10分以内でWordPressの監査ログを設定する方法
ジョエラ・ダン
ジョエラ・ダン
ジョン・ターナー
ジョン・ターナー
WordPressにログインすると、何かがおかしい。
インストールしていないプラグインが有効になっています。午前2時に投稿が編集されました。ユーザーの役割が変更されましたが、チーム内の誰もその操作を行っていません。
答えを探しても、何も見つからない。記録も、証拠もない。何が起きたのか、誰がやったのかを知る術はない。
これは、すべてのWordPressサイトのデフォルトの状態です。WordPressはユーザーの操作を記録しません。これまで一度も記録したことはありません。
誰が何を公開したか、誰が設定を変更したか、誰がどこからログインしたか、あるいは誰が何かを削除したかといった記録は、標準では残されません。サイトで問題が発生した場合、問題が起きる前にログを設定しておかない限り、調査はゼロからのスタートとなります。
このチュートリアルでは、その方法について解説します。WordPressの完全な監査ログの設定手順を順を追って説明します。
この講座を終える頃には、サイト上で何が起きているのか、誰がそれを行っているのか、そして何かおかしいと感じた時にどう対処すべきかが、はっきりとわかるようになるでしょう。
以下はその要点である:
- WordPressには監査ログ機能が標準で備わっていません。デフォルトでは何も記録されないため、問題が発生する前にプラグインを導入しておかない限り、その履歴は存在しません。
- ログには、有効化された時点以降のイベントのみが記録されます。インシデント発生後に設定を行う場合、インストール前の状況はログから復元できません。
- Duplicatorのアクティビティログは、すべてのイベントに深刻度レベル(重大、高、中、低、または情報)を付与するため、何百件もの日常的なエントリをスクロールして確認する手間を省き、本当に重要な事項を優先的に処理することができます。
- DuplicatorとDuplicator Proを連携させたペアリングアクティビティログは、2重の保護機能を提供します。つまり、何が起きたかを把握するためのログと、必要に応じて復元を行うためのバックアップです。
目次
WordPressはデフォルトでは監査ログを記録しません
多くのサイト運営者は、WordPressがバックグラウンドのどこかで変更内容を追跡していると思い込んでいます。しかし、そうではありません。
WordPressのコア機能には、ユーザーの操作を記録するネイティブなログ機能はありません。誰が投稿を編集したか、誰がプラグインをインストールしたか、誰がサイトの管理者用メールアドレスを変更したか、あるいは見覚えのないIPアドレスから誰がログインしたかといった記録は残されません。
何か問題が発生した場合、その情報は、あらかじめプラグインで取得されていなければ失われてしまいます。
監査証跡がそのギャップを埋めます。これは、サイト上で行われたすべての操作を、特定のユーザーアカウントやIPアドレスと紐付けて記録した、タイムスタンプ付きの記録です。
これは、WordPressの管理画面用の防犯カメラのようなものだと考えてください。問題そのものを防ぐわけではありませんが、何が起こったのか、そして誰が関与したのかを正確に把握することができます。
完全な監査証跡には、以下の活動カテゴリが含まれます:
- ユーザーのログインおよびログアウト(ログインの失敗や、不明な場所から終了されたセッションを含む)
- 投稿の編集、ステータスの変更、削除などのコンテンツの変更
- プラグインおよびテーマのアクティビティ(インストール、有効化、無効化、更新など)
- WordPressの設定変更(サイトのURL、管理者用メールアドレス、パーマリンク構造、ユーザー登録設定の変更など)
- ユーザーアカウントの変更(新規ユーザー登録、役割の変更、パスワードのリセットなど)
- メディアライブラリでの操作(アップロード、編集、削除など)
始める前に知っておくべきことが一つあります。ログには、記録が開始された時点以降のイベントしか記録されません。ログ記録プラグインをインストールする前にサイトで何かが起こっていたとしても、その履歴をログから復元することはできません。何か問題が発生する前に、今から設定しておくことが肝心なのです。
WordPressの監査ログを設定する方法
WordPressの監査ログを設定するには、10分もかかりません。手順は以下の通りです:
- ステップ1:Duplicatorのアクティビティログをインストールする:プラグインをサイトに導入します。所要時間は2分未満で、コーディングは一切必要ありません。
- ステップ 2: デフォルトのイベント設定を確認する:サイトの種類に応じて適切なアクティビティカテゴリが有効になっているか確認してください。ただし、デフォルト設定でほとんどのサイトに対応しています。
- ステップ 3:メール通知の設定:重大(Critical)および高(High)の深刻度イベントに対するアラートを設定し、数日後に手動でログを確認して問題を発見するのではなく、問題が発生した直ちに通知を受け取れるようにします。
- ステップ 4:最初のログエントリを確認する:各エントリに含まれる内容、深刻度を示す色分けの意味、および稼働中のサイトで特定のイベントを素早く見つけられるようにログをフィルタリングする方法を学びます。
- ステップ 5:不審な事象への対応:不審な活動から復旧できなければ、監査ログは意味をなしません。Duplicator Pro(アクティビティログと連携)を使用して、ワンクリックでクリーンなバックアップを復元しましょう。
ステップ 1:Duplicator によるアクティビティログのインストール
「Activity Log by Duplicator」は、サイト上で行われるあらゆる重要な操作をリアルタイムで記録するWordPressプラグインです。9つのカテゴリに分類された60種類以上のイベントをトラッキングします:
- ユーザー
- コンテンツ
- メディア
- プラグイン
- テーマ
- WordPressのコア設定
- 外観
- 分類体系
- サイト設定
すべてのイベントには深刻度レベル(重大、高、中、低、または情報)がタグ付けされているため、何百件ものリストをスクロールして確認する代わりに、重要な事項を優先的に処理することができます。
このプラグインは、機密データを自動的にマスキングします。ログに記録されたイベントにパスワードやAPIキーが含まれている場合、その値はログ上で非表示になります。これにより、認証情報を公開することなく監査記録を取得できます。
インストールするには、「Activity Log」をご購入ください。年間29ドルからご利用いただけます。また、「Duplicator Elite」プランでは無料でご利用いただけます。このプランには「WP Media Cleanup」と「Duplicator Pro」が含まれています。
プラグインをダウンロードし、WordPressにアップロードしてください。
「アクティビティログ」>「設定」でライセンスキーを有効化してください。有効化されると、緑色のチェックマークが表示されます。これが、プラグインが正常に動作していることの確認となります。
ログの記録を開始します!
ステップ 2: デフォルトのイベント設定を確認する
Duplicatorのアクティビティログは、60種類以上のイベントを記録します。サイトによっては、すべてのカテゴリを有効にする必要がない場合もありますので、ログを頼りにする前に、少し時間をかけて有効になっている項目を確認してください。
サイドバーから「アクティビティログ」»「設定」に移動し、「イベント」タブをクリックします。
9つの追跡カテゴリ(「ユーザー」、「コンテンツ」、「メディア」、「プラグイン」、「テーマ」、「WordPress」、「外観」、「タクソノミー」、「設定」)のリストが表示されます。各カテゴリはオンまたはオフに切り替えることができます。
各カテゴリに含まれる内容を確認したい場合は、ページを下にスクロールして「登録済みイベントの種類」まで進んでください。不明なカテゴリをクリックしてください。
一般的なサイトの場合、デフォルト設定で最も重要な操作は網羅されています。ログイン、コンテンツの変更、プラグインのインストール、設定の変更などは、すべて初期状態ですでに記録されます。
複数の執筆者がいるサイト、会員制サイト、あるいは複数の人物が管理者や編集者の権限を持っているサイトを運営している場合は、「ユーザー」カテゴリを開き、その機能が完全に有効になっていることを確認してください。
アクティビティログには、役割の変更、パスワードのリセット、および新規ユーザーの登録が記録されます。アカウントに関する問題の有無を確認するため、これらのイベントを監視する必要があります。
アクセス数の多いサイトでは、ログ機能を完全に有効にしている場合、ログの容量が急速に増加します。そのため、「外観」や「タクソノミー」など、主に重要度の低いイベントが記録されるカテゴリについては、機能を無効にすることを検討するとよいでしょう。
ログを開くと、サイトが通常通り稼働し始めてから数分後には、エントリが表示され始めます。
ステップ3:メール通知の設定
ログは、目にして初めて役に立ちます。毎日手動で確認するのは現実的ではありません。だからこそ、メール通知が重要なのです。
重大なインシデントが発生した瞬間にアラートが届くため、不審なログインや予期せぬプラグインのインストールについて、すぐに把握することができます。
サイドバーから「アクティビティログ」»「設定」に移動し、「通知」タブをクリックします。メール通知をオンにし、通知を受け取りたいメールアドレスを入力してください。
イベントの種類の一覧が表示され、それぞれにメール通知のオン/オフを切り替えるスイッチがあります。「Critical」および「High」の深刻度を持つイベントについては、通知を有効にすることをお勧めします。これらは、ログイン失敗の急増、管理者権限の変更、プラグインのインストール、コア設定の変更など、セキュリティに実際に影響を及ぼすアクションを網羅しています。
当面、「Info」、「Medium」、「Low」の深刻度を持つイベントはログ記録のみとする。これらのカテゴリには、投稿の更新、タグの追加、メディアのアップロードといった日常的なコンテンツ操作が含まれる。
すべてのメール通知を有効にすると、不要な通知が殺到し、受信トレイを無視するよう慣れてしまうため、本来の目的が達成できなくなります。とはいえ、これはあくまであなた自身の好み次第です。
深刻度レベルの意味について、簡単にご説明します:
- 「重要」は、サイト全体に重大な影響を及ぼす事象を対象としています。
- 「High」は、削除されたユーザー、ログイン失敗、ユーザーロールの変更など、早急な対応が必要なセキュリティ関連の変更をカバーします
- Mediumでは、ページの削除やプラグインの無効化といった通常の編集作業に対応しています
- 「Low」は、目立たない変更や軽微な変更(代表画像の設定、投稿の更新、コメントの承認など)を対象としています。
- この情報には、ログインやログアウトなどの標準的な操作が含まれます。
通知が正常に機能しているか確認するには、ログアウトしてから、架空のログイン情報を試してみてください。ログイン失敗の通知は「重大」レベルです。通知メールが1~2分以内に届けば、設定は正しく行われています。
ステップ4:最初のログエントリを読む
ログエントリの読み方を理解すれば、監査証跡は単なるデータの羅列から、実用的な情報へと変わります。
ログの各行は、1つのイベントを表しています。左から右へと読み進めると、深刻度レベル、タイムスタンプ、イベントの説明、イベントを発生させたユーザー、アクションの発信元IPアドレス、およびソースが表示されます。
深刻度レベルは、一目で把握できるよう色分けされています。
- 🔴 高
- 🟡 ミディアム
- 🔵 低
正常なサイトでは、ほとんどのエントリは黄色か青色で表示されます。赤いエントリは、見つけるたびに目を通す価値があります。
ログをフィルタリングするには、上部のコントロールを使用してください。カテゴリ、重大度、または日付範囲でフィルタリングできます。
複数のユーザーが利用する活発なサイトでは、フィルタリング機能を活用することで、あらゆる情報を素早く見つけることができます。まずは重要度で絞り込み、次に日付範囲を指定して、関心のある期間に絞り込んでください。
「通常」とは、普段使用しているIPアドレスからのログイン、既知の投稿者アカウントによるコンテンツの更新、そして定期的なメンテナンス時間帯に行われるプラグインの更新などを指します。1週間ログを確認し続けることで、サイトの「通常状態」が明確に見えてくるでしょう。そのパターンから外れるものは、すべて再確認する価値があります。
ステップ5:不審な事象への対応
ログから悪意のある行為を発見しても、その後にどう対処すべきかを知っていなければ意味がありません。監査ログは何が起きたかを示してくれます。Duplicator Proを使えば、その操作を元に戻すことができます。
何らかの対応を行う前に、その事象に関する詳細(タイムスタンプ、ユーザーアカウント、IPアドレス、および具体的に何が変更されたか)をすべて記録してください。「アクティビティログ」画面の上部にあるエクスポートボタンを使用して、ログエントリをCSVまたはJSONファイルとしてエクスポートしてください。
Duplicatorをご利用の場合は、最新のクリーンなバックアップを探してください。変更を加える前に、現在の状態を正確に把握しておく必要があります。不審な事象が発生する前のクリーンなバックアップは、以下のあらゆるシナリオにおける最終的な頼みの綱となります。
WordPressで不審な活動を発見する際によくある4つのケースと、それぞれの対処法をご紹介します。
見慣れないIPアドレスからのログイン
そのユーザーアカウントが実際のチームメンバーのものかどうかを確認し、本人からログインの確認を依頼してください。本人から確認が取れない場合は、「ユーザー」>「すべてのユーザー」に移動し、そのユーザーのプロファイルを開いて、ページの一番下までスクロールしてください。
「すべてのセッションを終了」をクリックして、そのアカウントのすべてのアクティブなセッションを終了させてください。その後、パスワードのリセットを強制的に実行してください。サイト全体の認証情報が共有されたり再利用されたりする可能性がある場合は、管理者パスワードも変更してください。
同じ時間帯に、そのIPアドレスに関連する他のイベントがないかログを確認してください。侵害されたアカウントが関与するのは、ログインだけというケースはめったにありません。
あなたがインストールしていないプラグインがインストールされました
チーム内の誰かが意図的にインストールしたことを確認できない限り、直ちにプラグインを無効化し、削除してください。その後、同じ時間帯に、同じユーザーまたはIPアドレスに関連する他のイベントがないか、ログを確認してください。
プラグインのインストールが、それだけで行われることはめったにありません。インストール前後に、設定の変更、ユーザーロールの変更、またはファイルの編集が行われていないか確認してください。
ログから、問題に気付くまでの数時間以上にわたりプラグインが有効になっていたことが確認された場合は、そのサイトが改ざんされている可能性があるとして扱ってください。
悪意のあるプラグインによって加えられた変更をすべて手作業で元に戻すのは現実的ではありません。クリーンな状態であることが確認済みのバックアップから完全に復元するほうが、はるかに簡単です。
「Open Duplicator Pro」を起動し、「バックアップ」に移動して、インストールが行われる前の最新のバックアップを確認します。そのバックアップをワンクリックで復元します。
誰も主張していない設定の変更が現れた
ログには、変更された具体的な設定項目と、多くの場合、変更後の値が表示されます。現在の設定と、本来あるべき設定を比較してください。
変更が1か所だけの場合、手動で元に戻すことができます。該当する設定画面に移動し、正しい値に戻してください。
ログに、短期間のうちに複数の設定が変更されたことが記録されている場合は、それらを一つずつ復元しようとしないでください。Duplicator Proを開き、問題が発生する前の時点のバックアップを見つけて復元してください。
単一の設定変更であれば、5分もあれば済みます。一連の連携した変更を行う場合は復旧作業となりますが、Duplicator Proなら数回のクリックで処理できます。
復元後、Duplicator Proのダッシュボードでバックアップの日付を確認し、アクティビティログと照合して、復元されたバージョンがすべての不審なエントリよりも前の日付であることを確認してください。
説明なしにユーザーの権限が引き上げられた
ロールの変更は重大なインシデントです。ご自身で変更を行っていない場合は、そのアカウントが侵害された可能性があるものとして扱ってください。
「ユーザー」>「すべてのユーザー」に移動し、対象のアカウントをクリックして、「役割」ドロップダウンから元の役割に戻すことで、直ちに役割を元に戻してください。
次に、そのユーザーアカウントについて、権限が昇格された時点以降の日付のアクティビティログ全体を確認してください。権限の昇格によって可能になったと思われる操作、たとえばプラグインのインストール、設定の変更、新規ユーザーの作成、ファイルの変更などがないか探してください。
ログにそのような操作の記録がある場合は、Duplicator Pro を使用して、権限変更が行われる前のバックアップを復元してください。権限が昇格されたアカウントが行った可能性のある変更を一つひとつ探し出すよりも、この方法の方が迅速かつ確実です。
よくある質問 (FAQ)
WordPressの監査ログとは何ですか?
WordPressの監査ログとは、サイト上で行われたすべての操作を記録したもので、特定のユーザー、タイムスタンプ、IPアドレスと紐付けられています。これにより、誰が、いつ、どのような操作を行ったかが分かります。WordPressはデフォルトでは監査ログを記録しないため、作成するにはプラグインが必要です。これがないと、事後にサイトで何が起きたかを再現する手段がありません。
WordPressには組み込みのアクティビティログはありますか?
いいえ。WordPressのコア機能では、ユーザーの操作、コンテンツの変更、設定の変更は記録されません。デフォルトでは何も記録されません。問題が発生する前に専用のプラグインを実行していない限り、そのような履歴は存在しません。
WordPressで、誰が投稿を削除したか確認できますか?
はい、その時点で「Duplicatorのアクティビティログ」が有効になっていた場合です。このプラグインは、投稿の削除をログに記録し、投稿タイトル、削除したユーザー、およびタイムスタンプを含みます。
監査証跡とセキュリティログの違いは何ですか?
監査ログには、投稿の公開やユーザープロフィールの更新といった日常的な操作を含め、サイト上で行われるすべての操作が記録されます。一方、セキュリティログは、ログインの失敗、ロールの変更、プラグインのインストールなど、セキュリティに関連するイベントに特化しています。「Activity Log by Duplicator」は、この両方を網羅しています。すべてのイベントには重大度レベルが設定されているため、必要に応じてセキュリティ関連のイベントを絞り込んで確認したり、全体像を把握したりすることができます。
あなたのサイトに「記憶」が備わりました
「Duplicator」の「Activity Log」をインストールする前は、WordPressサイトには何の記録も残っていませんでした。ログイン、設定の変更、プラグインのインストールなど、あらゆる操作が行われても、その痕跡は消えてしまっていました。何か問題が起きても、原因を推測するしかありませんでした。
もはやそうではありません。サイト上で行われたすべての重要なアクションのログが記録されており、ユーザー、タイムスタンプ、IPアドレス、および深刻度レベルごとにタグ付けされています。
投稿の読み方、重要な情報を絞り込む方法、そして何かおかしいと感じたときの対処法は、もうお分かりでしょう。これは、自分のサイトをどれだけ自在にコントロールできるかという点において、大きな変化です。
今後は、ログの確認を習慣化しましょう。週に1回アクティビティログを確認し、まずは「高」および「重大」のエントリに注力し、サイトの通常のパターンから外れているものについては調査を行ってください。
たいていは何でもないことです。でも、たまには早期に発見しておくべきものだったりします。
サイト上で記録されていない操作はすべて、死角となります。プラグインがインストールされたり、設定が変更されたり、アカウントが乗っ取られたりしても、監査証跡がなければ、数週間後になってようやく気づくか、あるいは全く気づかないままになることもあります。ログは問題そのものを防ぐわけではありませんが、何が起こったのか、誰がやったのかを推測する必要がなくなるということです。
150万人以上のWordPress専門家が、サイトの保護にDuplicatorを利用しています。「Activity Log by Duplicator」は、サイト上で発生するあらゆる事象を網羅した検索可能な記録を提供し、重大度に応じた優先順位付け、メール通知、機密データのマスキング機能が標準で搭載されています。
「Activity Log」を「Duplicator Pro」と連携させれば、何が起きたかを把握するためのログと、必要に応じて復元するためのバックアップが確保できます。
このチュートリアルがお役に立ったなら、以下のガイドもぜひ読んでみてください。
- ほとんどのWordPressアクティビティログプラグインは、何が問題なのかを教えてくれますが、このプラグインはそれを解決する手助けをしてくれます
- WordPressセキュリティチェックリスト:あなたのサイトを守るステップ・バイ・ステップ・ガイド
- WordPressメンテナンスチェックリスト:20の必須タスク(2026年版)
- WordPressステージングサイトの作り方(安全なテストのために)
- WordPressから締め出されないために:私が欲しかった予防ガイド
- WordPressはデフォルトでアクティビティを追跡しません:私が取る対策
- WordPressサイトのあらゆる変更を追跡する方法(不具合が発生する前に)
