What's the difference between a user activity log and a security log?

They overlap significantly. A user activity log records meaningful actions tied to specific accounts like logins, content changes, role modifications, profile edits. A security log typically focuses on authentication events and potential threats. Duplicator's Activity Log covers both, which is why the severity levels (Critical through Info) matter: security-relevant events surface at High or Critical, everything else logs quietly below.

Posso exportar o log para compartilhar com um cliente?

Yes. Filter the log to the relevant date range and category, then click the Export button in the log viewer. CSV is the most client-friendly format. It opens cleanly in Excel or Google Sheets and reads like a straightforward record of site activity.

Como Rastrear Atividade de Usuários do WordPress em Sites Multi-Usuário e de Clientes

Q: Posso rastrear a atividade do WordPress sem um plugin?

Technically, yes. Your server logs record HTTP requests, and a developer can query the WordPress database directly. But neither approach ties actions to specific user accounts in a readable way, and neither gives you real-time alerts. For practical, user-level tracking, an activity log plugin is the only approach that's actually usable without significant technical overhead.

Q: Como verifico a atividade do usuário no WordPress?

WordPress has no built-in user history view. With Duplicator’s Activity Log plugin installed, open the Activity Log viewer and filter by the username you want to review. Every recorded action tied to that account will appear in chronological order. It's the closest thing to a per-user audit trail WordPress has.

Q: É legal rastrear a atividade do usuário em um site?

For backend activity (tracking what logged-in users do inside wp-admin), yes. Privacy regulations like GDPR are primarily concerned with tracking front-end visitors, not monitoring the actions of authorized users operating within your system. That said, it's good practice to note in your privacy policy or terms of service that admin activity is logged, particularly if you're managing a site on behalf of clients or a team.

Q: Preciso do Duplicator Pro para usar o plugin Activity Log?

No. Duplicator Activity Log is a standalone plugin with its own plans starting at $29/year for one site. It works independently of Duplicator Pro. However, if you're already using Duplicator, the Elite bundle includes Activity Log, so it's worth checking whether upgrading makes more sense than purchasing separately.

Q: Um log de atividade deixará meu site lento?

There’s no measurable impact on front-end performance. The plugin hooks into native WordPress actions and writes to a single dedicated database table. Your visitors won't notice anything different about page load times.

Q: O que devo fazer se vir uma entrada suspeita no meu log?

Note the full details: timestamp, username, IP address, and the exact event description. If the account isn't one you recognize, go to Users » All Users, open the profile, scroll to the bottom, and click Log Out Everywhere to terminate all active sessions. Force a password reset. If the account made significant changes before you caught it, restore from a backup that predates the first suspicious entry.

Você faz login no seu site e algo está errado. Um plugin que você não tocou sumiu. Uma postagem foi editada às 2 da manhã. Uma conta de usuário que você não reconhece tem acesso de administrador.

E o WordPress não registra o histórico do usuário. Você não tem como saber o que aconteceu ou quem fez isso.

O WordPress não registra a atividade do usuário por padrão. Cada alteração no seu site acontece silenciosamente, a menos que você configure o rastreamento de atividade.

Neste tutorial, mostrarei como rastrear cada ação significativa no seu site (incluindo a atividade do usuário). Ao final, você terá uma trilha de auditoria funcionando e regras de alerta rodando em segundo plano, quer você esteja verificando ou não.

Aqui estão os principais pontos:

O WordPress não tem um registro de atividade do usuário integrado. Assim que uma alteração acontece sem um plugin ativo, esse registro é perdido permanentemente.
O Activity Log do Duplicator rastreia mais de 60 tipos de eventos, incluindo logins, tentativas de login com falha, alterações de função, edições de perfil e modificações de conteúdo.
O plugin captura eventos apenas a partir do momento em que é ativado. Instale-o antes que um problema aconteça, não depois.
Ativar as notificações o poupará de ter que verificar o log manualmente.

Sumário

Por que Rastrear a Atividade do Usuário no WordPress?
Como Rastrear a Atividade do Usuário no WordPress
Perguntas Frequentes (FAQs)
Você Sabe o Que Está Acontecendo no Seu Site. Mantenha Assim.

Por que Rastrear a Atividade do Usuário no WordPress?

A atividade do usuário é difícil de antecipar, mais difícil de auditar depois do fato, e pode levar a grandes consequências se for perdida.

A maioria dos sites WordPress tem vários usuários: editores publicando conteúdo, administradores instalando plugins ou clientes fazendo login para revisar rascunhos. Sem um log de atividade, não há registro de quem publicou o quê, quem alterou uma configuração ou qual conta estava ativa antes de algo quebrar.

Algumas coisas que só aparecem no rastreamento em nível de usuário:

Padrões de login

Quem fez login, quando e de qual endereço IP. Se uma conta faz login de um local que você nunca viu às 3 da manhã e começa a fazer alterações, você precisará saber disso.

Alterações de função

Se alguém eleva um assinante a administrador, o WordPress não o alertará. Sem um log, você pode não perceber até que essa conta faça algo prejudicial.

Tentativas de login falhadas

Um único login com falha é ruído. Quinze tentativas de login com falha do mesmo IP em dez minutos podem ser um ataque de força bruta em andamento. O rastreamento de atividade do usuário captura esse padrão.

Edições de perfil

Alterações de senha, atualizações de endereço de e-mail e modificações de nome de exibição são alterações silenciosas que podem indicar um sequestro de conta ou um usuário cobrindo seus rastros.

Alterações de conteúdo vinculadas a usuários específicos

Saber que uma postagem foi editada é útil. Saber que foi editada por uma conta de usuário que não deveria ter acesso a ela é o que realmente diz que algo deu errado.

Se você gerencia um site com mais de um usuário, rastrear especificamente a atividade do usuário (não apenas eventos gerais do site) permitirá que você solucione problemas com sucesso quando algo der errado.

Como Rastrear a Atividade do Usuário no WordPress

As etapas abaixo detalham a instalação de um plugin de log de atividades, a configuração de quais eventos de usuário ele rastreia, a configuração de alertas e a recuperação de registros quando você precisar deles. Toda a configuração leva cerca de 15 minutos.

Veja o que você fará:

Instale e ative o plugin: coloque o Activity Log em funcionamento e confirme se ele está capturando eventos antes de passar para qualquer outra etapa.
Configure suas configurações de eventos e leia o log: revise quais das nove categorias de eventos estão ativas, defina seu período de retenção de log e aprenda a ler uma entrada de log antes que o log fique cheio.
Filtre e pesquise o log: use filtros de categoria, gravidade e intervalo de datas para encontrar ações específicas do usuário rapidamente, em vez de rolar por centenas de entradas.
Configure alertas por e-mail para eventos críticos: configure notificações para eventos de gravidade Alta e Crítica para ser alertado imediatamente quando algo importante acontecer, sem verificar o log manualmente.
Exporte seu log de atividades: baixe registros como CSV ou JSON para relatórios de clientes, documentação de conformidade ou tickets de suporte.

Etapa 1: Instalar o Activity Log do Duplicator

Especificamente para rastreamento de atividades do usuário, eu uso o Activity Log by Duplicator. Ele rastreia mais de 60 tipos de eventos, incluindo logins, tentativas com falha, alterações de função, edições de perfil e alterações de conteúdo.

Você terá tudo o que precisa para monitorar o que seus usuários estão fazendo.

Plugin de Log de Atividades do Duplicator

Os planos começam em US$ 29/ano para um site. Ele também está incluído no pacote Duplicator Elite se você já estiver usando o Duplicator para backups e migrações.

Obtenha o Activity Log e baixe o arquivo zip da sua conta. Instale-o no seu painel do WordPress como um novo plugin.

Em seguida, insira sua chave de licença na tela de boas-vindas. Assim que estiver conectado à sua conta, o registro já terá começado.

Etapa 2: Ler o seu Log de Atividade do Usuário

Antes de confiar no log, gaste dois minutos confirmando se ele está rastreando as coisas certas.

Vá para Activity Log » Configurações e clique na guia Eventos. Você verá nove categorias, cada uma com um alternador:

Usuário
Conteúdo
Mídia
Plugin
Tema
WordPress
Aparência
Taxonomia
Configurações

Configurações de eventos do Activity Log

Expanda cada categoria em Tipos de Eventos Registrados para ver a lista completa do que ela captura. Para rastrear a atividade do usuário, certifique-se de que Usuário esteja marcado.

Depois de revisar as configurações, navegue até Activity Log no menu de administração esquerdo. Cada entrada mostra, da esquerda para a direita:

Gravidade
Data/hora
Usuário
Descrição do evento
Objeto
Endereço IP
Fonte

As cores de gravidade informam o quão urgente uma entrada é rapidamente. Vermelho para Alta, amarelo para Média, azul para Baixa.

Verifique o log agora mesmo. Em seguida, saia e faça login novamente. Se você vir entradas de login/logout de usuário lá, tudo está funcionando.

Etapa 3: Filtrar e Pesquisar no Log

O log enche rapidamente em um site ativo. Sem filtragem, você estará rolando por centenas de entradas para encontrar a que importa.

Os controles de filtro ficam na parte superior da visualização do log e são o que tornam o log útil. Você pode filtrar por categoria, nível de gravidade e intervalo de datas. Use-os juntos.

Aqui está um exemplo real de como isso acontece. Notei que uma postagem foi publicada e eu não a escrevi. Abri o log, filtrei pela categoria Conteúdo e defini o intervalo de datas para o dia anterior.

Uma entrada. Um nome de usuário que eu não reconheci. Esse é o tipo de coisa que levaria 20 minutos para rastrear de qualquer outra forma — e isso assumindo que eu soubesse por onde começar.

Para a revisão diária de logs, filtre por severidade Alta e Crítica. Isso reduz o ruído significativamente e torna o log escaneável em menos de um minuto.

Etapa 4: Configurar Alertas por E-mail para Eventos Críticos

Quando você verifica seu log de atividades manualmente, precisa se lembrar de fazê-lo. Alertas resolvem esse problema.

Vá para Log de Atividades » Configurações e clique na aba Notificações. Ative as notificações por e-mail e insira seu endereço de e-mail.

Em seguida, escolha quais níveis de severidade acionam um alerta. Ative Crítica e Alta.

Deixe Média, Baixa e Informacional como entradas apenas de log. Elas são úteis para investigação, mas não valem uma interrupção na caixa de entrada.

Os eventos que valem a pena alertar sobre atividade do usuário:

Tentativas de login falhadas (especialmente repetidas do mesmo IP)
Nova conta de administrador criada
Função do usuário alterada
Plugin desativado ou excluído
Configurações principais alteradas (e-mail do administrador, URL do site)

Antes de confiar nisso, teste. Certifique-se de saber qual endereço de e-mail está recebendo os alertas, depois saia e insira a senha errada deliberadamente.

Faça login novamente, e um evento de login falhado de severidade Alta deve acionar um e-mail em poucos minutos.

Etapa 5: Exportar o seu Log de Atividade

A maioria das pessoas não pensa em exportar até que precise urgentemente de um registro de algo. Vale a pena saber como isso funciona antes que esse momento chegue.

Você terá duas opções de formato:

CSV para planilhas e relatórios de clientes
JSON para tickets de suporte e documentação técnica

Aplique filtros antes de exportar. Baixar o log completo em um site movimentado produz um arquivo grande e difícil de ler.

Filtre pelo intervalo de datas e categoria de eventos relevantes primeiro, depois exporte apenas o que você precisa.

Um exemplo prático: um cliente pergunta o que mudou em seu site no mês passado. Filtre pelo intervalo de datas, exporte para CSV e anexe ao seu relatório.

Perguntas Frequentes (FAQs)

Posso rastrear a atividade do WordPress sem um plugin?

Tecnicamente, sim. Seus logs do servidor registram requisições HTTP, e um desenvolvedor pode consultar o banco de dados do WordPress diretamente. Mas nenhuma abordagem vincula ações a contas de usuário específicas de forma legível, e nenhuma oferece alertas em tempo real. Para rastreamento prático em nível de usuário, um plugin de log de atividades é a única abordagem que é realmente utilizável sem sobrecarga técnica significativa.

Como verifico a atividade do usuário no WordPress?

O WordPress não possui uma visualização de histórico de usuários integrada. Com o plugin Activity Log do Duplicator instalado, abra o visualizador de Log de Atividades e filtre pelo nome de usuário que deseja revisar. Cada ação registrada vinculada a essa conta aparecerá em ordem cronológica. É o mais próximo que o WordPress chega de uma trilha de auditoria por usuário.

É legal rastrear a atividade do usuário em um site?

Para atividade de back-end (rastreamento do que usuários logados fazem dentro do wp-admin), sim. Regulamentações de privacidade como a GDPR estão principalmente preocupadas em rastrear visitantes do front-end, não em monitorar as ações de usuários autorizados operando dentro do seu sistema. Dito isso, é uma boa prática observar em sua política de privacidade ou termos de serviço que a atividade administrativa é registrada, especialmente se você estiver gerenciando um site em nome de clientes ou de uma equipe.

Preciso do Duplicator Pro para usar o plugin Activity Log?

Não. O Duplicator Activity Log é um plugin independente com seus próprios planos a partir de US$ 29/ano para um site. Ele funciona independentemente do Duplicator Pro. No entanto, se você já usa o Duplicator, o pacote Elite inclui o Activity Log, então vale a pena verificar se um upgrade faz mais sentido do que comprar separadamente.

Um log de atividade deixará meu site lento?

Não há impacto mensurável no desempenho do front-end. O plugin se conecta a ações nativas do WordPress e escreve em uma única tabela de banco de dados dedicada. Seus visitantes não notarão nada diferente sobre os tempos de carregamento da página.

Qual é a diferença entre um log de atividade do usuário e um log de segurança?

Eles se sobrepõem significativamente. Um log de atividade do usuário registra ações significativas vinculadas a contas específicas, como logins, alterações de conteúdo, modificações de função, edições de perfil. Um log de segurança normalmente se concentra em eventos de autenticação e ameaças potenciais. O Activity Log do Duplicator cobre ambos, e é por isso que os níveis de gravidade (Crítico a Info) importam: eventos relevantes para segurança aparecem em Alto ou Crítico, todo o resto é registrado silenciosamente abaixo.

O que devo fazer se vir uma entrada suspeita no meu log?

Anote todos os detalhes: carimbo de data/hora, nome de usuário, endereço IP e a descrição exata do evento. Se a conta não for uma que você reconhece, vá para Usuários » Todos os Usuários, abra o perfil, role até o final e clique em Sair de todas as sessões para encerrar todas as sessões ativas.

Force a redefinição de senha. Se a conta fez alterações significativas antes de você pegá-la, restaure a partir de um backup que antecede a primeira entrada suspeita.

Você Sabe o Que Está Acontecendo em Seu Site. Mantenha Assim.

Você tem uma trilha de auditoria em execução, regras de alerta configuradas e uma maneira de extrair registros quando precisar deles. Isso é mais visibilidade na atividade do usuário do seu site do que a maioria dos proprietários de sites WordPress jamais configurou e levou menos de 20 minutos.

Daqui para frente, crie uma revisão rápida do log em sua rotina. Uma vez por semana, abra o visualizador de Activity Log, filtre por gravidade Alta e Crítica, e gaste dois minutos escaneando.

Na maioria das semanas, não haverá nada que valha a pena agir. Ocasionalmente, haverá um pico de login falho, uma alteração de função inesperada ou uma configuração que foi modificada sem explicação. Esses são os momentos em que o log justifica seu valor.

Eu também recomendaria emparelhar o log de atividades com uma programação regular de backup.

O log de atividades diz o que aconteceu. Mas se o dano já foi feito, você precisa de um ponto de restauração limpo para recorrer. É aí que uma rotina de backup confiável importa tanto quanto o próprio log.

Duplicator Pro oferece backups agendados, restaurações com um clique e uma URL de recuperação de desastres que recupera seu site mesmo quando o WordPress está completamente bloqueado. Você obterá Duplicator, Activity Log e WP Media Cleanup agrupados no plano Elite!

Comece com o Duplicator

Enquanto você está aqui, acho que você vai gostar destes outros recursos:

Joella Dunn Redator de Conteúdo

Joella é uma escritora com anos de experiência em WordPress. Na Duplicator, ela se especializa em manutenção de sites — de backups básicos a migrações em larga escala. Seu objetivo final é garantir que seu site WordPress esteja seguro e pronto para crescer.

Ver Biografia Completa