Wordfenceの2026年3月第1週レポートでは、プラグイン84件・テーマ107件で合計201件の新脆弱性が報告されました。攻撃者はこれらの脆弱性を突いてサイトに侵入し、ステルスマルウェア(検知されにくいマルウェア)を仕込みます。
問題は、侵入されたことに気づかないまま数週間〜数か月経過するケースが非常に多いことです。当社が対応した2,000件以上のセキュリティインシデントのうち、約7割は「気づいたときには手遅れ」の状態でした。
目次
なぜ「ログ監視」が重要なのか
攻撃者がサイトに侵入する際、必ず「痕跡」が残ります。
- 見覚えのないIPアドレスからのログイン
- 深夜のプラグイン設定変更
- 新しい管理者アカウントの作成
- テーマファイルの不審な編集
これらをリアルタイムで検知できれば、被害を最小限に食い止めることができます。
無料で始めるログ監視3ステップ
ステップ1:WP Activity Logプラグインを導入する
WP Activity Log(旧WP Security Audit Log)は、WordPress内のあらゆる操作をログとして記録するプラグインです。無料版でも以下を記録できます。
- ユーザーのログイン・ログアウト
- 投稿・ページの作成・編集・削除
- プラグイン・テーマの有効化・無効化・更新
- ユーザーの追加・削除・権限変更
- 設定の変更
ステップ2:メール通知を設定する
WP Activity Logの有料版ではメール通知が可能ですが、無料で対応するならWordfenceのアラート機能を活用します。
- Wordfence→「All Options」→「Email Alert Preferences」
- 「Alert on critical problems」をON
- 「Alert when an administrator signs in」をON
- 通知先メールアドレスを設定
これだけで、管理者ログインや重大な問題が発生するたびにメール通知が届きます。
ステップ3:週次レビューを習慣にする
週に1回、5分程度でログを確認する習慣をつけましょう。チェックポイントは以下の3つです。
- 見覚えのないログインはないか(特に海外IPからのアクセス)
- 自分がしていない設定変更はないか
- 知らないユーザーが追加されていないか
さらに高度な監視体制を構築するには
ログ監視は「気づく力」を高めますが、24時間365日の監視を自社だけで行うのは現実的ではありません。
WP365のWordPress保守サービスでは、セキュリティプラグインの最適設定に加え、異常検知時の即時対応まで含めた保守を提供しています。「何かあったときにすぐ動ける体制」を持っておくことが、中小企業にとって最大の安心材料です。
まずは無料セキュリティ診断で、あなたのサイトが今どのような状態にあるかを確認してみてください。