What's the difference between a user activity log and a security log?

They overlap significantly. A user activity log records meaningful actions tied to specific accounts like logins, content changes, role modifications, profile edits. A security log typically focuses on authentication events and potential threats. Duplicator's Activity Log covers both, which is why the severity levels (Critical through Info) matter: security-relevant events surface at High or Critical, everything else logs quietly below.

クライアントと共有するためにログをエクスポートできますか？

Yes. Filter the log to the relevant date range and category, then click the Export button in the log viewer. CSV is the most client-friendly format. It opens cleanly in Excel or Google Sheets and reads like a straightforward record of site activity.

マルチユーザーおよびクライアントサイトでのWordPressユーザーアクティビティの追跡方法

Q: プラグインなしでWordPressのアクティビティを追跡できますか？

Technically, yes. Your server logs record HTTP requests, and a developer can query the WordPress database directly. But neither approach ties actions to specific user accounts in a readable way, and neither gives you real-time alerts. For practical, user-level tracking, an activity log plugin is the only approach that's actually usable without significant technical overhead.

Q: WordPressでユーザーアクティビティを確認するにはどうすればよいですか？

WordPress has no built-in user history view. With Duplicator’s Activity Log plugin installed, open the Activity Log viewer and filter by the username you want to review. Every recorded action tied to that account will appear in chronological order. It's the closest thing to a per-user audit trail WordPress has.

Q: ウェブサイトでユーザーアクティビティを追跡することは合法ですか？

For backend activity (tracking what logged-in users do inside wp-admin), yes. Privacy regulations like GDPR are primarily concerned with tracking front-end visitors, not monitoring the actions of authorized users operating within your system. That said, it's good practice to note in your privacy policy or terms of service that admin activity is logged, particularly if you're managing a site on behalf of clients or a team.

Q: アクティビティログプラグインを使用するためにDuplicator Proが必要ですか？

No. Duplicator Activity Log is a standalone plugin with its own plans starting at $29/year for one site. It works independently of Duplicator Pro. However, if you're already using Duplicator, the Elite bundle includes Activity Log, so it's worth checking whether upgrading makes more sense than purchasing separately.

Q: アクティビティログはサイトを遅くしますか？

There’s no measurable impact on front-end performance. The plugin hooks into native WordPress actions and writes to a single dedicated database table. Your visitors won't notice anything different about page load times.

Q: ログに不審なエントリが表示された場合はどうすればよいですか？

Note the full details: timestamp, username, IP address, and the exact event description. If the account isn't one you recognize, go to Users » All Users, open the profile, scroll to the bottom, and click Log Out Everywhere to terminate all active sessions. Force a password reset. If the account made significant changes before you caught it, restore from a backup that predates the first suspicious entry.

サイトにログインすると、何かがおかしいことに気づきます。触ってもいないプラグインが消えている。午前2時に投稿が編集されている。身に覚えのないユーザーアカウントが管理者権限を持っている。

そして、WordPressにはユーザー履歴の記録がありません。何が起こったのか、誰がやったのかを知る方法がありません。

WordPressはデフォルトではユーザーアクティビティを記録しません。アクティビティ追跡を設定しない限り、サイトでのすべての変更はサイレントに実行されます。

このチュートリアルでは、サイト上のすべての重要なアクション（ユーザーアクティビティを含む）を追跡する方法を説明します。終了時には、確認しているかどうかにかかわらず、監査証跡とアラートルールがバックグラウンドで実行されている状態になります。

主なポイントは次のとおりです：

WordPressには組み込みのユーザーアクティビティログがありません。プラグインがアクティブでない状態で変更が発生すると、その記録は永久に失われます。
Duplicatorのアクティビティログは、ログイン、ログイン試行失敗、ロール変更、プロファイル編集、コンテンツ変更など、60以上のイベントタイプを追跡します。
このプラグインは、アクティブ化された時点からのイベントのみをキャプチャします。問題が発生してからではなく、その前にインストールしてください。
通知を有効にすると、ログを手動で確認する必要がなくなります。

WordPressユーザーアクティビティを追跡する理由

ユーザーアクティビティは予測が難しく、事後に監査するのはさらに難しく、見逃すと大きな結果につながる可能性があります。

ほとんどのWordPressサイトには複数のユーザーがいます。コンテンツを公開するエディター、プラグインをインストールする管理者、または下書きを確認するためにログインするクライアントです。アクティビティログがないと、誰が何を公開したか、誰が設定を変更したか、または何かが壊れる前にどの Вアカウントがアクティブだったかの記録はありません。

ユーザーレベルの追跡でのみ表示されるいくつかの項目：

ログインパターン

誰が、いつ、どのIPアドレスからログインしたか。見慣れない場所から午前3時にアカウントがログインして変更を開始した場合、それについて知る必要があります。

ロール変更

誰かが購読者を管理者に昇格させても、WordPressは警告しません。ログがないと、その Вアカウントが何か有害なことをするまで気づかないかもしれません。

ログイン試行の失敗

単一のログイン失敗はノイズです。10分間に同じIPから15回のログイン試行失敗は、進行中のブルートフォース攻撃である可能性があります。ユーザーアクティビティ追跡は、そのパターンをキャッチします。

プロファイル編集

パスワードの変更、メールアドレスの更新、表示名の変更は、アカウントの乗っ取りやユーザーが痕跡を隠蔽していることを示す可能性のある静かな変更です。

特定のユーザーに関連付けられたコンテンツの変更

投稿が編集されたことを知ることは有用です。それをアクセスすべきでない Вアカウントによって編集されたことを知ることが、実際に何かが間違っていたことを教えてくれることです。

複数の Вユーザーがいるサイトを管理している場合、ユーザーアクティビティを具体的に（一般的なサイトイベントだけでなく）追跡することで、問題が発生した場合に正常にトラブルシューティングできるようになります。

WordPressユーザーアクティビティの追跡方法

以下の手順では、アクティビティログプラグインのインストール、追跡するユーザーイベントの設定、アラートの設定、および必要なときのレコードの取得について説明します。全体のセットアップには約15分かかります。

実行する内容は以下の通りです。

プラグインのインストールと有効化：アクティビティログを起動し、他の手順に進む前にイベントをキャプチャしていることを確認してください。
イベント設定の構成とログの読み取り：9つのイベントカテゴリのいずれがアクティブであるかを確認し、ログ保持期間を設定し、ログがビジーになる前にログエントリの読み取り方法を学びます。
ログのフィルタリングと検索：カテゴリ、重大度、および日付範囲フィルターを使用して、何百ものエントリをスクロールする代わりに、特定のユーザーアクションをすばやく見つけます。
重要なイベントのメールアラートの設定：高およびクリティカルな重大度のイベントの通知を構成して、ログを手動で確認することなく、重要なことが発生したときにすぐにアラートを受け取れるようにします。
アクティビティログのエクスポート：クライアントレポート、コンプライアンスドキュメント、またはサポートチケットとしてレコードをCSVまたはJSONでダウンロードします。

ステップ1：Duplicatorのアクティビティログをインストールする

ユーザーアクティビティの追跡に特化して、私はDuplicatorによるアクティビティログを使用しています。ログイン、失敗した試行、ロールの変更、プロフィールの編集、コンテンツの変更など、60以上のイベントタイプを追跡します。

ユーザーが何をしているかを監視するために必要なすべてが得られます。

プランは1サイトあたり年間29ドルから始まります。すでにバックアップと移行にDuplicatorを使用している場合は、Duplicator Eliteバンドルにも含まれています。

アクティビティログを取得し、アカウントからzipファイルをダウンロードします。WordPressダッシュボードに新しいプラグインとしてインストールします。

次に、ウェルカム画面にライセンスキーを入力します。アカウントに接続されると、ログ記録はすでに開始されています。

ステップ2：ユーザーアクティビティログを読む

ログに依存する前に、2分かけて正しいものを追跡していることを確認してください。

アクティビティログ » 設定に移動し、イベントタブをクリックします。9つのカテゴリが表示され、それぞれにトグルがあります：

ユーザー
コンテンツ
メディア
プラグイン
テーマ
WordPress
外観
分類
設定

登録済みイベントタイプの下の各カテゴリを展開して、キャプチャされるものの完全なリストを表示します。ユーザーアクティビティを追跡するには、ユーザーがチェックされていることを確認してください。

設定を確認したら、左側の管理メニューのアクティビティログに移動します。各エントリは、左から右に表示されます：

重大度
日時
ユーザー
イベントの説明
オブジェクト
IPアドレス
ソース

重大度の色は、エントリの緊急度を一目で示します。高は赤、中は黄色、低は青です。

今すぐログを確認してください。次に、ログアウトして再度ログインします。そこにユーザーのログイン/ログアウトエントリが表示されれば、すべて正常に機能しています。

ステップ3：ログをフィルタリングおよび検索する

アクティブなサイトでは、ログはすぐにいっぱいになります。フィルタリングなしでは、重要なエントリを見つけるために何百ものエントリをスクロールすることになります。

フィルターコントロールはログビューの上部にあり、ログを役立つものにしています。カテゴリ、重大度レベル、および日付範囲でフィルターできます。それらを組み合わせて使用してください。

これが実際にどのように機能するかを示す実例をご紹介します。私が書いた覚えのない投稿が公開されていることに気づきました。ログを開き、コンテンツカテゴリでフィルタリングし、日付範囲を前日に設定しました。

エントリは1つだけでした。見慣れないユーザー名です。これは、他の方法では特定するのに20分かかったであろう種類のものです。しかも、どこから手をつければよいか分かっていたと仮定した場合です。

日常的なログレビューでは、高およびクリティカルの重大度でフィルタリングしてください。これによりノイズが大幅に減り、1分未満でログをスキャンできるようになります。

ステップ4：重要なイベントのメールアラートを設定する

アクティビティログを手動でチェックする場合、それを実行することを覚えておく必要があります。アラートは、その問題を解決します。

アクティビティログ » 設定に移動し、通知タブをクリックします。メール通知をオンに切り替えて、メールアドレスを入力してください。

次に、どのアラートレベルがアラートをトリガーするかを選択します。クリティカルと高を有効にします。

中、低、情報については、ログのみのエントリとして残します。調査には役立ちますが、受信トレイを中断する価値はありません。

ユーザーアクティビティでアラートを出す価値のあるイベント：

ログイン試行の失敗（特に同じIPからの繰り返し）
新しい管理者アカウントが作成されました
ユーザーの役割が変更されました
プラグインが無効化または削除されました
コア設定が変更されました（管理者メール、サイトURL）

これに頼る前に、テストしてください。どのアドレスにアラートが届くかを確認してからログアウトし、意図的に間違ったパスワードを入力してください。

再度ログインすると、高重大度のログイン失敗イベントが数分以内にメールをトリガーするはずです。

ステップ5：アクティビティログをエクスポートする

ほとんどの人は、何かを記録する必要が緊急に出てくるまで、エクスポートについて考えません。その瞬間が来る前に、これがどのように機能するかを知っておく価値があります。

2つのフォーマットオプションがあります：

スプレッドシートとクライアントレポート用のCSV
サポートチケットと技術文書用のJSON

エクスポートする前にフィルタを適用してください。忙しいサイトで完全なログをダウンロードすると、大きくて読みにくいファイルが生成されます。

まず関連する日付範囲とイベントカテゴリにフィルタリングしてから、必要なものだけをエクスポートしてください。

実用的な例：クライアントが先月サイトで何が変更されたか尋ねてきました。日付範囲でフィルタリングし、CSVにエクスポートして、レポートに添付します。

よくある質問（FAQ）

プラグインなしでWordPressのアクティビティを追跡できますか？

技術的には可能です。サーバーログはHTTPリクエストを記録し、開発者はWordPressデータベースを直接クエリできます。しかし、どちらの方法も、読みやすい方法で特定のアカウントにアクションを紐付けたり、リアルタイムのアラートを提供したりしません。実用的でユーザーレベルの追跡には、大幅な技術的オーバーヘッドなしで実際に使用できる唯一の方法は、アクティビティログプラグインです。

WordPressでユーザーアクティビティを確認するにはどうすればよいですか？

WordPressには組み込みのユーザー履歴ビューはありません。Duplicatorのアクティビティログプラグインがインストールされている状態で、アクティビティログビューアを開き、レビューしたいユーザー名でフィルタリングします。そのアカウントに関連付けられた記録されたすべてのアクションが時系列順に表示されます。これは、WordPressが持つユーザーごとの監査証跡に最も近いものです。

ウェブサイトでユーザーアクティビティを追跡することは合法ですか？

バックエンドアクティビティ（ログインユーザーがwp-admin内で何をしているかを追跡する）については、はい。GDPRのようなプライバシー規制は、主にフロントエンド訪問者の追跡に関心があり、システム内で操作している正規ユーザーのアクションを監視することには関心がありません。とはいえ、管理アクティビティが記録されていることをプライバシーポリシーまたは利用規約に記載しておくのが良い習慣です。特にクライアントやチームのためにサイトを管理している場合はなおさらです。

アクティビティログプラグインを使用するためにDuplicator Proが必要ですか？

いいえ。Duplicatorアクティビティログは、1サイトあたり年間29ドルから始まる独自のプランを持つスタンドアロンプラグインです。Duplicator Proとは独立して機能します。ただし、すでにDuplicatorを使用している場合、Eliteバンドルにはアクティビティログが含まれているため、個別に購入するよりもアップグレードする方が理にかなっているかどうかを確認する価値があります。

アクティビティログはサイトを遅くしますか？

フロントエンドのパフォーマンスへの測定可能な影響はありません。プラグインはネイティブのWordPressアクションにフックし、単一の専用データベーステーブルに書き込みます。訪問者は、ページの読み込み時間に違いがあることに気づくことはありません。

ユーザーアクティビティログとセキュリティログの違いは何ですか？

それらは大幅に重複しています。ユーザーアクティビティログは、ログイン、コンテンツの変更、ロールの変更、プロフィールの編集など、特定のユーザーアカウントに関連付けられた意味のあるアクションを記録します。セキュリティログは通常、認証イベントと潜在的な脅威に焦点を当てます。Duplicatorのアクティビティログは両方をカバーしているため、重大度レベル（CriticalからInfoまで）が重要です。セキュリティ関連のイベントはHighまたはCriticalで表示され、それ以外はすべてその下で静かにログに記録されます。

ログに不審なエントリが表示された場合はどうすればよいですか？

タイムスタンプ、ユーザー名、IPアドレス、および正確なイベントの説明など、詳細をすべて記録してください。認識できないアカウントの場合は、ユーザー » 全ユーザーに移動し、プロファイルを開き、一番下までスクロールして、すべてからログアウトをクリックして、すべてのアクティブなセッションを終了してください。

パスワードのリセットを強制してください。アカウントが検出される前に重要な変更を行った場合は、最初の不審なエントリよりも前のバックアップから復元してください。

サイトで何が起こっているかを知ることができます。それを維持しましょう。

監査証跡が実行され、アラートルールが構成され、必要なときにレコードを取得する方法があります。これは、ほとんどのWordPressサイトの所有者が設定するよりも多くのサイトのユーザーアクティビティの可視性があり、20分もかかりませんでした。

今後、簡単なログレビューをルーチンに組み込んでください。週に一度、アクティビティログビューアを開き、HighおよびCriticalの重大度にフィルタリングして、2分間スキャンしてください。

ほとんどの週では、対処する価値のあるものは何もありません。時折、ログインの失敗、予期しないロールの変更、または説明なしに変更された設定などが発生します。それらの瞬間こそ、ログがその価値を発揮する時です。

アクティビティログを定期的なバックアップスケジュールと組み合わせることもお勧めします。

アクティビティログは、何が起こったかを教えてくれます。しかし、すでに被害が発生している場合、頼りになるクリーンな復元ポイントが必要です。そこで、信頼できるバックアップルーチンが、ログ自体と同じくらい重要になります。

Duplicator Proは、スケジュールされたバックアップ、ワンクリック復元、そしてWordPressが完全にロックアウトされた場合でもサイトを復旧できる災害復旧URLを提供します。Eliteプランでは、Duplicator、Activity Log、WP Media Cleanupがバンドルされています！

Duplicatorで始める

ついでに、これらの他のリソースも気に入ると思います：

Joella Dunn コンテンツライター

JoellaはWordPressでの長年の経験を持つライターです。Duplicatorでは、基本的なバックアップから大規模な移行まで、サイトのメンテナンスを専門としています。彼女の最終的な目標は、WordPressウェブサイトが安全で成長に対応できる状態であることを確認することです。

完全なプロフィールを見る

マルチユーザーおよびクライアントサイトでのWordPressユーザーアクティビティの追跡方法

目次

WordPressユーザーアクティビティを追跡する理由