoso: un registro de auditoría no sirve de nada si no puedes recuperarte de una actividad sospechosa. Restaura una copia de seguridad limpia con un solo clic usando Duplicator Pro (que se combina con Activity Log).

Paso 1: Instalar Activity Log by Duplicator

Activity Log by Duplicator es un plugin de WordPress que registra cada acción significativa en tu sitio en tiempo real. Rastrea más de 60 tipos de eventos en nueve categorías:

• Usuarios
• Contenido
• Medios
• Plugins
• Temas
• Configuración principal de WordPress
• Apariencia
• Taxonomías
• Configuración del sitio

Cada evento se etiqueta con un nivel de gravedad (Crítico, Alto, Medio, Bajo o Info), para que puedas priorizar lo que importa en lugar de desplazarte por una lista de cientos de entradas.

El plugin también oculta datos confidenciales automáticamente. Si una contraseña o clave API está involucrada en un evento registrado, ese valor se oculta en el registro. Obtienes el registro de auditoría sin exponer credenciales.

Para instalarlo, compra Activity Log, que comienza en $29 anuales. También puedes obtenerlo gratis en el plan Duplicator Elite, que incluye WP Media Cleanup y Duplicator Pro.

Descarga el plugin y súbelo a WordPress.

Activa tu clave de licencia en Activity Log » Settings. Después de la activación, verás una marca de verificación verde. Esa es tu confirmación de que el plugin está funcionando.

¡El registro comienza ahora!

Paso 2: Revisar la configuración de eventos predeterminada

Activity Log by Duplicator rastrea más de 60 tipos de eventos. Algunos sitios no necesitarán todas las categorías activas, así que dedica unos minutos a comprobar qué está habilitado antes de empezar a depender del registro.

Desde tu barra lateral, ve a Activity Log » Settings, luego haz clic en la pestaña Events.

Verás una lista de las nueve categorías de seguimiento: Usuario, Contenido, Medios, Plugin, Tema, WordPress, Apariencia, Taxonomía y Configuración. Cada categoría se puede activar o desactivar.

Si quieres ver qué se incluye en cada categoría, desplázate hacia abajo hasta Tipos de eventos registrados. Haz clic en la categoría sobre la que tengas dudas.

Para un sitio típico, los valores predeterminados cubren la actividad más importante. Los inicios de sesión, los cambios de contenido, las instalaciones de complementos y los cambios de configuración se registran de forma predeterminada.

Si administras un sitio con varios autores, un sitio de membresía o cualquier sitio donde varias personas tengan acceso de administrador o editor, abre la categoría Usuario y asegúrate de que esté completamente habilitada.

El registro de actividad capturará cambios de roles, restablecimientos de contraseñas y registros de nuevos usuarios. Estos eventos deben supervisarse para detectar problemas de cuenta.

En un sitio con mucho tráfico, un registro completamente habilitado crece rápidamente. Podrías considerar deshabilitar categorías que tengan principalmente eventos de baja gravedad, como Apariencia o Taxonomía.

Cuando abras el registro, empezarás a ver entradas que se pueblan a los pocos minutos de la actividad normal del sitio.

Paso 3: Configurar notificaciones por correo electrónico

El registro solo es útil si lo ves. Revisarlo manualmente todos los días no es realista, por eso las notificaciones por correo electrónico son importantes.

Recibirás alertas en el momento en que ocurra un evento de alta gravedad, por lo que te enterarás de un inicio de sesión sospechoso o de la instalación inesperada de un complemento de inmediato.

Desde tu barra lateral, ve a Registro de actividad » Ajustes y haz clic en la pestaña Notificaciones. Activa las notificaciones por correo electrónico e introduce la dirección a la que deseas que se envíen las alertas.

Verás una lista de tipos de eventos, cada uno con un interruptor para activar los correos electrónicos. Recomiendo habilitar las notificaciones para eventos de gravedad Crítica y Alta. Estos cubren las acciones con implicaciones de seguridad reales: picos de inicios de sesión fallidos, cambios de roles de administrador, instalaciones de complementos y modificaciones de configuración principal.

Deja los eventos de gravedad Info, Media y Baja solo para registro por ahora. Esas categorías cubren la actividad rutinaria de contenido como actualizaciones de publicaciones, adiciones de etiquetas y cargas de medios.

Habilitar todas las alertas por correo electrónico genera ruido que te acostumbra a ignorar tu bandeja de entrada, lo que va en contra del propósito. Sin embargo, esto depende completamente de ti y de tus preferencias.

Una nota rápida sobre lo que significan los niveles de gravedad:

• Crítica cubre acciones con un gran impacto en todo el sitio.
• Alta cubre cambios relevantes para la seguridad que merecen atención inmediata: usuarios eliminados, inicios de sesión fallidos o roles de usuario cambiados.
• Media cubre la actividad editorial estándar: eliminaciones de páginas o desactivaciones de complementos.
• Baja cubre cambios menores o cosméticos: establecer imágenes destacadas, actualizar publicaciones o aprobar comentarios.
• Info cubre la actividad estándar como tus inicios y cierres de sesión.

Para confirmar que las notificaciones funcionan, cierra sesión e intenta con credenciales de inicio de sesión falsas. Un evento de inicio de sesión fallido es de gravedad Alta. Si tu correo electrónico de notificación llega en uno o dos minutos, está configurado correctamente.

Paso 4: Leer tu primera entrada de registro

Saber cómo leer una entrada de registro convierte el registro de auditoría de un volcado de datos en algo útil.

Cada fila del registro representa un evento único. Leyendo de izquierda a derecha, verás el indicador de nivel de gravedad, la marca de tiempo, la descripción del evento, el usuario que lo activó, la dirección IP de la que provino la acción y la fuente.

Los niveles de gravedad tienen códigos de colores para un escaneo rápido.

• ​​🔴 Alto
• 🟡 Medio
• 🔵 Bajo

En un sitio web saludable, la mayoría de las entradas serán amarillas y azules. Las entradas rojas merecen ser leídas cada vez que las veas.

Para filtrar el registro, utiliza los controles de la parte superior. Puedes filtrar por categoría, nivel de gravedad o rango de fechas.

En un sitio web activo con varios usuarios, el filtrado es la forma de encontrar algo rápidamente. Empieza por la gravedad, luego reduce por rango de fechas a la ventana que te interese.

Cómo se ve lo normal: inicios de sesión desde tu dirección IP habitual, actualizaciones de contenido de cuentas de autor conocidas y actualizaciones de plugins durante tu ventana de mantenimiento habitual. Después de una semana revisando el registro, desarrollarás una clara sensación de la línea base de tu sitio. Cualquier cosa fuera de ese patrón merece una segunda mirada.

Paso 5: Responder a un evento sospechoso

Encontrar algo malicioso en el registro solo es útil si sabes qué hacer a continuación. El rastro de auditoría te dice lo que sucedió. Duplicator Pro te permite deshacerlo.

Antes de tomar cualquier medida, registra los detalles completos del evento: marca de tiempo, cuenta de usuario, dirección IP y exactamente qué se cambió. Exporta la entrada del registro como un archivo CSV o JSON usando el botón de exportación en la parte superior de la pantalla del Registro de actividad.

Si estás ejecutando Duplicator, encuentra tu copia de seguridad limpia más reciente. Quieres saber exactamente qué tienes antes de empezar a hacer cambios. Una copia de seguridad limpia de antes del evento sospechoso es tu solución para todos los escenarios a continuación.

Aquí están los cuatro escenarios más comunes para encontrar actividad sospechosa en WordPress y qué hacer en cada uno de ellos.

Un inicio de sesión desde una dirección IP desconocida

Comprueba si la cuenta de usuario pertenece a un miembro real del equipo y pídele que confirme el inicio de sesión. Si no pueden confirmarlo, ve a Usuarios » Todos los usuarios, abre el perfil de ese usuario y desplázate hasta el final.

Haz clic en Cerrar sesión en todas partes para terminar todas las sesiones activas de esa cuenta. Luego fuerza un restablecimiento de contraseña. Si existe alguna posibilidad de que las credenciales de todo el sitio se hayan compartido o reutilizado, cambia también la contraseña de administrador.

Comprueba el registro de otros eventos vinculados a la misma dirección IP en la misma ventana de tiempo. Un inicio de sesión rara vez es lo único que toca una cuenta comprometida.

Se instaló un plugin que no instalaste

Desactiva y elimina el plugin inmediatamente, a menos que alguien de tu equipo pueda confirmar que lo instaló intencionalmente. Luego, comprueba el registro de otros eventos vinculados al mismo usuario o dirección IP en la misma ventana de tiempo.

La instalación de un plugin rara vez ocurre por sí sola. Busca cambios en la configuración, modificaciones de roles de usuario o ediciones de archivos que enmarquen la instalación.

Si el registro muestra que el plugin estuvo activo durante más de unas pocas horas antes de que lo detectaras, considera el sitio como potencialmente modificado.

Revertir manualmente cada cambio que un plugin malicioso pueda haber realizado no es realista. Es mucho más fácil hacer una restauración completa desde una copia de seguridad conocida y limpia.

Abre Duplicator Pro, ve a Copias de seguridad e identifica la copia de seguridad más reciente que sea anterior al evento de instalación. Restaura esa copia de seguridad con un solo clic.

Ha aparecido un cambio de configuración que nadie reclama

La entrada del registro mostrará la configuración específica que se cambió y, en muchos casos, el valor al que se cambió. Compare la configuración actual con la que debería ser.

Si es un cambio único, puede revertirlo manualmente. Vaya a la pantalla de configuración relevante y restaure el valor correcto.

Si el registro muestra múltiples configuraciones modificadas en una ventana de tiempo corta, no intente reconstruirlas una por una. Abra Duplicator Pro, busque una copia de seguridad anterior a la ventana de eventos y restáurela.

Un cambio de configuración aislado es una solución de cinco minutos. Un barrido de cambios coordinados es un trabajo de recuperación, y Duplicator Pro lo maneja en unos pocos clics.

Después de restaurar, confirme la fecha de la copia de seguridad en el panel de Duplicator Pro y verifique el registro de actividad para asegurarse de que la versión restaurada sea anterior a cada entrada sospechosa.

Se elevó el rol de un usuario sin explicación

Los cambios de rol son eventos de alta gravedad. Si no realizó el cambio, trate la cuenta como potencialmente comprometida.

Revierta el rol inmediatamente yendo a Usuarios » Todos los usuarios, haciendo clic en la cuenta en cuestión y cambiando el rol en el menú desplegable Rol.

Luego revise el registro de actividad completo de esa cuenta de usuario desde el momento en que se elevó el rol hacia adelante. Busque cualquier acción que los permisos elevados habrían hecho posible: instalaciones de plugins, cambios de configuración, creaciones de nuevos usuarios o modificaciones de archivos.

Si esas acciones existen en el registro, use Duplicator Pro para restaurar una copia de seguridad anterior al cambio de rol. Es más rápido y confiable que buscar cada cambio que una cuenta elevada pueda haber realizado.

Preguntas Frecuentes (FAQs)

Su sitio tiene memoria ahora

Antes de instalar Activity Log by Duplicator, tu sitio de WordPress no registraba nada. Cada inicio de sesión, cambio de configuración e instalación de plugin ocurría y desaparecía sin dejar rastro. Si algo salía mal, tenías que adivinar.

Ese ya no es el caso. Tienes un registro continuo de cada acción significativa en tu sitio, etiquetada por usuario, marca de tiempo, dirección IP y nivel de gravedad.

Sabes cómo leer una entrada, cómo filtrar lo que importa y qué hacer cuando algo parece ir mal. Ese es un cambio significativo en la cantidad de control que tienes sobre tu propio sitio.

De ahora en adelante, haz de la revisión de registros un hábito. Revisa el registro de actividad una vez por semana, concéntrate primero en las entradas de Nivel Alto y Crítico, e investiga cualquier cosa fuera del patrón normal de tu sitio.

La mayoría de las veces no será nada. Ocasionalmente, será la cosa que necesitabas detectar a tiempo.

Cada acción no registrada en tu sitio es un punto ciego. Se instala un plugin, se cambia una configuración, se compromete una cuenta y, sin un rastro de auditoría, te enteras semanas después, si es que te enteras. El registro no previene problemas, pero significa que nunca te quedarás adivinando sobre lo que sucedió o quién lo hizo.

Más de 1.5 millones de profesionales de WordPress utilizan Duplicator para proteger sus sitios. Activity Log by Duplicator te proporciona un registro completo y consultable de todo lo que sucede en tu sitio, con triaje basado en la gravedad, alertas por correo electrónico y redacción de datos sensibles incorporada.

Empareja Activity Log con Duplicator Pro, y tendrás un registro para entender lo que sucedió y una copia de seguridad de la que restaurar si necesitas actuar sobre ello.

Si este tutorial te ha sido útil, estas guías también merecen ser leídas.

• La mayoría de los plugins de registro de actividad de WordPress te dicen qué se rompió; uno te ayuda a solucionarlo.
• Lista de verificación de seguridad de WordPress: Guía paso a paso para proteger tu sitio
• Lista de verificación de mantenimiento de WordPress: 20 tareas esenciales (2026)
• Cómo crear un sitio de staging de WordPress (para pruebas seguras)
• Deja de quedarte bloqueado fuera de WordPress: La guía de prevención que desearía haber tenido
• WordPress no rastrea la actividad de forma predeterminada: esto es lo que hago al respecto
• Cómo rastrear CADA cambio en tu sitio de WordPress (antes de que se rompa)