ワードプレスのウェブサイトにセキュリティ対策と運用・運営支援のためのプラグインを厳選!
必要なことは、セキュリティを保つこと、そしてサイトの軽量化です。
Update:2021/06/25
機能・守備範囲と選ばれた理由の表にあるプラグインは、いずれも最新WordPress 5.8.1で正常に動作しています。お薦めプラグイン
選考対象
選考対象は、WordPressの機能を補完する、セキュリティ対策と運用・運営支援
さらに、テーマにて補完されうる機能、レンタルサーバーで提供される機能は、除外して
出来るだけ導入プラグインの数を減らしサイトの負荷の軽減と管理のしやすさを追求
選考範囲
セキュリティ対策
- ログイン保護
- REST API によるユーザ情報保護(隠す)
- アンチスパム
- サイトへの悪意のある要求をフィルタリングする
運用・運営支援
- 画像圧縮(次世代フォーマット:サイト軽量化)対応
- 画像最適化
- キャッシュ処理(スピードアップ)
- アクセス状況把握(ヒートマップなど)
- コンタクトフォーム(問い合わせ)
- 画像遅延読み込み(Lazy Load)※01.
- XMLサイトマップ作成※01.
- HTML/CSS/JavaScript等の縮小化※02.
- SEO内部対策※02.
- エディタ拡張※02.
- 記事投稿支援
※01.WordPress 5.5のネイティブサポート機能で除外できるもの
※02.機能を持つテーマを採用することで除外できるもの
テーマ Cocoonには、これらの機能が基本的に備わっている。
選ばれたプラグイン
機能・守備範囲と選ばれた理由
機能・守備範囲と選ばれた理由
プラグインの目的は、サイトのセキュリティ対策と軽量化
| No | プラグイン | 用途 | 選考理由 | 具体例:補足 |
|---|---|---|---|---|
| 01 | Akismet Anti-Spam | セキュリティ | スパム対策 | スパムコメントを フィルタリング Akismet Anti-Spam 但しPersonal(無償)版は、商用利用禁止※ ※、ビジネスサイト、アドセンス、アフリエイトなど |
| 02 | Wordfence Security | セキュリティ | 悪意の要求を フィルタリング | 無料版でもAkismetの補完になる Wordfence Security |
| 03 | SiteGuard WP Plugin | セキュリティ | ログイン保護 | 管理ページアクセス制限。 ログインしていない接続元から/wp-admin/を守る SiteGuard WP Plugin XO Securityと、共に使用する場合は、重複する機能をoffにする |
| 04 | XO Security | セキュリティ | REST API による ユーザ情報を隠す | wp-jsonのプレフィックス変更 (/wp-json/、/wp-json/wp/v2/usrersなど)※03 XO Security SiteGuard WP Pluginと、共に使用する場合は、重複する機能をoffにする |
| 05 | EWWW Image Optimizer | サイト 軽量化 | 画像を 劣化させることなく 自動で サイズを圧縮 | すでにアップしている画像も一括で圧縮。 次世代フォーマットWebP対応※04 EWWW Image Optimizer |
| 06 | Regenerate Thumbnails | 画像 最適化 | 登録済 サムネイル画像を 一括で 再生成・リサイズ | 既に運用しているウェブサイトにおいて、 プラグインやデザインスキン、ウィジェットを利用した場合 アップロード済みの画像では最適なサイズが存在しない為、 レイアウトが崩れてしまう事を防ぐ Regenerate Thumbnails |
| 07 | WP Fastest Cache | キャッシュ | サイトスピード 改善 | 最もシンプルで速いWPキャッシュシステム※05 Apacheサーバを利用している場合 Plugin Load Filter |
| 08 | Aurora Heatmap | ヒートマップ | アクセス状況把握 | プラグインだけで完結する シンプルなオーロラのように美しいヒートマップ※06 Aurora Heatmap |
| 09 | Plugin Load Filter | サイト軽量化 | プラグインを ページ毎ON/ OFF設定 | プラグインの有効化/停止を ページごとに制御できるプラグイン※07 Plugin Load Filter |
| 10 | WP Multibyte Patch | 日本語版 補助 | ダブルバイト文字を 補助 DBCS ※08 | 英語圏で作られたWordPressを 日本語環境で正しく動作させるために必要となる機能を網羅 日本語版パッケージにプラグインとして付属してたものが、 WordPress5.0からは、含まれなくなっています。 WP Multibyte Patch |
| 11 | Advanced noCaptcha & invisible Captcha | セキュリティ | 不正アクセスを AIによって見抜く | GoogleのAPI(reCAPTCHA)を使用 問い合わせフォームやコメント入力欄に設置することで、 悪質なアクセスを防ぎ不正なログインからあなたのサイトを守ってくれます。 設置にはGoogleアカウントが必要です。 Advanced noCaptcha & invisible Captcha ※.同等機能で、#13のInvisible reCaptcha for WordPressが、あります。 ※.Invisible reCaptcha for WordPressの方が良いと言う意見もあります。 ※.#11と#13を共にインストールしてはいけません |
| 12 | Super Progressive Web Apps | User Experience 「ユーザビリティ」 改善 | ユーザ エンゲージメント 向上 | Googleが推進しているPWA(Progressive Web Apps) PWAをごく簡単に説明すると、Webサイトをアプリ化する仕組みです。 スマホ画面にWebサイトのアイコンを設置できます(アイコンのタップで直ぐにWebサイトに) モバイル向けWebサイトをスマートフォンアプリのように使えるようにするための仕組みのことです。 このPWAを簡単にWordPressに実装するplugin Super Progressive Web Apps |
| 13 | Invisible reCaptcha for WordPress | セキュリティ | スパム対策 ログイン画面対策 但し、バージョンアップ未定? 最新reCaptchaは、ここから | GoogleのAPI(reCAPTCHA)を使用 無償で、ビジネス利用可 (設置にはGoogleアカウントが必要です。) インストール・有効化だけでなく別途設定が必要(別記事)※ ※.2つのサイトで#11と使い分けを考えたが、結局はこちらのみを使用 |
| 14 | Site kit by | ツール連携 | Googleが公式で提供 | Google公式ツールとWordPressを簡単に連携できる WordPress上でアクセス解析等が閲覧できる 1. サーチコンソールとSite Kitの連携 2. アナリティクスとSite Kitの連携 3. ページスピードインサイトとの連携 4. アドセンスとの連携 など、・・・他にも、 |
※03.ログインページの変更などの機能は「Site Guard WP Plugin」で行うため有効化しない
※04.次世代フォーマットWebPに未対応ブラウザに対しては別途.htaccessでの対応が必要(php7.4からは標準でWebPを扱えるが、これも未対応ブラウザへの対応が必要)
※05. 使用テーマで実装(SNS、ウィジェット、ブログカード、AMP、各種APIのキャッシュクリア)していない部分のみ採用
※06. 無料版でもアクセス状況の把握にかなり有用
※07. 管理画面でしか使わないプラグインや問合せページでしか使わないプラグインを他のページではプラグインの読み込みを停止できる
※08. DBCS : Double-Byte Character Set - 各種(日本語以外にも有)の2 バイト文字と
1バイト文字(半角:SBCS:Sはシングル:Single)の混在がある場合に対処が必要。
日本語(DBCS)とアルファベット・数字・カナが半角(SBCS)混在表記で、
文字が重なって表示されたサイトを、複数見かけています。
関連記事 : 特定のページでしか使わないプラグインは、特定ページ動作に限定する
関連記事 : 危険!あなたのログイン画面が素で公開されています
関連記事 : あなたのホームページ危険です管理者情報が丸見えです。
関連記事 :画像を次世代フォーマットに変換してサイトの表示スピードアップ
関連記事 : 実験で分かった事、テーマを隠すxxxプラグイン使ってはいけない
選外とその理由
※除外の1番の理由は、長期に渡ってメンテナンスされていないプラグイン
開発チームが既に解散している等で、セキュリティ面での脆弱性を抱えているかも知れない。また、最新のWordPressに対応できない(古いバージョンのphpなどで開発されているかも知れない)最終更新日が1年以上前のもの
以下のプラグインは一例
- コンタクトフォーム(問い合わせ)
Contact Form 7:問合せフォーム作成のための、日本発の有用な定番プラグイン
有効インストール数: 5百万以上ではあるが、
筆者のサイトは別のCMS(concrete5)で制作した問合せフォームを利用するため不採用
- 画像遅延読み込み(Lazy Load)※01.
SG Optimizer:有効インストール数: 90万以上
WordPress 5.5でLazy Loadは、ネイティブサポートされる。
筆者のサイトでは既にテーマ(Cocoon)でサポートされているため不採用。
- XML サイトマップ作成※01.
Google XML Sitemaps:有効インストール数: 2百万以上
WordPress 5.5でXML Sitemapは、ネイティブサポートされる。
但し、最終更新日は出力されない
筆者のサイトではプラグインに頼らない運用のため不採用。
- Htmlサイトマップ作成
PS Auto Sitemap:有効インストール数: 20万以上であるが、
最終更新が5年前であり、開発チームが解散している可能性もある。
脆弱性の懸念も!(更に、WordPress 4.2.28までしか対応していない。)
(にもかかわらず、20/10/31時点でもこのプラグインを使用しているサイトが以外にも多い
(Cocoonフォーラムに寄せられた質問での使用プラグイン状況から判明)!
セキュリティに無関心か?
多くのサイトがプラグイン導入時のまま放置(更新の重要性を意識していない))
必要であれば。テーマCocoonの機能で出力ができる。
Cocoonで出力されたhtmlサイトマップ
- HTML/CSS/JavaScript等の縮小化※02.
Autoptimize:有効インストール数: 2百万以上ではあるが、
筆者のサイトでは既にテーマ(Cocoon)でサポートされているため不採用。
- SEO内部対策※02.
All In One SEO Pack:有効インストール数: 2百万以上で定番とも呼ばれているが、
テーマ(Coconn,STINGERやBBSシリーズ)により実装(title,description)されている場合もあり、導入するプラグインを減少させるためには不向き。
さらにCocoonでは、ページのみならず、コンテンツ(各記事)やカテゴリ、タグ、画像にまでtitleやdescriptionを記載できる。
- エディタ拡張※02.
TinyMCE Advanced:有効インストール数: 2百万以上でビジュアルエディタの機能を拡張することができるプラグイン(表の挿入、または編集、YouTube 動画コードの挿入、画像の回りに余白を挿入など)がある。(Advanced Editor Tools (previously TinyMCE Advanced))
Cocoonで拡張されたブロックエディタが充分な機能を持つため不採用。
番外編(不採用)
- 記事投稿支援
WordPress Ping Optimizer :有効インストール数: 10万以上
Ping送信の有用性を感じないため
Tablepress : 有効インストール数: 80万以上
コードを書く必要なしに、美しく機能豊富なテーブルを作成するプラグイン
(これもCocoonの機能で補完できるし、多少のcssの理解があればより十分なレイアウトができる。この記事で記載しているテーブルも!)
WebSub/PubSubHubbub : 有効インストール数: 10万以上
検索エンジンに更新したページを認識させる
(これもXMLサイトマップと、サーチコンソールを有効に使用することで不要)
Jetpack by WordPress.com : 有効インストール数: 5百万以上
サイトセキュリティプラグインであるが、過去に何度も脆弱性を指摘された
無償版でも、ダウンタイムのモニター。総当たり攻撃からの保護。基本アクティビティログ。無制限の画像 CDN(コンテンツデリバリーネットワーク:単にファイル(画像やZIPファイル等)をダウンロード配信するための技術)。画像の遅延読み込み。サイト統計情報。自動ソーシャルメディア投稿、があるがセキュリティは限界か?
- 開発後の運用引き渡し用
サイトをクライアントに納品する際に、ダッシュボード内の不必要なメニューを非表示にする。
表示順を変更する。などを「functions.php」を編集することなく、管理画面の整理・調整が可能。管理画面のカスタマイズプラグイン
Admin Menu Editor : 有効インストール数: 30万以上
Adminimize : 有効インストール数: 20万以上
まとめ
WordPressのために開発されたプラグインは多種多様・玉石混交を極めるが、目的をもって必要最低限の採用(導入)をお薦めします。
必要としなくなった、または使用していないプラグインは無効化するだけでなく、削除をお薦めします。
長い間メンテナンスされていないプラグインがあった場合、無効化しているだけではセキュリティ的に不十分だからです。
また、定期的に導入しているプラグインを見直すことも必要です。
✅ メンテナンスされなくなったものは無いか?
✅ WordPressのバージョンアップと共に、対応していないプラグインは無いか?
など、
ウェブサイトはメンテナンスが必要不可欠です。
使っちゃいけないプラグイン
反対に、使ってはいけない(潜在脅威を含む)プラグインはこちら
使っちゃいけないプラグイン(更新)2022/06/29
”このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。
もうメンテナンスやサポートがされていないかもしれず、
最新バージョンの WordPress で使用した場合は互換性の問題が発生する可能性があります。”
WordPress.orgでも上記の様に説明されてます。
コメント