WordPressはデフォルトでアクティビティを追跡しません:私が取る対策
ジョエラ・ダン
ジョエラ・ダン
ジョン・ターナー
ジョン・ターナー
クライアントから連絡が入る。サイト上の何かが異なっている——ページが消えている、プラグインが動作しなくなった、設定が変更された、といった具合だ。
サイトを確認する。すべて問題ないように見える、あるいはそうではないかもしれない。いずれにせよ、何が起きたのか、誰が手を加えたのか、まったく見当がつかない。
WordPressは変更履歴を記録しません。誰がログインしたか、何が編集されたか、どのプラグインが更新されたか、設定がいつ静かに変更されたかといった記録は一切ありません。問題が発生した場合、結果から逆算して原因を究明するしかなく、手がかりとなる記録は存在しないのです。
WordPressのアクティビティログがそのギャップを埋めます。
サイト上で行われたすべての操作を記録します:ログイン、コンテンツ変更、プラグイン更新、設定編集など。各イベントは特定のユーザー、時間、IPアドレスに関連付けられます。
何かが壊れたりおかしいと思ったら、推測する必要はありません。詳細な監査ログを確認するだけです。
この記事では、WordPressのアクティビティログとは何か、なぜ重要なのか、そして設定方法について説明します!
以下はその要点である:
- WordPressには組み込みのアクティビティログ機能がありません。サイト上で誰がいつ何を行ったかを追跡するには、プラグインが必要です。
- アクティビティログは、ログイン、コンテンツ編集、プラグイン変更、設定更新を記録し、それぞれがユーザー、タイムスタンプ、IPアドレスに関連付けられます。
- Duplicatorのアクティビティログは、9つのカテゴリにわたる60以上のイベントを追跡し、起動した瞬間から記録を開始します。
- 深刻度レベル(低、中、高、重大)により、ノイズをフィルタリングし、実際に注意が必要なイベントに集中できます。
- 完全なインシデント対応のためには、アクティビティログとDuplicatorバックアップを組み合わせてください。前者は変更内容を把握でき、後者は修正を可能にします。
目次
WordPressのアクティビティログとは何ですか?
アクティビティログは、WordPressサイトで行われたすべての操作の継続的な記録です。ログイン、コンテンツ編集、プラグイン変更、設定更新など、あらゆる操作がタイムスタンプと関連ユーザー情報と共に記録・保存されます。
それは、あなたが既にアクセスできるかもしれない他のログとは異なります。
エラーログは何かが壊れたことを知らせます。サーバーログはサイトにアクセスするトラフィックを追跡します。稼働時間モニターはサイトがダウンしたタイミングを通知します。
それらのいずれも、何が変更されたのか、誰が変更したのかを教えてはくれない。アクティビティログは教えてくれる。
日々の生活で本当に重要なことを網羅しています:
- どのユーザーがwp-adminにログインし、どこからログインしたのか
- どのコンテンツが編集または削除されましたか
- どのプラグインがインストールまたは無効化されましたか
- サイトURLや管理者メールアドレスといったコア設定が変更されたかどうか
WordPressには、これらの機能が最初から一切含まれていません。管理画面のどこにも、ネイティブな監査証跡や組み込みの履歴、変更ログは存在しません。
サイト上で何が起きているかを把握したいなら、WordPressのアクティビティログプラグインが必要です。
あなたのWordPressサイトにはアクティビティログが必要ですか?
はい、WordPressサイトにはアクティビティログの導入をお勧めします。これにより、サイト上で何が変更されたか、いつ変更されたかを正確に追跡できます。何かが壊れた場合、盲目的にすべてを確認する代わりに、問題発生のタイムラインを照合できます。
私がすべてのウェブサイトでWordPress管理者のアクティビティログを有効にしている主な理由は以下の通りです:
- セキュリティ
ログイン失敗、予期せぬ権限変更、不審なIPアドレスからのログイン——記録がなければ、こうした兆候は見逃されます。アクティビティログは攻撃を防止するものではありませんが、パターンを発見し、事態が深刻化する前に対応するための証拠を提供します。
- 説明責任
これは人々が予想する以上に重要です。複数のユーザーがサイトにアクセスできる場合、疑問が生じます。
その投稿を誰が公開したのか?その設定を誰が変更したのか?そのページを誰が削除したのか?アクティビティログは推測ではなく、具体的な事実でそれらの疑問に答えます。
- クライアント業務
代理店にとってはさらに深刻だ。クライアントは自社サイトで何が変更されたのか尋ねる。時には好奇心から、時には不満から。
いずれにせよ、あらゆる行動の正確な記録を即座に提示できることは、「調査します」という言葉では決して得られない信頼を築く。
- コンプライアンス
サイトがユーザーデータを扱う場合や規制対象業界で運営されている場合、サイト活動のエクスポート可能な記録が必要となります。事後的に履歴を再構築しようとするよりも、あらかじめログを用意しておく方がはるかに容易です。
WordPressのアクティビティログが必要なのは誰?
簡潔に言えば、WordPressサイトを運営している人なら誰でもです。ただし、作業方法によって見え方は異なります。
個人サイト運営者は、自分だけがアクセスできるならログは不要だと思うかもしれない。しかし、それは価値がある。
2週間前に加えた変更を忘れてしまうことが、どれほど頻繁にあるか驚かれるでしょう。特に何かが予期せぬ動作を始めた時にはなおさらです。ログは他の人だけでなく、自分自身をも記録するのです。
ブロガーやコンテンツチームは、誰が何を発表したか、誰が下書きを編集したか、そして削除すべきでないものを誰が削除したかを把握する必要があります。複数の人がコンテンツを扱う場合、記録がなければバージョン管理の混乱は避けられません。
代理店が最も得るものが多い。クライアントとの関係はたった一つの質問で決まることがある:「先週の火曜日に私のサイトでは何が変更されたのか?」
即座に具体的な回答ができるかどうかが、有能に見えるか、慌てて説明しようとするかの分かれ目である。
WooCommerceストアのオーナーは、小さな変更が実際の結果をもたらすビジネスを運営しています。商品価格の変更、注文内容の修正、配送設定の変更——これらはいずれも収益に影響を及ぼす可能性があります。金銭が関わる場合、追跡可能性は必須です。
複数のクライアントサイトを管理する開発者、特にWP-CLIを使用している開発者は、プログラムでログデータを取得できる利点があります。これは、ダッシュボードを手動で確認する作業が拡張性に欠けるような自動化されたサイト管理ワークフローに適合します。
WordPressのアクティビティログは何を記録すべきか?
基本的なアクティビティログはログイン記録しか捕捉しない場合がある。より有用なログは、サイトの見た目、動作、パフォーマンスに実際に影響を与え得るあらゆる操作を網羅するものである。
- ユーザー: ログイン、ログアウト、ログイン失敗、およびロール変更。
これが基盤です。誰かの認証情報が侵害されたり、ユーザーの権限が密かに昇格されたりした場合、記録が残っていることが望ましいのです。
- コンテンツ:投稿、ページ、カスタム投稿タイプ
これには、コンテンツの作成、編集、削除、公開が含まれます。複数の寄稿者がいる多忙なWordPressブログでは、コンテンツの変更がログ内で最も頻繁に発生するイベントです。
- メディア:ファイルのアップロード、削除、および代表画像の変更。
メディアライブラリはすぐに散らかるし、削除は元に戻せない。誰が削除したかを知ることは重要だ。
- プラグインとテーマ:インストール、更新、有効化、無効化。
プラグインの変更は、サイトが壊れる最も一般的な原因の一つです。これらのイベントにタイムスタンプを付けるログは、トラブルシューティングを大幅に迅速化します。
- WordPress コア設定:サイトURL、管理者メールアドレス、パーマリンク構造。
これらは発生頻度は低いものの影響が大きい。いずれか一つを変更するだけで、すぐには明らかにならない形で問題を引き起こす可能性がある。
- 分類とコメント:カテゴリとタグの変更、コメントのモデレーション操作。
ほとんどのサイトではそれほど重要ではないが、記録として残しておく価値はある。
- WooCommerce: 商品編集、注文更新、およびストア設定の変更。
ログプラグインがWooCommerceイベントをサポートしている場合は、それらを有効にしてください。売上に影響する変更は追跡可能である必要があります。
WordPressサイトでアクティビティログを設定する方法
WordPressのアクティビティログの設定方法を簡単にご紹介します:
- ステップ1: Duplicatorによるアクティビティログのインストール: このプラグインは有効化後すぐに、9つのカテゴリにわたる60以上のイベントの追跡を開始します。
- ステップ2: メール通知の設定:ログイン失敗、役割変更、コア設定編集などの重要度の高いイベントに対するアラートを設定し、ダッシュボードを手動で確認しなくてもリアルタイムで通知を受け取れるようにします。
- ステップ3: ログのエクスポート: クライアントレポート、コンプライアンス審査、またはプラグインデータベース外での記録保管のために、フィルター(日付、ユーザー、重大度)を適用したCSVまたはJSON形式でのエクスポートを使用します。
- ステップ4: 高度なログ管理にWP-CLIを使用(オプション): 組み込みのWP-CLIサポートを活用し、コマンドラインから複数クライアントサイトにわたるログエクスポートと削除スケジュールをスクリプト化します。
ステップ1: Duplicatorによるアクティビティログのインストール
アクティビティログは、WordPressで最も広く使われているバックアップ・移行プラグインの一つを開発したDuplicatorチームによって構築されています。9つのカテゴリにわたる60以上のイベントを追跡します:
- ユーザー
- コンテンツ
- メディア
- プラグイン
- テーマ
- ワードプレス
- 外観
- 分類学
- 設定
4段階の深刻度レベル(重大、高、中、低)が組み込まれており、パスワードやAPIキーなどの機密データはログエントリから自動的に伏せ字処理されます。
スタンドアロンプラグインは年間29ドルでご利用いただけます。また、Duplicator EliteプランにはWP Media Cleanupと共に含まれており、これが最もお得なプランとなります。
自動バックアップ、メディア最適化、アクティビティ追跡の3つのプラグインを組み合わせて活用しましょう!
Activity Logをダウンロードしてインストールすると、ダッシュボードがWordPress管理画面に即座に表示されます。プラグインが有効化された瞬間から追跡が開始されます。
サイトに記録されたすべてのイベントの検索・フィルタリング可能なタイムラインが表示されます。各エントリには、イベントの種類、イベントをトリガーしたユーザー、タイムスタンプ、IPアドレス、深刻度レベルが表示されます。
日付範囲、特定のユーザー、イベントカテゴリ、重大度レベル、またはIPアドレスでフィルタリングできます。ほとんどのトラブルシューティング作業では、日付と重大度でフィルタリングすることで、関連するイベントを素早く特定できます。
カテゴリシステムは整理整頓を可能にします。長いリストではなく、イベントを種類別に分類できるため、他の項目をスクロールせずに重要な領域(ログイン、コンテンツ変更、プラグインの動作)に集中できます。
ステップ2: メール通知の設定
メール通知により、ダッシュボードを手動で確認しなくても、特定のイベントを即座に確認すべきものとしてマークできます。
通知設定では、アラートをトリガーするイベントを選択し、受信者のメールアドレスを設定します。すべてのイベントに通知が必要というわけではありません。目的は、対応が必要なイベントをターゲットにすることであり、受信箱を埋めることではありません。
メール通知の適任者:
- ログイン失敗回数
- コア設定の変更
- 新規ユーザー作成
- 役割の変化
プラグインの更新やコンテンツの編集はログに記録する価値がありますが、通常はリアルタイムで中断する必要はありません。即時対応が必要なイベントには通知を使用してください。
ステップ3: ログのエクスポート
ログはCSVまたはJSON形式でエクスポートできます。エクスポート前に、日付範囲、ユーザー、イベントタイプ、または重大度レベルでデータを絞り込むフィルターを適用してください。フィルターをかけたデータをエクスポートすることは、すべてを一度にエクスポートするよりも、ほとんどの場合有用です。
一括エクスポートが利用可能です。そのため、現在のページ表示に収まる範囲に制限されることはありません。クライアント向けレポート作成、コンプライアンス審査、セキュリティ監査などにおいて、フィルタリングされた全レコードを一括で抽出できます。
CSVはクライアントとの共有やスプレッドシートへの貼り付けに適しています。データをプログラムで処理する場合や他のツールに投入する場合は、JSONの方が有用です。
ステップ4: 高度なログ管理のためのWP-CLIの使用(任意)
複数のサイトをコマンドラインから管理する開発者や代理店向けに、DuplicatorのアクティビティログはWP-CLIをサポートしています。
基本的なエクスポートコマンドは次のとおりです:
wp duplicator-activity-log exportエクスポートは日付範囲と形式でフィルタリングできるため、ダッシュボードに触れることなく特定の時間枠のログを取得できます。
自動化されたサイト管理ワークフローを運用する代理店では、ログのエクスポートや削除スケジュールをサイトごとに処理するのではなく、クライアントポートフォリオ全体にわたってスクリプト化できます。
これはオプションのレイヤーですが、すでにWP-CLIを使用している方にとっては、大規模なサイト管理の自然な流れに自然に組み込まれます。
アクティビティログの重大度レベルについて
アクティブなサイトでは、ログはすぐにいっぱいになります。日常的なログイン、下書きの保存、小さな編集もすべて記録されます。すべてのイベントが同じように見える場合、実際に重要なものを見つけるには、大量のノイズをスクロールして探す必要があります。
深刻度レベルがそれを解決します。イベントを必要な注意の度合いで分類するため、すべてを読み通す代わりに迅速に優先順位付けできます。
Duplicatorのアクティビティログは、低、中、高、重大の4段階を使用します。
ローはルーチン作業や予測可能な活動(保存済み投稿下書きや承認済みコメントなど)をカバーします。対応が必要な事項ではありませんが、タイムラインを再構築する際の有用なコンテキストとなります。
中程度のフラグは、知っておく価値はあるが緊急ではない変更を示します。これにはプラグインの更新、コンテンツの編集、テーマの変更などが含まれます。通常のサイト活動であり、参照用に記録されるだけです。
注目すべきイベントをハイライト表示します。例えば、新規ユーザーアカウントの作成、ログイン失敗、ロールの変更などです。これらは意図的でない場合に問題となる可能性のあるアクションです。
重大なマークは、ウェブサイト全体に影響を与える大規模なエラーを示します。
実用的な価値はスピードにある。何か問題が起きた後にログを開けば、重大(High)およびクリティカル(Critical)イベントにフィルタリングして作業を進められる。重要な3件を見つけるために、200件もの様々なイベントが混在したリストを読み込む必要はないのだ。
WordPressアクティビティログを最大限に活用するためのヒント
スケジュールに沿って重大および深刻なイベントを確認してください。ログを開くのを何かが壊れるまで待ってはいけません。上位2つの深刻度レベルの週次レビューは数分で完了し、問題が緊急事態になる前に発見できます。
IPアドレスフィルタリングを使用して、繰り返される不審な行動を検知します。単一のログイン失敗はノイズです。同一IPアドレスからの10回のログイン失敗は、対応すべきパターンです。
ログは問題が発生した内容と時刻を伝えます。その時点より前のバックアップがあれば、問題を修正できます。これら二つの要素が、インシデント対応の両側面である診断と復旧をカバーします。
不審な活動やハッキングの試みを確認した場合、事前に作成したバックアップを復元できます。Duplicatorならワンクリックでこれが可能です。
チームに、行動が記録されていることを伝えなさい。監視の透明性は行動を変える——通常は良い方向に。記録が残ると知れば、人はより慎重になる。
ログは問題が発生した時だけでなく、定期的にエクスポートしましょう。定期的なエクスポートにより、プラグインのデータベース外に記録が残ります。これは、バックアップからサイトを復元したり、プラグインを切り替えたりする際に重要です。
よくある質問 (FAQ)
WordPressには組み込みのアクティビティログはありますか?
いいえ。WordPressはデフォルトではサイトのアクティビティを記録しません。サイト上で何が起きているかを追跡するには、DuplicatorのActivity Logのようなプラグインが必要です。
アクティビティログはサイトの速度を低下させますか?
Activity Log by Duplicatorはデータベースの負荷を低く抑えるように設計されているため、ほとんどのサイトではパフォーマンスへの影響は最小限です。
Duplicatorのアクティビティログは無料ですか?
スタンドアロンプラグインは年間29ドルからご利用いただけます。また、Duplicator、Activity Log、WP Media CleanupをバンドルしたDuplicator Eliteには追加費用なしで含まれています。
IPアドレスの記録はGDPRに準拠していますか?
GDPRでは、プライバシーポリシーで明示し、必要以上にデータを保持しない限り、IPアドレスの記録が許可されています。Duplicatorのアクティビティログは、コンプライアンスリスクを軽減するため、パスワードとAPIキーを自動的に非表示にします。
WordPressサイトのアクティビティの記録を開始する
サイト上で何が起きているかを把握することは、大規模チームやエンタープライズ導入環境だけの特権ではありません。単一の管理者しかいないシンプルなサイトであっても、運用開始初日から有用です。
アクティビティログは、次に何かが故障した時、クライアントが変更点を尋ねた時、あるいはログインが不審に思えた時に、あなたが「あればよかった」と思う記録を提供します。イベントはすでに発生しています。問題は、あなたがそれを把握しているかどうかだけです。
今すぐDuplicatorのアクティビティログを導入しましょう!導入後すぐに追跡を開始し、設定不要で即座に活用できます。
完全なインシデント対応のため、 アクティビティログとDuplicatorを組み合わせてください。ログは変更内容と変更時刻を正確に記録します。バックアップによりロールバックが可能です。この2つを組み合わせることで、何が起きたかを把握し、修正できるという両方の側面をカバーできます。
ご訪問いただきありがとうございます。こちらの関連するWordPressリソースもきっとお役に立つと思います:
- あなたのWordPressサイトが明日消えるかもしれない(これをしない限り)
- ハッキングされたWordPressサイトを復旧する方法
- WordPressセキュリティチェックリスト:あなたのサイトを守るステップ・バイ・ステップ・ガイド
- ハッカーからウェブサイトを守る方法(究極のセキュリティガイド)
- ウェブサイトのダウンタイムを防ぐには
- WordPressのメンテナンスでサイトを壊さないために(代わりにこれらのツールを使おう)
