読者です 読者をやめる 読者になる 読者になる

踊るバイエイターの敗者復活戦

アルバイトやアフィリエイトを含めたネット広告からの収入で生計を立てる人に踊りながら(楽しみながら)生き抜くための知恵を紹介するブログ。多くのWebマーケターに読まれています。不定期19時頃更新。

WordPressのプラグインは便利だが危ない!最低限のプラグインからセキュリティを高めるための知識までを述べていく

WordPress

f:id:asiaasia:20160530173453j:plain

Increíbles hazañas de los 3 hackers

 

自分はアフィリエイトサイトを運営する際にWordPressを利用している。WordPressが人気なのはプラグインという形で簡単に便利な機能の実装が出来るからだろう。

ただ、プラグインは常に最新のバージョンに保たないと脆弱性が見つかったものほど侵入されやすくなる。また、長い期間更新がなされていないプラグインは脆弱性が放置されたままだったり、最新のバージョンに対応していない場合もある。

下記でも詳しく説明するが、出来るならプラグインに頼らない機能の実装が理想的である。プラグインの整理は定期的に行い、使っていないものは削除するようにした方が良いだろう。

 

目次

 

WordPressのおすすめプラグイン

アフィリエイトサイトで入れていたプラグインを見直す機会があり、不要なものを出来る限り削除したところ、最低限のプラグインとして14個にまで絞る事が出来た。

下記ではこれらおすすめプラグインを簡単な機能説明と一緒に紹介していく。SEO対策を行う上で便利なプラグインには(SEO対策用)と表記している。

 

▶ Akismet

コメントスパムやトラックバックスパムを別のフォルダへ自動分類してくれるプラグイン。

 

▶ All In One SEO Pack(SEO対策用)

SEOにおける細かい内部対策が出来るプラグイン。記事ごとのメタタグ(meta discription や meta keywords)設定だけでなく、検索結果に表示するページを調節する事によって、アフィリエイトの成約率を高める施策を行う事も出来る。

 

▶ Broken Link Checker(SEO対策用)

発リンクでリンク切れのページを教えてくれるプラグイン。リンク切れページへユーザーを誘導する事はSEO対策上も様々なマイナスに繋がる。リンクが切れれば、それを自動で知らせてくれる便利なプラグインである。

 

▶ Contact Form 7

お問い合わせフォームを簡単に作成してくれるプラグイン。記事ページや固定ページにタグを入れるだけで、お問い合わせフォームの挿入も簡単に行う事が出来る。

f:id:asiaasia:20160529012149j:plain

上記のようなコンタクトフォームを記事中に挿入する事が出来る。

 

▶ Google XML Sitemaps(SEO対策用)

記事を更新する度にサイトマップを自動生成し、検索エンジンへと通知してくれるプラグインである。通常手動で行う必要のある部分を自動的に行ってくれるため便利である。

検索エンジンに認識してほしくないページの指定をする事も出来る。

※補足:「Google XML Sitemaps」の機能は「All In One SEO Pack」でも代用できるとの意見もありました。

 

▶ PubSubHubbub(SEO対策用)

Googleへのインデックスを早める事が出来るプラグインである。いち早くGoogleへとインデックスさせるため、オリジナルである事を主張できると同時に、ほぼリアルタイムでRSSフィードに配信させる事が出来る。

もちろん、Feedy購読者へも記事の投稿があった事を素早く知らせる事が出来る。

 

▶ Pz-LinkCard

はてなブログのブログカードに似たようなカードを生成出来るプラグイン。色や大きさ等細かいデザインの調整もできる。

 

▶ Revision Control

WordPressにデフォルトで入っている便利な機能として、記事の変更する度にバックアップを取ってくれるというものがある。ただ、変更の度に同じようなコンテンツを保存していくため、更新を繰り返すと膨大なデータをサーバー上に貯めてしまう。

このWordPressにおけるデータバックアップを過去何回かに制限し、それ以前のバックアップを自動で削除してくれるプラグイン。

 

▶ SiteGuard WP Plugin

WordPress管理画面への侵入を防ぐ、セキュリティ上の対策が出来るプラグイン。ログインページからの侵入だけでなく、ログインしていない状態で管理画面に入る事にも制限を加える事が出来るようになる。サイト乗っ取りやウェブページの改ざん等をある程度まで防ぐことが出来るだろう。

プラグインの脆弱性を狙った外部からの侵入を防ぐための対策については記事後半を参考に。

 

▶ Table of Contents Plus(SEO対策用)

記事中にある見出しから目次を自動生成できるプラグイン。長文になる記事では特に、直帰率を下げるために必須になるかと思う。目次を表示する位置等細かい設定もできる。

f:id:asiaasia:20160601133149p:plain

上記のような目次を自動で表示してくれる。記事の構成を見直す際にも便利なプラグインである。

 

▶ TinyMCE Advanced

ビジュアルエディタを拡張できるプラグイン。記事投稿画面における編集ボタンを増やし、htmlやタグを知らなくとも、無料ブログと同じような感覚で記事を作成できるようになる。

 

▶ WP Multibyte Patch

WordPressは英語を元に運用することを前提に作られているため、日本語環境では正しく表示されなかったり、作動しない部分が出て来てしまう。これら問題を総合的に修正するためのプラグイン。

 

▶ WP-DBManager

データのバックアップ管理が出来るプラグイン。自動的にバックアップを行ってくれたり、データをメールに載せて送信する事も出来る。

データのバックアップを行ってくれるプラグインとしては、「BackWPup」も有名である。

 

WordPressのプラグインでセキュリティを高めるために必要な事

f:id:asiaasia:20160530173911j:plain

最近起こっているいわゆるサイトの乗っ取りも、多くがWordPressで起こっている。脆弱性がスキャンされ、セキュリティ上弱い部分から侵入し、Webページが改ざんされたり、場合によってはWordPressごと乗っ取られるケースも出ている。

 

プラグインは便利な機能が紹介されているのを見るとついつい導入したくなるかと思う。しかし、長い期間更新がなされていないプラグインは危険であると考えよう。放置プラグインは脆弱性の修正もなされていない事が多い。

 

もちろん、プラグインは最新のバージョンに保たないとこうした脆弱性も放置されたままになるので、常に最新のバージョンに更新するという事も大事である。WordPressを放置している人は最新のバージョンに保っていない人もいるかと思うが、これも危険だと考えよう。

大量にサイトを所有している人、ブログを放置しがちな人はプラグインを自動的に更新してくれるプラグイン「Advanced Automatic Updates」の導入も検討した方が良いだろう。ただし、プラグインの更新によって、サイトが表示されないといった不具合が生じる可能性もある。どのプラグインが原因かの特定も難しくなるので、出来る限り手動で行った方が良いだろう。

 

もちろん、プラグインの整理は定期的に行い、使っていないものは積極的に削除するようにする事も忘れずに。

 

個人的に行っているWordPressのセキュリティを高める対策

WordPressのセキュリティを高めるために個人的に行っているのは

▶ 管理画面への侵入を防ぐ「SiteGuard WP Plugin」の導入

▶ プラグインを常に最新の状態にする

▶ 使っていないプラグインは積極的に削除する

▶ 最終更新日が1年以上のプラグインは全て削除し、プラグイン以外での代替を考える

主に以上の4つである。 

 

プラグインの最終更新日の確認方法を説明すると、WordPressの管理画面からプラグインを選択する。インストールしたプラグイン一覧が表示されるかと思う。

インストールしたプラグインの説明部分下に「詳細を表示」と書かれた部分があるので、ここをクリックする。

f:id:asiaasia:20160530181748p:plain

すると、下記のようなプラグインの詳細な説明が表示され、ここに最終更新日も記載されている。

f:id:asiaasia:20160530080913p:plain

 

先日放置サイトのプラグイン点検を行ったが、下記人気プラグインは長期間更新がなされていなかったため削除した。

▶ Better Delete Revision 最終更新日1年以上前

▶ Quick Adsense 最終更新日3年以上前

▶ WP Hyper Response 最終更新日5年以上前

WordPress自体が更新されるとプラグインの修正もなされるのが普通だが、これら3つは「このプラグインは現在使用しているWordPressのバージョンではテストされていません。」との表示も出ていた。

 

Better Delete Revisionはデータベースに貯まったバックアップを削除する優れたプラグインだが常に入れておく必要はない。最終更新日1年以上経っているので、削除したいと思った時にインストールし、使ったら削除するようにしている。

 

Quick Adsenseは文中の指定位置に広告を設置出来る便利なプラグインだが、3年以上更新がなされていないのは危ないと判断し削除した。Googleアドセンス導入サイトではヘッダーへコードに挿入する形で代用出来たので、プラグイン無しで行うようにしている。

 

一番古かったのはWP Hyper Responseで、これは5年以上も更新がなされていないプラグインである。サーバーを代える前まではwordpress管理画面の読み込み速度が上がっていたので導入していた。しかし、最近はこのプラグインのせいで遅くなっていたのでなないか?と疑うぐらい読み込みの邪魔をしていたように思える。もっと早く削除すべきだったと思う。

 

導入しているけど、早く更新してほしいプラグインは下記の通りである。

▶ Revision Control 5ヶ月

▶ PubSubHubbub 7ヶ月

更新がなければ外す事も検討している。「PubSubHubbub」は「このプラグインは現在使用している WordPress のバージョンではテストされていません。」との表示が出てしまっている。

 

セキュリティを考えるなら、利用したい機能が最初から実装されている有料テーマだったり、プラグインに頼らないやり方を考えた方が良いだろう。

ウェブサイトは立派な資産であり、外部からの侵入を許せばこれを一瞬で失ってしまう可能性もある。

プラグインは便利だが、手当たり次第インストールし、そればかりに頼る事はおすすめできない。ブロガーの多くは危ないという認識を持っていないので、今回の記事がその注意喚起になれば幸いである。

 

WordPressのおすすめ「サーバー」や「テーマ」については下記記事も参考に。

 

スポンサーリンク