WordPressを使って、ホームページのリニューアルを受託しました。クライアントの方はWordPressが使えて、自分でコンテンツを作っていらっしゃいます。

WordPressでは、プラグインを追加することでさまざまな機能が追加できます。一方でこの柔軟性ゆえに、プラグインが攻撃の対象となり、改ざんや情報の不正入手などが起こりうる危険があります。

それを回避するには、不要なプラグイン、機能が重複しているプラグインを削除し、必要なプラグインはアップデートしてバージョン管理をすることです。

今回、クライアントから相談を受けたので、インストールされているプラグインをチェックしました。

Akismet Anti-spam: Spam Protection

コメントやフォームのスパムを削除するプラグインです。WordPressをインストールするとデフォルト（最初から）入っています。

コメントやフォームを使っていなければ不要です。フォームのスパム対策はGoogleのreCAPCHAを設定するのが良いようです。不要なプラグインは無効化ではなく、削除するのが良いです。

●参考

All-in-One WP Migration
All-in-One WP Migration Unlimited Extension

データのインポート・エクスポートをするプラグインです。今回の開発ではステージング環境を別のWordPressで用意したので、このプラグインを使って本番データをファイルでエクスポートして、ステージングでインポートしました。ステージング環境でリニューアルを進め、完成したらステージングデータを同様にファイルでエクスポートし、本番にインポートして、公開しました。無料版では容量制限があるため、容量を拡大するために有料のエクステンションのプラグインを購入し、インストールしています。

Broken Link Checker

サイト内のリンクのリンク切れ自動的に指定する時間間隔でチェックをして、切れているリンクの一覧を出すプラグインです。これは便利なので、おすすめしました。

Converter for Media

画像最適化プラグインです。読み込みスピードが向上するので、入れた方が良いでしょう。

●参考

次のGoogleのスピードテストでチェックができます。

https://pagespeed.web.dev/

Hello Dolly

これもWordPressをインストールするとデフォルトで入っています。

管理画面の右上にLouis Armstrong が歌った「Hello, Dolly」からの歌詞がランダムに表示されるのだそうです。基本的には不要なので、ごめんなさい、削除しています。

LightStart - Maintenance Mode, Coming Soon and Landing Page Builder

メンテナンス中にサイトをクローズして、メンテナンス中であることを表示するプラグインです。今回、本番サイトにリニューアルデータをインポートする前にこれを有効化して、メンテナンス中表示にしました。

●参考

SEO SIMPLE PACK

必要最低限な機能だけが搭載されているシンプルなSEOプラグインです。

国産テーマのSWELLと同じ開発者が作っており、設定画面も全て日本語対応しています。基本的なページのタイトルなどのSEO対応や、SNSでリンクが投稿される際に表示される画像であるOGP（Open Graph Protcol）の設定ができます。

SEOのプラグインはいろいろありますが、このプラグインがシンプルで良いように思います。

UpdraftPlus

バックアップのプラグインです。無料版で必要十分な機能なので、私は担当するWordPressにいつも入れています。バックアップは、攻撃などで改竄されたり、システムがおかしくなった時に元に戻すために必須です。WordPress本体やプラグインのアップデートの際にも必ずバックアップを取り、万一アップデートで不具合が発生した時には、元に戻せるようにしています。これもおすすめしました。

WP Multibyte Patch

日本語版パッケージのためのマルチバイト機能の拡張プラグインです。なくても問題はないようです。文字化けしたら入れてみると良いと思います。

WPForms Lite

簡単にお問い合わせフォームなどのフォームが作れるプラグインです。WordPressでは、Contact Form7が有名で私も使っていますが、WPFormsはフォームを作るUIが簡単で良いですね。こちらも多くのサイトにインストールされているそうです。

Wordfence Security

セキュリティプラグインもいろいろありますが、このプラグインがおすすめです。
reCaptcha v3も簡単に導入できますし、とりあえず入れとけば安心です。

レポートを見ると、けっこう攻撃されていることがわかります。

Wordfenceを導入する場合はこれで十分で、それ以外のセキュリティプラグインは削除しています。


プラグインは定期的にアップデートをチェックし、バージョン情報を見ながらアップデートのタイミングを見計らって、アップデートしていくことが必要です。

合同会社くらラボではWordPressの保守もお手伝いしています。