WordPressはデフォルトでアクティビティを追跡しません:私がそれについてやっていること
Joella Dunn
Joella Dunn
John Turner
John Turner
クライアントから電話がかかってきます。サイトの何かが異なって見えます—ページが消えた、プラグインが動作しなくなった、または設定が変更されたなどです。
サイトを確認します。すべてが正常に見えるか、あるいはそうでないかもしれませんが、いずれにしても何が起こったのか、誰がそれを触ったのか全く分かりません。
WordPressは変更の記録を保持しません。誰がログインしたか、何が編集されたか、どのプラグインが更新されたか、またはいつ設定が静かに変更されたかの記録はありません。何か問題が発生した場合、結果から逆算して追跡する手がかりなしに進むことになります。
WordPressアクティビティログはそのギャップを埋めます。
ログイン、コンテンツの変更、プラグインの更新、設定の編集など、サイトで行われたすべての操作を記録します。各イベントは特定のユーザー、時間、IPアドレスに関連付けられます。
何か壊れたり、おかしく見えたりしても、推測する必要はありません。詳細な監査ログを読んでいます。
この記事では、WordPressアクティビティログとは何か、なぜそれが重要なのか、そしてそれを設定する方法を説明します!
主なポイントは次のとおりです:
- WordPressには組み込みのアクティビティログはありません。誰がいつサイトで何をしたかを追跡するにはプラグインが必要です。
- アクティビティログは、ログイン、コンテンツの編集、プラグインの変更、設定の更新を記録し、それぞれがユーザー、タイムスタンプ、IPアドレスに関連付けられます。
- Duplicatorによるアクティビティログは、9つのカテゴリにわたる60以上のイベントを追跡し、アクティブ化された瞬間からログ記録を開始します。
- 重大度レベル(低、中、高、緊急)により、ノイズをフィルタリングし、実際に注意が必要なイベントに集中できます。
- 完全なインシデント対応のために、アクティビティログをDuplicatorバックアップと組み合わせてください—一方は何が変更されたかを伝え、もう一方はそれを修正することを可能にします。
目次
WordPressアクティビティログとは?
アクティビティログは、WordPressサイトで行われたすべての操作の実行中の記録です。すべてのログイン、コンテンツの編集、プラグインの変更、設定の更新がキャプチャされ、タイムスタンプとユーザーが付加されて保存されます。
それは、あなたがすでにアクセスできる可能性のある他のログとは異なります。
エラーログは、何かが壊れたことを教えてくれます。サーバーログは、サイトにアクセスしているトラフィックを追跡します。アップタイムモニターは、サイトがダウンしたときに教えてくれます。
それらのどれも、何が変更されたか、または誰が変更したかを教えてくれません。アクティビティログはそれを教えてくれます。
それは、日常的に実際に重要なことをカバーしています:
- どのユーザーがwp-adminにどこからログインしたか
- どのコンテンツが編集または削除されたか
- どのプラグインがインストールまたは非アクティブ化されたか
- サイトURLや管理者メールアドレスなどのコア設定が変更されたかどうか
WordPressには、これらを標準で搭載しているものはありません。管理画面のどこかに、ネイティブな監査証跡、組み込み履歴、または変更ログが存在するわけではありません。
サイトで何が起こっているのかを可視化したい場合は、WordPressアクティビティログプラグインが必要です。
あなたのWordPressサイトにはアクティビティログが必要ですか?
はい、WordPressサイトのアクティビティログを設置することをお勧めします。これにより、サイトで何がいつ変更されたのかを正確に追跡できます。何か問題が発生した場合、すべてを盲目的にチェックする代わりに、イベントのタイムラインと問題を照合できます。
私がすべてのウェブサイトにWordPress管理者アクティビティログを設置している主な理由はいくつかあります。
- セキュリティ
ログイン試行の失敗、予期しないロールの変更、見慣れないIPアドレスからのログインなど、記録されていない場合はこれらのシグナルが見逃されます。アクティビティログは攻撃を防ぐものではありませんが、パターンを特定し、事態が悪化する前に対応するための証拠を提供します。
- アカウンタビリティ
これは人々が予想する以上に重要です。複数のユーザーがサイトにアクセスできる場合、疑問が生じます。
誰がその投稿を公開したのか?誰がその設定を変更したのか?誰がそのページを削除したのか?アクティビティログは、推測ではなく、具体的な情報でこれらの質問に答えます。
- クライアントワーク
代理店にとっては、さらに重要です。クライアントは自分のサイトで何が変更されたのかを尋ねます。好奇心から尋ねることもあれば、不満から尋ねることもあります。
いずれにしても、「調査します」という言葉では決して築けない信頼を、実行されたすべての操作の正確な記録を提示することで構築できます。
- コンプライアンス
サイトがユーザーデータを扱ったり、規制された業界で運営されたりする場合、サイトアクティビティのエクスポート可能な記録が必要になります。後から履歴を再構築しようとするよりも、事前にログを準備しておく方がはるかに簡単です。
WordPressアクティビティログを必要とするのは誰ですか?
簡単な答えは、WordPressサイトを実行している人なら誰でも、です。しかし、働き方によってその意味合いは異なります。
個人サイトのオーナーは、自分だけがアクセスできるのであればログは不要だと考えるかもしれませんが、そうではありません。
特に何かが予期せぬ動作をし始めた場合、2週間前に自分が行った変更を忘れてしまうことがどれほど多いかに驚くでしょう。ログは他の人だけでなく、あなた自身の行動もキャッチします。
ブロガーやコンテンツチームは、誰が何を公開したのか、誰が下書きを編集したのか、そして削除されるべきでないものを誰が削除したのかを知る必要があります。複数の人がコンテンツに触れる場合、記録なしではバージョンの混乱は避けられません。
代理店は最も多くのメリットを得られます。クライアントとの関係は、「先週火曜日に私のサイトで何が変わりましたか?」という単一の質問で変わることがあります。
それをすぐに、具体的に答えることができるかどうかは、有能に見えるか、自分自身を説明するために慌てるかの違いです。
WooCommerceストアのオーナーは、小さな変更が実際の結果をもたらすビジネスを運営しています。変更された商品の価格、変更された注文、変更された配送設定など、これらはすべて収益に影響を与える可能性があります。お金が関わる場合、トレーサビリティはオプションではありません。
開発者:特にWP-CLIを使用する場合、複数のクライアントサイトを管理する開発者は、ログデータをプログラムで取得できることから恩恵を受けます。これは、手動でダッシュボードを確認するだけでは対応できない、自動化されたサイト管理ワークフローに適しています。
WordPressアクティビティログは何を追跡すべきか?
基本的なアクティビティログでは、ログイン情報しか記録されない場合があります。より有用なログは、サイトの外観、動作、パフォーマンスに実際に影響を与える可能性のあるアクションの全範囲をカバーします。
- ユーザー:ログイン、ログアウト、ログイン試行失敗、ロール変更。
これが基盤となります。誰かの認証情報が侵害されたり、ユーザーの権限が静かに昇格されたりした場合、記録が必要です。
- コンテンツ:投稿、ページ、カスタム投稿タイプ
これには、作成、編集、削除、公開された時期が含まれます。複数の貢献者がいる忙しいWordPressブログでは、コンテンツの変更がログの中で最も頻繁に発生するイベントです。
- メディア:ファイルのアップロード、削除、サムネイル画像の変更。
メディアライブラリはすぐに散らかり、削除は元に戻せません。誰が何を削除したかを知ることは重要です。
- プラグインとテーマ:インストール、アップデート、有効化、無効化。
プラグインの変更は、サイトの破損の最も一般的な原因の1つです。これらのイベントにタイムスタンプを付けるログは、トラブルシューティングを大幅に迅速化します。
- WordPressコア設定:サイトURL、管理者メールアドレス、パーマリンク構造。
これらは発生頻度は低いですが、影響は大きいです。いずれかの設定を変更すると、すぐに明らかにならない方法でサイトが破損する可能性があります。
- 分類とコメント:カテゴリとタグの変更、コメントモデレーションアクション。
ほとんどのサイトではそれほど重要ではありませんが、記録しておく価値はあります。
- WooCommerce:商品編集、注文更新、ストア設定変更。
ログプラグインがWooCommerceイベントをサポートしている場合は、有効にしてください。売上に影響する変更は追跡可能である必要があります。
WordPressサイトのアクティビティログを設定する方法
WordPressアクティビティログを設定する方法を簡単に説明します。
- ステップ1:Activity Log by Duplicatorをインストールする:このプラグインは、アクティベーション後すぐに9つのカテゴリにわたる60以上のイベントの追跡を開始します。
- ステップ2:メール通知を設定する:ログイン失敗、ロール変更、コア設定編集などの優先度の高いイベントのアラートを設定し、ダッシュボードを手動で確認することなくリアルタイムで通知を受け取れるようにします。
- ステップ3:ログをエクスポートする:クライアントレポート、コンプライアンスレビュー、またはプラグインデータベース外での記録保持のために、フィルター(日付、ユーザー、重大度)を適用したCSVまたはJSONエクスポートを使用します。
- ステップ4:WP-CLIを使用して高度なログ管理を行う(オプション):組み込みのWP-CLIサポートを使用して、コマンドラインから複数のクライアントサイトにわたるログエクスポートとパージスケジュールをスクリプト化します。
ステップ1:Duplicatorの監査ログをインストールする
Activity Logは、WordPressで最も広く使用されているバックアップおよび移行プラグインのいくつかを開発したDuplicatorチームによって構築されています。9つのカテゴリにわたる60以上のイベントを追跡します:
- ユーザー
- コンテンツ
- メディア
- プラグイン
- テーマ
- WordPress
- 外観
- 分類
- 設定
4つの重大度レベル(クリティカル、高、中、低)が組み込まれており、パスワードやAPIキーなどの機密データはログエントリから自動的に検閲されます。
スタンドアロンプラグインは年間$29で利用できます。また、最も価値のあるプランであるDuplicator EliteにWP Media Cleanupとともに含まれています。
3つのプラグインすべてを組み合わせて、自動バックアップ、メディア最適化、アクティビティ追跡を行いましょう!
Activity Logをダウンロードしてインストールすると、ダッシュボードがWordPress管理画面にすぐに表示されます。追跡はプラグインがアクティブになった瞬間から開始されます。
サイトで記録されたすべてのイベントの、検索可能でフィルタリング可能なタイムラインが表示されます。各エントリには、イベントタイプ、それをトリガーしたユーザー、タイムスタンプ、IPアドレス、重大度レベルが表示されます。
日付範囲、特定のユーザー、イベントカテゴリ、重大度レベル、またはIPアドレスでフィルタリングできます。ほとんどのトラブルシューティングタスクでは、日付と重大度でフィルタリングすることで、関連イベントにすばやく到達できます。
カテゴリシステムにより、物事が整理されます。長いリストの代わりに、イベントはタイプ別に並べ替えることができるため、他のすべてをスクロールすることなく、関連する領域(ログイン、コンテンツの変更、プラグインのアクティビティ)に集中できます。
ステップ2:メール通知の設定
電子メール通知により、ダッシュボードを手動で確認することなく、特定のイベントをフラグ付けして即座に注意を払うことができます。
通知設定で、どのイベントがアラートをトリガーするかを選択し、受信者のメールアドレスを設定します。すべてのイベントが通知に値するわけではありません。目標は、受信トレイをいっぱいにするのではなく、応答が必要なものをターゲットにすることです。
電子メールアラートに適した候補:
- ログイン試行の失敗
- コア設定の変更
- 新規ユーザー作成
- ロール変更
プラグインの更新とコンテンツの編集はログに記録する価値がありますが、通常はリアルタイムで中断する必要はありません。即時対応が必要なイベントには通知を使用してください。
ステップ3:ログのエクスポート
ログはCSVまたはJSON形式でエクスポートできます。エクスポートする前に、日付範囲、ユーザー、イベントタイプ、または重大度レベルでデータを絞り込むためにフィルターを適用します。フィルターされたセットのエクスポートは、すべてを一度にエクスポートするよりもほぼ常に役立ちます。
一括エクスポートが利用できるため、現在のページビューに収まるものに限定されることはありません。クライアントレポート、コンプライアンスレビュー、またはセキュリティ監査のために、完全なフィルターレコードを一度にプルできます。
CSVはクライアントとの共有やスプレッドシートへのドロップに適しています。JSONは、プログラムでデータを処理する場合や、別のツールにフィードする場合に便利です。
ステップ4:WP-CLIを使用した高度なログ管理(オプション)
コマンドラインから複数のサイトを管理する開発者や代理店向けに、Activity Log by DuplicatorにはWP-CLIサポートが含まれています。
基本的なエクスポートコマンドは次のとおりです。
wp duplicator-activity-log export日付範囲と形式でエクスポートをフィルタリングできるため、ダッシュボードに触れることなく、特定の時間ウィンドウのログをプルできます。
自動化されたサイト管理ワークフローを実行している代理店の場合、ログのエクスポートとパージスケジュールは、サイトごとに処理するのではなく、クライアントポートフォリオ全体でスクリプト化できます。
オプションのレイヤーですが、すでにWP-CLIを使用している人にとっては、大規模なサイト管理の方法に自然に適合します。
アクティビティログの重大度レベルの理解
アクティブなサイトでは、ログはすぐにいっぱいになります。通常のログイン、下書きの保存、簡単な編集はすべて記録されます。すべてのイベントが同じように見える場合、実際に重要なイベントを見つけるには、多くのノイズをスクロールする必要があります。
重要度レベルはそれを修正します。イベントを注意を払うべき度合いで並べ替えるため、すべてを読むのではなく、迅速にトリアージできます。
Duplicatorのアクティビティログは、低、中、高、クリティカルの4つのレベルを使用します。
低は、保存された投稿の下書きや承認されたコメントのような、通常の予想されるアクティビティをカバーします。対処する必要はありませんが、タイムラインを再構築する際のコンテキストとしては役立ちます。
中は、緊急ではありませんが、知っておく価値のある変更をフラグ付けします。これには、プラグインの更新、コンテンツの編集、テーマの変更などが含まれます。通常のサイトアクティビティですが、参照用に記録されます。
高は、新しいユーザーアカウントの作成、ログイン試行の失敗、ロールの変更など、注意が必要なイベントをマークします。これらは、意図的でなかった場合に問題になる可能性のあるアクションです。
クリティカルは、ウェブサイト全体に影響を与える大規模なエラーをマークします。
実用的な価値はスピードです。何かがうまくいかなくなった後にログを開いたときに、高およびクリティカルイベントにフィルタリングして、そこから作業できます。重要な3つのイベントを見つけるために、200の混合イベントのリストを読む必要はありません。
WordPressアクティビティログを最大限に活用するためのヒント
高およびクリティカルイベントを定期的に確認してください。ログを開く前に問題が発生するのを待たないでください。上位2つの重要度レベルを毎週レビューするには数分かかり、問題が緊急事態になる前に捕捉します。
IPアドレスフィルタリングを使用して、繰り返される疑わしい動作を特定します。単一のログイン失敗はノイズです。同じIPアドレスからの10回のログイン失敗は、対処する価値のあるパターンです。
ログは、何がいつ間違ったかを教えてくれます。その時点より前のバックアップがあれば、それを修正できます。これら2つは、インシデント対応の両方の側面、つまり診断と復旧をカバーします。
疑わしいアクティビティやハッキングの試行が見られる場合は、事前に作成されたバックアップを復元できます。Duplicatorを使用すると、これをワンクリックで実行できます。
チームに、彼らの行動が記録されていることを伝えてください。監視に関する透明性は行動を変え、通常はより良い方向に変えます。記録があることを知っていると、人々はより注意深くなります。
問題が発生した場合だけでなく、定期的にログをエクスポートしてください。定期的なエクスポートは、プラグインデータベース外にレコードがあることを意味します。これは、サイトをバックアップから復元したり、プラグインを切り替えたりする必要がある場合に重要です。
よくある質問(FAQ)
WordPressには組み込みのアクティビティログがありますか?
いいえ。WordPressはデフォルトでサイトアクティビティをログに記録しません。サイトで何が起こっているかを追跡するには、Activity Log by Duplicatorのようなプラグインが必要です。
アクティビティログはサイトを遅くしますか?
Activity Log by Duplicatorは、データベースのオーバーヘッドを低く保つように構築されているため、ほとんどのサイトでパフォーマンスへの影響は最小限です。
Activity Log by Duplicatorは無料ですか?
スタンドアロンプラグインは年間$29から始まります。また、Duplicator、Activity Log、WP Media CleanupをバンドルしたDuplicator Eliteにも追加費用なしで含まれています。
IPアドレスのログ記録はGDPRに準拠していますか?
GDPRでは、プライバシーポリシーで開示し、必要以上に長くデータを保持しない限り、IPアドレスのログ記録は許可されています。Duplicatorの Запись активности は、コンプライアンスリスクを軽減するために、パスワードとAPIキーを自動的に編集します。
WordPressサイトのアクティビティログの記録を開始する
サイトで何が起こっているかの可視性は、大規模チームやエンタープライズインストールにとって贅沢ではありません。シンプルなサイトで管理者が1人だけのサイトでも、初日から役立ちます。
アクティビティログは、次回何か問題が発生したとき、クライアントが変更内容を尋ねたとき、またはログインが疑わしいときに、欲しくなるであろう記録を提供します。イベントはすでに発生しています。問題は、あなたがそれらを知っているかどうかだけです。
今すぐDuplicatorの Запись активности をインストールしましょう!すぐに追跡が開始され、有用であるために設定は不要です。
インシデント対応を完了するには、Запись активности と Duplicator をペアにしてください。ログは、何がいつ変更されたかを正確に示します。バックアップにより、それを元に戻すことができます。この2つがあれば、何が起こったかを知り、それを修正できるという両方の側面でカバーされます。
ついでに、これらの関連WordPressリソースも気に入ると思います。
- あなたのWordPressサイトは明日消えるかもしれません(これをしない限り)
- ハッキングされたWordPressサイトを復旧する方法
- WordPressセキュリティチェックリスト:サイトを保護するためのステップバイステップガイド
- ウェブサイトをハッカーから保護する方法(究極のセキュリティガイド)
- ウェブサイトのダウンタイムを防ぐ方法
- WordPressメンテナンスでサイトを壊さないようにしましょう(代わりにこれらのツールを使用してください)
