万が一悪質なユーザーに標的にされてしまい、あなたのサイトが不正にアクセスされたとしましょう。

その時、あなたが運営するサイトにユーザーのアクセス履歴などを記録する機能があれば、不正ログインに対する対策の幅が広がりますよね。ただ、デフォルトのWordPressではこういった機能は用意されていないので、プラグインなどで実装する必要があります。

弊社では過去にもログイン履歴を監視できるようなプラグインをご紹介していました。「Crazy bone」というプラグインですね。しかし、2020年6月現在、このプラグインは過去5年間更新されていませんし、最新のバージョンのWordPressでもテストされていませんので、おすすめはできません。

というわけで、当記事では最新のWordPressのバージョンでもテスト済みの類似プラグインをご紹介したいと思います。

「User Login History」の機能概要

有効化すると、WordPressサイトへのログイン履歴を保存しておくことのできるシンプルなプラグインですが、詳細にログイン履歴を管理できることが特徴的です。

日付やユーザー名、IPアドレスはもちろん、国やブラウザ、滞在時間も把握できます。また、それらをフィルタリングしてアクセス元を絞り込むことも可能です。どのエリアからの不正アクセスが多いのかを調べることができるので、対策を考えやすくなりますね。ログインに失敗しているユーザーも記録されますので、怪しいログインを試みているユーザーを未然に見つけることもできるでしょう。管理画面の入り口にあたるログイン画面に監視カメラを設置するような感覚でお使いいただけます。

「User Login History」のインストール

管理画面から「User Login History」を検索してインストールするか、下のボタンからもダウンロード可能です。プラグインファイルを wp-content/pluginsディレクトリにアップした後、管理画面から有効化してください。

「User Login History」

「User Login History」の使い方

基本的には有効化したらそれだけで機能してくれます。有効化したら左側に「User Login History」が追加されますので、そこからプラグインの管理画面へ移動します。

ここでプラグインを有効化した後にログインした(しようとした)ユーザー情報を一覧で確認可能です。

上記画像は途中で切れていますが、実際は横にスクロールできるので、下記のすべての情報を確認することができます。

  • User ID:ユーザーID
  • Username:ユーザー名
  • Role:現在の権限(管理者・購読者など)
  • Old Role:過去の権限
  • Browser:ブラウザの種類(Chromeなど)
  • Operating System:OSの種類(Windowsなど)
  • IP Address:IPアドレス
  • Time Zone:ログイン元のタイムゾーン
  • Country:ログイン元の国
  • User Agent:ログイン元のアクセス環境(スマホ or PCなど)
  • Last Seen:ログイン元が最後にアクセスした時間
  • Login:ログインした日時
  • Logout:ログアウトした日時
  • Login Status:現在のログイン状況

【注意】ログイン元の国とタイムゾーンを記録するには、下記箇所のチェックボックスにチェックをいれる必要があります。

英文の注釈には「この機能は無料のサードパーティAPIサービスに依存しているため、お勧めできません。」と記載されていますが、今のところ問題なく使えるようです。

国やタイムゾーンを含めて詳細に確認できるので、不審なアクセスを見つけても、さまざまな対策を考えることができますね。怪しいログイン元のユーザー名とIPアドレスを特定できれば、下記記事で紹介しているプラグインを活用してログインできないように制限をかけることもできます。

また、下記箇所を展開して任意の項目を入力・フィルタリングすることで特定のログイン履歴をまとめて洗い出すこともできます。

どこの国、どんなユーザーネーム、どのIPアドレスからの不正アクセスが多いかなどをすぐにソート可能です。「DOWNLOAD CSV」をクリックしてCSVデータを出力することもできるので管理しやすいですね。

これからの時代、ログイン履歴を管理しておくことは大事かも

現実でも十二分に国々のボーダーがなくなり、グローバルになってきている昨今ですが、インターネットではさらに手軽に海外のサイトへアクセスできます。

どんどん便利になっていく世の中ですが、WEBサイト運営においては、国外からのリスクも意識しておくことが大切になってくると思います。何も国外に限ったことではありませんが、今では翻訳ツールなども充実しているので、グローバルなサイトが作りやすく、同時にユーザーの範囲も世界規模になっているからです。

そんな中でログイン履歴を把握できる環境でなければ、対策を考えにくいだけでなく、すでに手遅れになってしまうこともあるわけです。

不安を煽るような言い方になりましたが、きちんと対策をしておくことが重要だということです。万が一怪しいアクセスがあったとしても、どこからのアクセスが原因なのかを確認できれば、対策が可能ですから。また、初心者でもできるWordPressのセキュリティ対策について下記の記事にまとめましたので、ご覧ください。