WordPressサイトを立ち上げたばかりの頃は、全体を把握するのは容易かもしれません。しかしサイトの規模が大きくなり、複雑化されていくと、徐々に難しくなっていくものです。サイトでユーザーのアカウント登録を受け付けていたり、会員制サイトを運営していたり、複数の投稿者を抱えている場合はなおさらです。

いずれにしても、サイト上で何が起きているかを常に把握することは不可欠です。ユーザーの行動を追跡することで、コンテンツの変更、プロフィールの更新、ログインの失敗などを確認できます。このようなデータが手元にあれば、問題が発生しても、原因を素早く特定し、高いセキュリティを維持することができます。

今回は、WordPressサイトのアクティビティログについて掘り下げます。アクティビティログの中でも特にどのような変更を追跡することが重要かもご紹介してきます。

WordPressのアクティビティログの重要性

アクティビティログは、サイトの重要な変更を監視するのに役立ちます。

サイトを自分一人で運営していれば、予期せぬアクティビティが発生することはありません。WordPressサイトがハッキングされない限り(これについては後ほど)、すべての変更と更新はすべて自分が実行することになります。

WordPressでユーザーの行動を追跡
WordPressでユーザーの行動を追跡

しかし、多くのサイトでは、1名以上のユーザーがサイト管理に関与しています。例えば、サイトで訪問者にアカウント登録を促しているかもしれません。また、投稿者、開発者、編集者、サードパーティの代行業者からなるチーム全体で、コンテンツの作成と管理を行うというのも一般的です。

多くのユーザーがサイトにアクセスできるということは、同時に多くの不確実性がもたらされることを意味します。誰が投稿を削除したのか、なぜユーザープロフィールが変更されたのかなどを理解するのは、必ずしも容易ではありません。悪意のあるユーザーが実行した可能性のある特定の行動を見つけた場合、あるいは単にその変更が行われたかを知りたい場合、その術がないということもあり得ます。

こういった背景から、WordPressサイトのアクティビティを追跡することは非常に重要です。重要な変更がいつ行われたのか、そしてどのユーザーが関与したのかという詳細を含むアクティビティログがあれば、予期せぬ出来事への対処が簡単になります。また、サイトを一人で管理していても、このようなログがあれば、ハッカーによる変更なども突き止めることができます。

アクティビティログは手動で管理することはできませんが、WordPressのアクティビティログプラグインを使用すれば、この作業を自動化することができます。あとは必要時にログを確認するだけでOKです。

WP Activity Log

WP Activity Logは、最も優れたアクティビティログプラグインの一つです。WordPressリポジトリから無料版をダウンロードすることができ、本記事執筆時点では20万以上のアクティブインストール、5つ星中4.6という高い評価を受けています。また、開発者によって定期的に更新されているのも安心です。

WP Activity Log
WP Activity Log

有料版(年間99ドル〜)もありレポート、インスタントメールとSMS通知、検索フィルターなどの追加機能がありますが、すべてのログとテキストベースの検索機能は完全無料で利用可能です。

WP Activity Logの設定方法

今回は例として、WP Activity Logの無料版を使用します。インストールして有効化すると、セットアップウィザードが表示されます。

ステップ1

「プラグインの設定を開始」をクリックします。

WP Activity Logプラグインの設定
WP Activity Logプラグインの設定

ステップ2

続いて、「基本」または「ギーク」のいずれかを選択してください。

  • 基本:基本的なログデータのみ取得したい場合
  • ギーク:プラグインで提供可能なすべてのデータを取得したい場合

この変更は後から変更可能ですが、この例ではプラグインで記録可能なアクティビティログを紹介する目的で、「ギーク」を選択します。

WP Activity Logのログ詳細設定
WP Activity Logのログ詳細設定

ステップ3

次の画面では、ユーザーがデフォルトのWordPressログインページからサイトにログインするかどうかを設定します。この設定は、会員制プラグインやECプラグインによって作成されたものなど、サードパーティのフロントエンドログイン画面からのログインを検出するために必要です。

独自のフロントエンドログイン画面を持っているのに、「いいえ」を選択した場合、プラグインがログインを検出できない可能性があります。この設定も後から変更可能です。

WP Activity Logのログイン設定
WP Activity Logのログイン設定

ステップ4

続いて、サイトでユーザー登録が可能かどうかを選択します。前のステップと同様に、ユーザーの登録を許可しているにも関わらず、「いいえ」を選択すると、新規ユーザー登録のログが記録されない可能性があります。

この設定もまた、いつでも変更可能です。

WP Activity Logのユーザー登録設定
WP Activity Logのユーザー登録設定

ステップ5

最後に、アクティビティログデータの保存期間を選択します。今回は例として6ヶ月を選択します。

  • 3ヶ月(3ヶ月経過したデータは削除される)
  • 6ヶ月(6ヶ月経過したデータは削除される)
  • 12ヶ月(12ヶ月経過したデータは削除される)
  • すべてのデータを保持する

これも後から変更可能です。注意点として、データはWordPressのデータベースに保存されます。万が一に備えてすべてのデータを保持したいと思うかもしれませんが、必要以上のデータは保存しないのが賢明です。問題が発生したら効率的に解決したいという場合は、6ヶ月で十分です。

WP Activity Logのログの保持設定
WP Activity Logのログの保持設定

WP Activity Logの有料版を購入すると、さらに長期間のデータ保持や外部データベースへの保存が可能になります。また、サードパーティのログ管理システムやsyslogにミラーリングすることもできます。

以上で完了です。最後の画面で「完了」をクリックしたら、WordPressサイト上のすべての変更がログとして保存されるようになります。WP Activity Logのデータと設定は、WordPress管理画面の「WP Activity Log」メニューで行うことができます。詳しい設定方法は、WP Activity Logの公式ドキュメントをご覧ください。

WordPress管理画面のアクティビティログ
WordPress管理画面のアクティビティログ

WordPressのアクティビティログで重要な7つの変更

非常にシンプルなWordPressサイトでさえ、舞台裏では想像以上のことが起こっています。そんな数々の変化やアクションの中には、他のものよりも重要になるもの(潜在的な問題やセキュリティ侵害を示す可能性が高いもの)があります。

ここからは、重要なアクティビティログを7種類ご紹介します。少なくともこれらの変更は、注意して追跡するようにしてください。

  1. コンテンツへの変更
  2. ユーザーの新規登録と削除
  3. ログインの失敗
  4. テーマやプラグインの変更
  5. WordPressコアと設定の変更
  6. ユーザープロファイルの調整
  7. マルチサイト設定におけるウェブサイトとユーザーの変更

1. コンテンツの変更

コンテンツは王様(Content is King)いう言葉があるほど、コンテンツの存在は重要です。サイトは1つまたは複数のページで構成されており、常に価値のあるページを提供し続けるには、定期的に最新の情報を加えたり情報を改訂したりする必要があります。

さらに、WordPressサイトの多くは、投稿という形で頻繁にコンテンツを発信しています。ブログを運営したり、ビジネスに関するニュース記事を投稿したりと、用途は様々です。サイトを立ち上げてしばらくすると、投稿の数はあっという間に急増します。

コンテンツの質と正確さは、訪問者に価値を提供し、権威(オーソリティ)を高め、信頼を構築するための鍵となります。つまり、コンテンツを常に監視して必要に応じて更新することが重要です。新しいコンテンツの公開も、既存のコンテンツへの変更も、サイトや会社に対して良い印象を与えるようにしたいものです。

したがって、WordPressサイトでは、コンテンツに関連するすべての変更を追跡することが大切です。これには以下が含まれます。

  • 固定ページや投稿など、コンテンツタイプの作成
  • 既存の固定ページや投稿のタイトル、日付、URL、カスタムフィールドなどの主要変数の変更
  • 既存コンテンツの変更内容(追加、編集、削除など)
  • ステータスの変更(投稿が公開された、または下書きに戻されたなど)
コンテンツの変更
コンテンツの変更

SEOの観点からも、コンテンツの変更は非常に重要です。例えば、トラフィックや被リンクが多い人気の投稿のURLが、知らない間に他のユーザーによって変更されていたら大変な事態。WordPressには組み込みのリダイレクト機能があり、更新されたコンテンツにリダイレクトするようになっていますが、これが完璧に機能するとは限りません。パフォーマンス上の理由から、可能であればサーバーレベルで301リダイレクトを実装してください。Kinstaをご利用のお客様は、MyKinstaのリダイレクトツールで簡単に設定可能です。

この手の変更は稼働中のWordPressサイトでは絶え間なく行われ、通常は問題にはなりません。しかし、予期せぬ事態は常に想定しておきましょう。例えば、投稿の公開が早すぎたり、固定ページ内のセクションが削除されてしまったりするかもしれません。サイトのコンテンツ変更を追跡できれば、誰がいつ変更したかをすぐに把握することができます(そしてその理由も)。

2. 新規ユーザーと削除されたユーザー

先に述べたとおり、多くのWordPressサイトには、最終的に多数のユーザーが追加されます。これは一般にサイトがうまくいっている証拠でもあります。

しかし、サイトのユーザーベースはある程度管理したいところです。自由なアカウント登録を可能にしても、各アカウントを保持するユーザーと保持理由を把握しておく必要があります。少なくとも、追加されたユーザーや削除されたユーザーは確認できるようにしておきましょう。

ユーザーの登録
ユーザーの登録

追加されたユーザーと削除されたユーザーの両方の追跡が大切です。予期しないユーザーが登録されたときには、その行動をすぐに把握したいはずです。任意のアカウント登録を有効にしていない場合には、ハッキングの兆候にもなり得ます。削除されたユーザーについても同様で、予期せぬ事態は避けたいものです。

3. ログインの失敗

WordPress管理画面にアクセスするには、ログインが必要です。ログイン画面は、サイトのコントロールパネルやお客様専用ページを保護する最初の防衛線になります。サイトへのアクセスを試行する方法はさまざまですが、多くの攻撃者はログイン画面を狙います。

一般に、この手の試行はうまくいきません。ハッカーは、何千通りもの組み合わせを試すプログラムを書いているため、失敗したログイン試行を記録しておけば、誰かが同じ方法でブルートフォース攻撃を仕掛けたら警告を出すことができます。

もちろん、ログインの失敗はよくあること。パスワードを忘れたり、メールアドレスの綴りを誤って入力したりすることは誰にでもあります。注目すべきは、同じIPアドレスから繰り返し行われているログイン試行です。同じIPアドレスが何度もログインに失敗している場合は、何者かがサイトへの侵入を企んでいる可能性があります。

アクティビティログを通じてログインの失敗を追跡していれば、いつどこから、何回試行されたかを把握できます。ソースを追跡し、ハッキングの試みなのか、それとも正当なユーザーによるものなのかを見分けるのに役立ちます。また、怪しいIPアドレスを一時的にブロックすることも可能です。

ログインの失敗
ログインの失敗

関連して、WordPressのログインページを保護する対策も欠かせません。WordPressのログインページのURLは簡単に変更可能です。サイトの「扉」を強化すればするほど、悪意のあるユーザーが侵入する可能性は低くなります。

4. テーマやプラグインの変更

WordPressサイトでアクセスを許可されたすべてのユーザーには、権限グループが割り当てられます。この機能を拡張するプラグインもあありますが、デフォルトでは、「管理者」「編集者」「投稿者」「寄稿者」「購読者」(マルチサイトでは「特権管理者」も)の権限グループがあります。

権限グループごとに許可されているアクションが異なります。例えば、管理者はすべての操作を行うことができますが、購読者は個人プロフィールの管理しか行うことができません。

上位の権限を持つユーザーのみだけが実行できるアクションがあるため、権限グループの適切な割り当てが重要です。通常のサイトでは、管理者のみがプラグインやテーマのインストール、削除、更新を行うことができます。

管理者はサイトに重要な変更を加える権限を持つため、管理者は1名のみにすることが推奨されます。複数のユーザーがアドオンのインストールや削除ができるようになると、意図しないアクションが行われる可能性が高まります。

自分(管理者)が実行していないのに、プラグインやテーマに変更が加えられている場合は、悪意のあるユーザーが操作を行っているか(サイトに何かをインストールしようとしているなど)、特定のユーザーに必要以上の権限が付与されているかのいずれかになります。

テーマとプラグインの変更
テーマとプラグインの変更

WordPressのアクティビティログで、サイトのプラグインやテーマに自分で行っていない変更を見つけたら、すぐに原因を突き止めることができます。また、どのような変更が行われたかも正確に確認できるため、必要に応じて復元も可能です。

5. WordPressのコアと設定の変更

これも先ほど触れたテーマやプラグインの変更に似ており、管理者だけが実行できるアクションです。管理者のみが実行できるアクションに関しては、すべて追跡する価値があります。

とりわけ重要なのは、WordPressのコアプラットフォームとサイト全体の設定に対する変更です。どちらもサイト全体に大きな影響を与える可能性があります。

例えば、WordPressのコアを変更すると、プラグインやテーマ、サイトの他の部分と互換性がなくなる可能性があります。設定に関しても、慎重に扱わないと問題が生じます。例えば、サイトのパーマリンクを変更すると、SEOに大混乱を引き起こすことも。サイトのトップページを変更したり、コメントを有効または無効にしたりなど、他にも多数の設定があります。

WordPressのコア設定
WordPressのコア設定

言い換えれば、WordPressのコアと設定の変更は、細心の注意を払って行わなければなりません。これらの設定を何者かが変更している場合は、すぐに調査が必要です。前のセクションと同様、サイトが攻撃を受けているか、他のユーザーが必要以上の権限を持っているかのどちらかです。

6. ユーザープロフィールの変更

追加されたユーザーや削除されたユーザーについては、先ほど触れましたが、既存のユーザープロフィールの変更を把握しておくことも重要です。

サイトにアカウントを持つ人は誰でも、自分のプロフィールの基本的な情報は変更することができます。しかし、具体的にどのような操作を行えるかどうかはグループ権限によって異なります。例えば、ほとんどのユーザーは他人のアカウントを編集することはできません。また、ユーザーのグループ権限を変更できるのは管理者のみです。

活気のあるWordPressサイトでは、ユーザー情報が頻繁に更新されることも珍しくありませんが、以下のような操作には注意が必要です。

  • パスワード、電子メール、表示名の変更:これらの情報が時々変更されるのは普通のことだが(パスワードの定期的な変更はセキュリティ強化につながる)、短期間に異常な数の変更が行われている場合は、問題があるかもしれない。
  • グループ権限の変更:ユーザープロフィールに関して最も追跡すべき変更。特に自分だけが管理者である場合は、知らないうちにグループ権限が変更されているのは正常でない。
ユーザープロファイルの変更
ユーザープロファイルの変更

ユーザーが自由にアカウント登録できるサイトを運営している場合は、新規アカウントの不審な行動には注意しましょう。アカウントの所有者が悪意ある人物であることを示すサインかもしれません。

7. マルチサイトにおけるサイトとユーザーの変更

先に簡単に触れたマルチサイトは、WordPressの便利な機能の一つで、組織化されたネットワーク上で複数のウェブサイトを個別に運営することができます。

マルチサイト内の各サイトは独自のエンティティでありながら、すべてのサイトを1つの管理画面で管理することができます。1名または複数の特権管理者がネットワーク全体を管理し、ユーザー、設定、プラグイン、テーマに関する大規模な決定を行います。各サイトにはそれぞれ管理者がおり、各管理者は特定のサイトに対してのみ変更を加えることができます。

マルチサイトのセットアップは、整理整頓とセキュリティの確保がより難しくなります。複数のサイトがあり、それぞれに異なるユーザーが追加されているため、各サイトのアクティビティを(ネットワーク全体とともに)追跡することが課題となります。

マルチサイトを運営している場合は、特に以下のアクティビティに注意しましょう。

  • サイトの追加または削除:サイトを作成または削除できるのは自分(特権管理者)のみ。他のユーザーによって実行された場合は要注意。
  • サイトへのユーザーの追加と削除:先に触れた通り、各サイトに登録されているユーザーは追跡するのが賢明。
  • ネットワーク設定の変更:マルチサイトでは、マルチサイト固有の設定を行う画面にアクセスできる。設定は広範囲に影響するため、慎重に変更が必要。

WordPressマルチサイトでアクティビティログを使用すると、あらゆる方向からの変更を追跡可能です。これにより、個々のサイトにおけるユーザーの行動だけでなく、マルチサイト全体への変更にも目を配ることができます。

ホスティングアカウントの追跡もお忘れなく

WordPressサイトだけでなく、WordPressのホスティングアカウントで起こっていることも追跡しましょう。ホスティング環境は、舞台裏でサイトの全てを動かす存在です。

Kinstaのお客様は、MyKinstaの「ユーザーの行動」画面から簡単にログを確認することができます。サイトの作成、削除、ドメインの変更、リダイレクトなど、すべての変更が記録され、アカウントに複数のユーザーが追加されている場合は、誰がどの操作を行なったかを把握可能です。

MyKinstaの「ユーザーの活動」画面
MyKinstaの「ユーザーの活動」画面

まとめ

WordPressサイトに加えたちょっとした変更が、致命的な結果をもたらすことがあります。簡単な設定の変更でサイトの動作が変わってしまうこともあれば、他のツールと互換性のないプラグインやテーマをインストールして、重要な機能が壊れてしまうことも。そのため、特に多くのユーザーを抱えている場合は、サイト上で発生するすべてのアクティビティを監視しておきたいところです(関連して、WordPressテーマを安全に削除する方法はこちら)。

これを行う最善の方法の一つは、サイトに加えられた各変更に関する情報を1つのログにまとめてくれるWP Activity Logプラグインを利用することです。このプラグインを使って、以下のような重要な(そして潜在的な問題を持つ可能性のある)変更をすべて追跡しましょう。

  1. コンテンツへの変更
  2. ユーザーの新規登録と削除
  3. ログインの失敗
  4. テーマやプラグインの変更
  5. WordPressコアと設定の変更
  6. ユーザープロファイルの調整
  7. マルチサイト設定におけるウェブサイトとユーザーの変更
Brian Jackson

Brianの最大の情熱の一つは10年以上使用してきたWordPressです。複数のプレミアムプラグインさえ開発しています。Brianの趣味はブログや映画やハイキングなどです。TwitterでBrianとつながりましょう。