複数のユーザーで1つのWordPressサイトを管理している場合、いつ誰がどんな変更を加えたかを記録に残しておきたいと思うことはありませんか?

特に企業で運営するWordPressサイト、個人情報を取り扱うECサイトを運営する場合は、多くのスタッフや関係者が管理画面にログインすることになるため、各ユーザーの行動履歴を自動的に記録することはセキュリティや個人情報保護の観点からも必要なことです。

そこで役立つのがWordPressプラグイン「WP Activity Log」。アカウントユーザーのダッシュボード内での行動履歴(アクティビティログ)を記録するプラグインです。

「WP Activity Log」機能概要

「WP Activity Log」をインストールすると、WordPressサイト内で行われたアクティビティのすべてが記録します。

  • すべての投稿・固定ページ・カスタム投稿タイプの投稿・変更・削除
  • タグ・カテゴリーの追加・変更・削除
  • ウィジェットとメニューの作成・変更・削除
  • ユーザープロフィールの変更
  • マルチサイトネットワーク上の行動履歴
  • ログイン・ログアウト・ログインの失敗
  • WordPress本体・プラグイン・テーマの追加・更新・変更・削除
  • WordPressデータベースの変更
  • 新しいファイルの追加や既存ファイルの変更

プレミアムプラン(有料版)にアップグレードすると、Eメール通知や検索フィルターやユーザーセッション管理ができるようです。
Premium plan

プラグインのインストール

管理画面から「WP Activity Log」を検索してインストールするか、下のボタンからもダウンロード可能です。プラグインファイルを wp-content/pluginsディレクトリにアップした後、管理画面から有効化してください。

WP Activity Log

ログを閲覧する

WP Activity Log
「WP Activity Log」はプラグインの有効化直後から、ログの記録と閲覧ができます。ダッシュボード左メニュー【WP Activity Log】→【Log Viewer】から確認できます。

Log Viewer

ユーザーのIPアドレスや変更日時、何を変更したかまで細かく記録される他、重要度もアイコンで表示されます。

設定の解説

General

Use infinite scroll or pagination for the event viewer?:
ログビューアのページスクロール選択
Infinite Scroll: 無限スクロール(推奨)
Pagination: ページネーション

Do you want the activity log viewer to auto refresh? :
ログビューアを自動更新するか?
Auto refresh: 自動更新
Do not auto refresh: 自動更新しない
※自動更新を選択すると30秒ごとにログが更新されます。

Display latest events widget in Dashboard & Admin bark:
ダッシュボードと管理バーに最新のイベントウィジェットを表示するか?
Dashboard Widget: ダッシュボード
Admin Bar Notification (Premium): 管理バー通知(有料版のみ変更可)
Admin Bar Notification Updates (Premium): 管理バー通知の更新(有料版のみ変更可)

Add user notification on the WordPress login page:
WordPressログインページにユーザー通知を追加する
ログインユーザーにログを記録していることを通知したい場合はログインページにその旨を書いて通知できます。主にGDPRが制定されているEU圏向けの話ですね。

Is your website running behind a firewall or reverse proxy?:
サイトがファイアウォールまたはリバースプロキシの背後で実行されているか?

Who can change the plugin settings?:
誰がプラグインの設定を変更できるか?
Only me: 自分だけ
All administrators: 管理者全員

Allow other users to view the activity log:
他のユーザーにアクティビティログの閲覧を許可する
デフォルトでは「管理者」のみがアクティビティログを閲覧できます。それ以外の権限でも見れるようにする場合はユーザーを追加してください。

Which email address should the plugin use as a from address?:
Eメールで通知する際のメールアドレスと差出人をどうしますか?
Use the email address from the WordPress general settings: 【設定】→【一般】の「管理者メールアドレス」を使う
Use another email address: 他のメールアドレスを使う

Do you want to hide the plugin from the list of installed plugins?:
インストール済みプラ​​グインリストから「WP Activity Log」を非表示にしますか?
Yes, hide the plugin from the list of installed plugins: プラグインを非表示にする
No, do not hide the plugin: プラグインを非表示にしない
誰かがプラグインリストから「WP Activity Log」を無効化・削除してしまわないよう、この設定は「Yes」を推奨します。

Activity Log Viewer

For how long do you want to keep the activity log events (Retention settings) ?:
アクティビティログデータの保持期間をどうしますか?
Keep all data: 全てのデータを保持する
Delete events older than 「n month」: 保持期間を指定
「Purge old data」ボタンで古いデータを削除します。

What timestamp you would like to see in the WordPress activity log?:
アクティビティログに表示するタイムスタンプ
UTC: 協定世界時
Timezone configured on this WordPress website: このWordPressで設定されている時間(推奨)
Show Milliseconds: ミリ秒で表示するかどうか

What user information should be displayed in the WordPress activity log?:
アクティビティログに表示するユーザー情報の表記
WordPress username: ユーザー名
First name & last name: 氏名
Configured public display name: ブログ上の表示名

Select the columns to be displayed in the WordPress activity log:
アクティビティログに表示する項目にチェックを入れる。

Do you want to keep a log of WordPress background activity?:
投稿リビジョンの追加や自動保存された下書きの削除など、WordPressが自動的に行う変更を記録するか?「No」を推奨します。

File Changes

ここでは同開発者が作成したプラグイン「Website File Changes Monitor」のインストールを勧められます。

このプラグインはファイルの追加・変更・削除を監視するツールとなっており、悪意あるクラッカーに監視の目を向けます。今回はアカウントユーザーの行動記録とは関係ないので解説しませんが、不要な場合は無視で大丈夫です。

Exclude Objects

ここではログに残したくないものを除外設定できます。除外設定ができる項目は以下。

  • Exclude Users: ユーザー
  • Exclude Roles: 権限
  • Exclude IP Address(es): IPアドレス
  • Exclude Post Type: 投稿タイプ
  • Exclude Custom Fields: カスタムフィールド

Advanced settings

Reset plugin settings to default:
プラグインの設定を初期化する。

Purge the WordPress activity log:
アクティビティログを削除する。

MainWP Child Site Stealth Mode:
子サイトステルスモード
子サイトを検出すると自動的に「Yes」になります。「Yes」になると、プラグインをインストールした管理者のみプラグインの変更ができます。

Do you want to delete the plugin data from the database upon uninstall?:
「WP Activity Log」プラグインアンインストール時にアクティビティログを削除しますか?

まとめ

WordPressサイトで中堅・大規模サイトを運営管理することも珍しくない昨今、アカウントユーザーの行動を記録・管理することは今後のセキュリティ対策としても有効になってくるでしょう。また、ログを記録しておくことで、悪意あるユーザーによる重大な過失をあらかじめ予防することにも繋がります。

「WP Activity Log」は無料版でも十分のログを記録できますので、ぜひ入れておきたいプラグインです。