WP Security Audit Log:アクティビティログを記録できる
全てのアクティビティログを記録できる WordPress 用プラグインの紹介です。
それは「WP Security Audit Log」です。
その導入手順から日本語化・使い方と設定などを解説していきます。
WP Security Audit Log
WP Security Audit Log は、WordPress シングルサイト及び マルチサイトで発生した全てのアクティビティログを記録できます。
WP Security Audit Log が記録できる項目は、以下の通りです。
- ステータス、コンテンツの変更、タイトル、URL、日付、カスタムフィールドの変更など、投稿、固定ページ、およびカスタム投稿タイプの変更
- タグやカテゴリの変更(作成、変更、削除、投稿への追加や削除など)
- ウィジェットとメニューの変更(作成、変更、削除など)
- ユーザーが作成・登録・削除またはマルチサイトネットワーク上のサイトに追加したユーザーの変更
- パスワード、メール、表示名、権限の変更などのユーザープロファイルの変更
- ログイン、ログアウト、ログイン失敗、他のセッションの終了などのユーザーアクティビティ
- インストールされたアップデート、パーマリンク、デフォルトの権限、URL、その他のサイト全体の変更などの WordPress の本体と設定の変更
- サイトの追加、削除、アーカイブ、サイトへのユーザーの追加または削除などの WordPress マルチサイトネットワークの変更(マルチサイトネットワークのアクティビティログ)
- プラグインとテーマの変更(インストール、アクティブ化、非アクティブ化、アンインストール、更新など)
- プラグインがテーブルを追加または削除するとき等の WordPress データベースの変更
- WooCommerce &商品、Yoast SEO、Advanced Custom Fields、MainWP 及び他の人気の WordPress のプラグインに関する項目
- WordPress サイトへの新しいファイル追加されるや既存ファイルの変更または削除
WP Security Audit Log がログを記録する際には、以下の項目も記録します。
- 発生日時(およびミリ秒)
- 変更を行ったユーザーのユーザー名とユーザー権限
- 変更を行ったユーザーの IP アドレス
WP Security Audit Log は Web サイトのファイル整合性スキャンも行えます。
記事を作成もしくは更新時点での WP Security Audit Log のバージョン:4.0.1
マルチサイトでの利用:可
WP Security Audit Log のインストール手順
WP Security Audit Log をインストールするには 2 種類の方法があります。
下記の URL から ZIP ファイルを入手して、管理画面からアップロードして有効化する。
WP Security Audit Log – WordPress.org
もしくは、WordPress.org の公式プラグインディレクトリにリリースされているので、
管理画面からインストールできます。
ダッシュボードから「プラグイン」メニューの「新規追加」を選択し、
プラグイン追加画面右上の検索窓に「WP Security Audit Log」と入力します。
検索結果の一番左上に表示されると思うので、「今すぐインストール」をクリックします。
※一番左上に表示されない場合は、上記の画像から探して下さい。
インストールが完了したら、プラグインを「有効化」します。
プラグインのインストールに慣れていない方は、
下記の記事にて詳しく解説していますので、御覧ください。
WordPressプラグインのインストール手順を解説 – WordPress活用術
WP Security Audit Log の日本語化
WP Security Audit Log を有効化した際に日本語化されない場合には、
日本語化用の言語パックを translate.wordpress.org から入手できる場合があります。
WordPress と関連プロジェクト(テーマ・プラグイン)用の翻訳プラットフォームとして、
translate.wordpress.org (GlotPress) が導入されています。
※ボランティアで翻訳されている場合が多いので、
全てのプラグインで、必ずしも日本語化用の言語パックが用意されているわけでは無いです。
また、用意されていても 100% 翻訳されている保証もありません。
日本語化用の翻訳ファイルの探し方は、下記の記事を参照してください。
WordPress公式での日本語化用の翻訳ファイルの探し方 – WordPress活用術
専用テーブル
下記のテーブルを WP Security Audit Log 専用のテーブルとして作成し利用します。
テーブル作成時に $wpdb->prefix も使用しているので、マルチサイトにも対応。
専用メニュー
ダッシュボードの「設定」メニューの中に追加されています。
サブメニュー名の横にアイコンが付いている項目は、プレミアム版のみの機能です。
この記事では説明は省略します。
初回操作時
メニューに初回アクセスすると設定に関するセットアップウィザードを起動するかを訪ねてきます。
再度、セットアップウィザードを開始するかどうかを訪ねてきます。
なおウィザードで行った変更は後からでも変更可能です。
記録するアクティビティログの記録レベルを選択します。
Basic (I want a high level overview and I am not interested in the detail)
詳細な内容まで不要な場合は、こちらを選択します。
Geek (I want to know everything that is happening on my WordPress)
WordPress 上で発生した全ての事を把握したい場合には、こちらを選択します。
ここで選択したログレベルは、後で設定画面から変更可能です。
Do you or your users use other pages to log in to WordPress other than the default login page ( /wp-admin/ )?
デフォルトのログインページ以外の他のページを使用して WordPress にログインしていますか?
Yes, we use other pages to login to WordPress.
はい、他のページを使用して WordPress にログインしています。
No, we only use the default WordPress login page.
いいえ、デフォルトの WordPress ログインページのみを使用しています。
If your website is a membership or ecommerce website most probably you have more than one area from where the users can login. If you are not sure, select Yes.
サイトがコミュニティーもしくはショッピングサイドなどの会員制サイトである場合、
ユーザーがログインできる場所が複数ある可能性があります。
不明な場合は、[はい]を選択します。
後で設定画面から変更可能です。
Do you want to keep a log of (non-logged in) visitors’ requests to non-existing URLs which generate a HTTP 404 error response?
404 エラーに関するログも保存するかどうか。
後で設定画面から変更可能です。
Can visitors register for a user on your website?
この Web サイトでは訪問者がユーザー登録を行えるかどうか。
後で設定画面から変更可能です。
How long do you want to keep the data in the WordPress activity Log?
アクティビティログをどのくらい期間保存しておくかどうか。
後で設定画面から変更可能です。
6 months (data older than 6 months will be deleted)
6 か月(6 か月より古いデータは削除されます)
12 months (data older than 12 months will be deleted)
12 か月(12 か月より古いデータは削除されます)
Keep all data.
全ての期間のデータを保持します。
ちなみにプレミアム版にアップグレードすると、
データベースツールを使用してアクティビティログを外部データベースに保存できるようです。
By default only the users with administrator role can access the WordPress activity log. Would you like to allow any other user or users with a role to access the WordPress activity log?
デフォルトでは、管理者権限を持つユーザーのみが WP Security Audit Log にアクセスできます。
他のユーザーまたは特定の権限を持つユーザーに WP Security Audit Log へのアクセスを許可するかどうか。
後で設定画面から変更可能です。
Usernames: ADD
Roles: ADD
ユーザー名もしくはユーザー権限を追加します。
※アクティビティログには、誰が何処から、何時ログインして何をしたかなどの機密データが含まれています。
The plugin will keep a log of everything that happens on your WordPress website. If you would like to exclude a particular user, users with a role or an IP address from the log specify them below. If not just click the Next button.
WP Security Audit Log は、WordPress サイトで発生した全てのログを記録します。
特定のユーザーを除外することもできます。
ログから除外したいユーザーをユーザー権限または IP アドレスを指定します。
後で設定画面から変更可能です。
「Finish」ボタンをクリックすると、これまでの内容で設定変更が行われます。
WP Security Audit Log の使い方
アクティビティログを確認するには「Audit Log Viewer」メニューを開きます。
Audit Log Viewer では、2 種類のビューモードが用意されています。
リストビューモードでの表示内容。
グリッドビューモードでの表示内容。
記録するイベントは「Enable/Disable Events」で有効・無効に設定可能です。
ログレベルを選択します。
Basic(基本)以外にも Geek(詳細)・Custom(カスタム)を選択可。
タブ分けされている個々のイベントを有効または無効にすることができます。
WP Security Audit Log が記録できる全てのイベントについては、
WordPress アクティビティログのイベント ID の完全なリストを参照してください。
https://www.wpsecurityauditlog.com/support-documentation/list-wordpress-audit-trail-alerts/
WP Security Audit Log の設定(Settings)
一般設定(General Settings)
Use infinite scroll or pagination for the event viewer?
イベントビューアーに無限スクロールまたはページネーションのどちらを使用するかどうか。
Do you want the activity log viewer to auto refresh?
アクティビティログビューアを自動更新するかどうか。
Display latest events widget in Dashboard & Admin bar
ダッシュボードと管理バーに最新イベント通知用のウィジェットを表示するかどうかの設定。
The events widget displays the latest 5 security events in the dashboard and the admin bar notification displays the latest event.
イベントウィジェットはダッシュボードに最新の 5 つのセキュリティイベントを表示可。
(プレミアム版のみ)管理バー通知は最新のイベントを表示します。
Add user notification on the WordPress login page
WordPressログインページでユーザー通知を追加するかどうかの設定。
Many compliance regulations (such as the GDPR) require website administrators to tell the users of their website that all the changes they do when logged in are being logged.
多くのコンプライアンス規制(GDPRなど)では、Web サイト管理者にログイン時に行う全ての変更がログに記録されていることを Web サイトのユーザーに通知することを要求しています。
「Yes」を選択するとユーザーへの通知内容を記述できます。
Is your website running behind a firewall or reverse proxy?
Web サイトはファイアウォールまたはリバースプロキシを利用しているかどうか。
Filter internal IP addresses from the proxy headers. Enable this option only if you are are still seeing the internal IP addresses of the firewall or proxy.
チェックを付けると、プロキシヘッダーから内部 IP アドレスをフィルタリングします。
この項目は、ファイアウォールまたはプロキシの内部 IP アドレスがまだ表示されている場合にのみ有効にすること。
Who can change the plugin settings?
プラグインの設定変更をおこなえるユーザーを設定する項目。
Restrict Plugin Access:
どのユーザーに設定変更を許可するかを指定します。
ユーザー名またはユーザー権限を追加可能。
Allow other users to view the activity log
アクティビティログの表示を許可するユーザーを指定できます。
デフォルトでは、管理者およびスーパー管理者(マルチサイト)の権限を持つユーザーのみがアクティビティログを閲覧できます。
Which email address should the plugin use as a from address?
プラグインが差出人アドレスとして使用するメールアドレスを選択します。
デフォルトでは、メール通知を送信する時には、
一般設定で指定されたメールアドレスを使用します。
ただし、このセクションから使用するメールアドレスと表示名を変更できます。
Do you want to hide the plugin from the list of installed plugins?
インストール済みプラグインのリストから WP Security Audit Log を非表示にするかどうか。
この WP Security Audit Log をインストールしたことを他の管理者に見せたくない場合は、このオプションを[はい]に設定します。
アクティビティログ設定(Activity Log)
For how long do you want to keep the activity log events (Retention settings) ?
記録しているアクティビティログイベントを保持する期間(保持設定)を設定します。
「Purge Old Data」ボタンをクリックすると、指定した期間よりも古いデータを即時削除します。
What timestamp you would like to see in the WordPress activity log?
アクティビティログに表示するタイムスタンプを選択します。
Timezone configured on this WordPress website:
サイトで設定されているタイムゾーンを仕様します。
Show Milliseconds in list view.
リストビューでミリ秒単位で表示するかどうか。
What user information should be displayed in the WordPress activity log?
アクティビティログで表示するユーザー情報を何処から取得するかどうか。
Select the columns to be displayed in the WordPress activity log
アクティビティログで表示する項目(列)を選択します
Do you want to keep a log of WordPress background activity?
バックグラウンドアクティビティのログを保持するかどうか。
WordPress がバックグラウンドで行うアクション(リビジョンの削除、自動保存された下書きの削除など)があります。
デフォルトでは、それらを記録しません。
ファイル整合性スキャン(File Integrity Scan)
WP Security Audit Log は Web サイトでファイル整合性スキャンを実行します。
そのため、ファイルが追加、変更、削除されているとログに記録します。
ここでは、そのファイル整合性スキャンに関する全ての設定を行えます。
Do you want the plugin to scan your website for file changes?
WP Security Audit Log でファイルの変更について Web サイトをスキャンするかどうか。
Which file changes events do you want to keep a log of in the activity log?
どのファイル変更イベントをアクティビティログに記録するか。
デフォルトでは、ファイルが追加、変更、または削除されるたびにログに記録します。
ファイルが大きすぎてスキャンできなかったり、スキャンするファイルが多すぎる場合は、
アクティビティログにその旨をイベントとして記録します。
リンクをクリックして、プラグインがどのログを保持するかを指定します。
When should the plugin scan your website for file changes?
ファイル変更スキャンを行うスケジュールを設定します。
Which directories should be scanned for file changes?
どのディレクトリをスキャンするかを選択します。
Root directory of WordPress (excluding sub directories)
WordPress のルートディレクトリ(サブディレクトリを除く)
/wp-content/ directory (excluding plugins, themes & uploads directories)
/ wp-content /ディレクトリ(プラグイン、テーマ、アップロードディレクトリを除く)
What is the biggest file size the plugin should scan?
スキャンする必要があるファイルの最大のファイルサイズを指定します。
Do you want to exclude specific files or files with a particular extension from the scan?
特定のファイルまたは特定の拡張子を持つファイルをスキャンから除外できます。
Launch an instant file integrity scan
[Scan Now]ボタンをクリックすると、
構成された設定を使用してインスタントファイル整合性スキャンを実行します。
スキャン中にこの設定ページから移動することもできます。
ただし、インスタントスキャンは、スケジュールスキャンよりも多くのリソースを消費する可能性があることに注意してください。
除外設定(Exclude Objects)
デフォルトでは、WordPress サイトで行われた全てのユーザー変更のログを記録します。
ここでは、アクティビティログから特定のオブジェクトを除外できます。
オブジェクトがアクティビティログから除外されると、
そのオブジェクトが参照されるイベントはアクティビティログに記録されません。
除外するユーザー・ユーザー権限・IP を追加できます。
除外する投稿タイプ・カスタムフィールド・存在しない URL を追加できます。
インポート&エクスポート(Import/Export)
設定のインポートとエクスポートを行えます。
高度な設定(Advanced Settings)
Troubleshooting setting: Keep a debug log of all the requests this website receives
(トラブルシューティング用)このWebサイトが受信する全てのリクエストのデバッグログを記録するかどうか。
Reset plugin settings to default
プラグインの設定をデフォルトにリセットできます。
Purge the WordPress activity log
アクティビティログを削除できます。
MainWP Child Site Stealth Mode
この項目は、MainWP Child プラグインを検出すると自動的に有効になります。
この設定を有効にすると、
プラグインへのアクセスがプラグインをインストールする管理者に制限され、
プラグインはインストール済みプラグインのリストに表示されず、
管理者通知は表示されません。
プラグインをデフォルトのセットアップに変更するには、このオプションを無効にします。
Do you want to delete the plugin data from the database upon uninstall?
アンインストール時にデータベースから WP Security Audit Log のデータを削除するかどうか。