REST API脆弱性 | Webサイトに必要なことと道具

WordPress 5.8.1 セキュリティ＆メンテナンスリリース

Jun-N — Thu, 09 Sep 2021 09:38:55 +0000

Security Update
- 5.8.1セキュリティメンテナンス
REST API
- REST APIはデフォルトで有効
XSS
- xss攻撃の実際
- 発生しうる脅威
今回のアップデートは5.8ブランチ以外も対象

Security Update

5.8.1セキュリティメンテナンス

2021/09/09 WordPress 5.8.1 セキュリテイ対策３件　＋ 60件のバグに対処したリリース

セキュリティに関する修正として、

「REST API」における情報漏洩の脆弱性対応

　　（RESTAPI内のデータ公開の脆弱性を修正）

ブロックエディタにおけるクロスサイトスクリプティング（XSS）の脆弱性対応

　　（ブロックエディタでXSSの脆弱性）

セキュリティ修正が行われたライブラリ「Lodash」のアップデート

　（Lodashライブラリは、各ブランチでバージョン4.17.21に更新され、アップストリームのセキュリティ修正が組み込まれています。）

REST API

REST API の問題で思い起こされるのは、2017年の1月から2月にかけて起きたWordPressのバージョン「4.7」および「4.7.1」で、REST APIの脆弱性を突かれたセキュリティ事故（155万以上のサイトが改ざんされた）･･･これは既に対応バージョン4.7.2で回避されたが、「REST API」については常に脆弱性を狙った攻撃があるものと覚悟して、脆弱性が発見されたら直ぐに対応バージョンをあてるという対策は常に行うべきもの

REST APIはデフォルトで有効

対策をされていない場合、脆弱性が悪用されると、本来必要な認証をせずに、ウェブサイトのコンテンツの投稿や編集、削除といった改ざんが可能となる。

出典：IPA 独立行政法人情報処理推進機構

危険あなたのホームページ早急に２つの脆弱性対応が必要です

あなたのホームページ今すぐに脆弱性対応が早急に必要です。危険wp-login.phpが無防備に公開されています。これは玄関の鍵を開けたまま留守にしている状態と言えます。

　xss : クロスサイトスクリプティング

XSS

クロスサイトスクリプティング図の出典：IPA

ウェブアプリケーションの中には、検索のキーワードの表示画面や個人情報登録時の確認画面、掲示板、ウェブのログ統計画面等、利用者からの入力内容やHTTPヘッダの情報を処理し、ウェブページとして出力するものがあります。
ここで、ウェブページへの出力処理に問題がある場合、そのウェブページにスクリプト等を埋め込まれてしまいます。
この問題を「クロスサイト・スクリプティングの脆弱性」と呼び、この問題を悪用した攻撃手法を、「クロスサイト・スクリプティング攻撃」と呼びます。
クロスサイト・スクリプティング攻撃の影響は、ウェブサイト自体に対してではなく、そのウェブサイトのページを閲覧している利用者に及びます

出典：IPA 独立行政法人情報処理推進機構

xss攻撃の実際

以下は、私のサイトにXSS攻撃があってWordfenceが防御したものです。

XSS攻撃の実際

発生しうる脅威

クロスサイト・スクリプティング攻撃により、発生しうる脅威は次のとおりです。

– 本物サイト上に偽のページが表示される
　　・偽情報の流布による混乱
　　・フィッシング詐欺による重要情報の漏えい等

– ブラウザが保存しているCookieを取得される
　　・ Cookie にセッションIDが格納されている場合、さらに利用者へのなりすましにつながる
　　・ Cookie に個人情報等が格納されている場合、その情報が漏えいする

– 任意のCookieをブラウザに保存させられる
　　・セッションIDが利用者に送り込まれ、「セッションIDの固定化」攻撃に悪用される

今回のアップデートは5.8ブランチ以外も対象

セキュリティアップデート　5.8.1を参照

バージョン	ブランチ	内容
5.7.3	5.7	セキュリティアップデート　5.8.1を参照
5.6.5	5.6	セキュリティアップデート　5.8.1を参照
5.5.6	5.5	セキュリティアップデート　5.8.1を参照
5.4.7	5.4	セキュリティアップデート　5.8.1を参照
5.3.8	5.3	セキュリティアップデート　5.8.1を参照
5.2.12	5.2	セキュリティアップデート　5.8.1を参照

WordPress 脆弱性とバージョン推移 v.6.9.1

WordPress 6.9.1 あなたのホームページがワードプレスで作られていて何も対策をしていないと改ざんされたり・危険です。ホームページに訪れてあなたのお客さんになってくれるかも知れない人たちに不安を抱かれてしまいます。（あなたのホームページが何で作られているか？な人はお問い合わせください） WordPressは、積極的に保守されていますか？ WordPress.orgでは、「積極的に保守されている5.n系統の最新版以外の以下のバージョンは、安全に使用することはできません。」と公式に表明しています。以下に、WordPressの、脆弱性とバージョンの推移をお知らせします。

WordPress 5.7.1 Security ＆ Maintenance Release

Jun-N — Thu, 15 Apr 2021 07:41:59 +0000

Security ＆ Maintenance Release

WordPress5.7.1

セキュリティとメンテナンス・リリース

これは、
2点のセキュリティ修正と
26点のバグ修正を含んだセキュリティとメンテナンスのリリースです。　

概要

2点のセキュリティ修正。
- PHP 8 環境で発生するメディアライブラリの XXE脆弱性。
  - （XML External Entity: XML 外部エンティティ参照, XML 外部実体）は、アプリケーションが XML を解析した際に、XML の特殊構文を悪用されて発生する脆弱性
- REST API のデータ露出の脆弱性。
26点のバグ修正
- ＃52670，＃52760，＃52816，＃52859，＃52981，＃52982，＃52764，＃52789，＃52912，＃52768，＃52961，＃52713，＃52743，＃52756，＃52758，＃52911，＃52834，＃52822，＃52826，＃52750、＃52751，＃52891，＃52787，＃52932，＃52894，＃52783，
  - 「WordPress 5.7」に対する問題
  - 「REST API」に対する問題
  - 「ブロックエディタ」の問題
  - 「クラッシックエディタ」の問題
  - 「テーマ」の問題
  - 他、

詳細

カテゴライズして並び変えました

管理

Administration_コンポーネント

SQ	問題#	内容
01	#52670	「Admin pointer arrow」が分かりにくい管理者の矢印ポインタの境界色が、ポインターの色より暗い。 Admin pointer arrow border color darker than pointer content ,Priority_normal
02	#52760	[AA] アクセシビリティの問題：着色できない AA:ASCII art（アスキーアート）の略語。記号・文字を使って表現する絵 Color not accessibility for AA ,Priority_normal

バンドルされたテーマ

Bundled Theme_コンポーネント

SQ	問題#	内容
03	#52816	テーマ「Twenty Seventeen」境界「meta box」関数の問題??? Post metabox style Twenty Seventeen has a border ,Priority_normal
04	#52859	「WordPress 5.7」に対する問題バンドルされたテーマ：「テスト済み」の値を更新 5.7.1のバンドルされたテーマバージョンをバンプ衝突??? Bump bundled theme version(s) for 5.7.1　,Priority_normal
05	#52981	テーマ「Twenty Twenty-One」の「IE」固有のエディタースタイルシートを更新 Twenty Twenty-One: Update IE specific editor stylesheet ,Priority_normal
06	＃52982	デフォルトのテーマの「テスト済み」を更新 5.7リリースで見落とされていたテーマディレクトリまたはWordPressダッシュボード内に表示されません Update the “Tested up to” for default themes　　,Priority_normal

エディタ

Editor_コンポーネント

SQ	問題#	内容
07	#52764	「クラッシックエディター」の問題いくつかの埋め込みメディアで、状況において空をタグを追加する。??? Classic editor adding empty tags in some media embed situations ,Priority_normal
08	#52789	「Gallery layout block」：ギャラリーレイアウトブロックイメージを変更する時に、すべてのメディアアイテムを追加する??? Gallery layout block adds all media items when changing an image ,Priority_normal
09	#52912	2つの[npm]リリースからの変更関連：block-directory、block-editor、block-library、edit-post、editor、format-library、reusable-blocks、 5.7.1のWordPressパッケージを更新します. [npm]:Node Packaged Modules;Node.jsのツールやパッケージインストールしたり管理したりする方法 Update WordPress packages for 5.7.1 ,Priority_normal

オブジェクトの埋め込み

Embeds_コンポーネント

SQ	問題#	内容
10	#52768	「iframe lazy-loading」：iframeの遅延読み込みにおいて WordPressは、「oEmbed」にて、URLの表現をブロックされる。「oEmbed」API:埋め込み用コードを取得するためのシステム、統一規格 WordPress post URL oEmbed rendering blocked by iframe lazy-loading ,Priority_normal

フォーマット

Formatting_コンポーネント

SQ	問題#	内容
11	#52961	「css」：カスケーディングスタイルシート「object-position」は、許可された[CSS]属性として追加された。「object-position」プロパティは、ボックス内における置換要素の配置を指定する。 Add ‘object-position’ as an allowed CSS attribute ,Priority_normal

一般

General_コンポーネント

SQ	問題#	内容
12	#52713	「wp_robots」関数機能とフィルターの、ロジックの逆転??? Reverse logic in wp_robots function and filter ,Priority_normal

ヘルプと～について

Help/About_コンポーネント

SQ	問題#	内容
13	#52743	「WordPress 5.7」に対する問題 WordPress5.7の画面で、「SVG」イメージのURLがハードコーディング（オウンコーディング） Hardcoded SVG image URLs on WP 5.7 About screen.,Priority_normal
14	#52756	「WordPress 5.7」に対する問題 WordPress5.7の画面で、ビデオのURLが重複 Duplicate video URLs on WP 5.7 About screen ,Priority_normal
15	#52758	「WordPress 5.7」に対する問題一部のブラウザで、最初の読み込みで画像の比較が機能しない??? 5.7 About Page:Image comparison doesn’t work on first load on some browsers ,Priority_normal
16	#52911	「WordPress 5.7」に対する問題 5.7.1のAboutページを更新します WP-Adminaboutページを5.7.1changelogアイテムで更新することを忘れないでください。 Update the About page for 5.7.1 ,Priority_normal

Login and Registration_コンポーネント

SQ	問題#	内容
17	#52834	「パスワードのリセット画面」：ボタンレイアウトを「i18n」に則って改善「i18n」：情報処理における国際化と地域化　　　　国際化（（internationalization、internationalisation、i18n）ソフトウェアに機能的な変更や拡張を加えることなく多様な言語や地域に適合できるようにする、ソフトウェア設計の工程。言語や地域に依存しない、仕様の汎用化や共通化を含む。　　　　地域化（localization、localisation、L10N）特定の言語または地域固有の文化に応じたソフトウェアコンポーネント（構成部品）や機能を実装したり、ユーザー向けに表示されるメッセージ中の文言を翻訳したりすることによって、ソフトウェアを特定の言語や地域に適合させる工程。　　　　「ローカライズ」「ローカライゼーション」とカナ表記されることのほうが多い。　　　　 Reset password screen: improve buttons layout for better i18n ,Priority_normal

メール

Mail_コンポーネント

SQ	問題#	内容
18	#52822	「WordPress 5.7」に対する問題,優先度：高「PHPMailer：PHPコードを介して電子メールを送信する為のコードライブラリ」の変更で、「WordPress5.7」内の作業サイトが破損する。 PHPMailer change in WordPress 5.7 breaks working sites,Priority_high

メディア

Media_コンポーネント

SQ	問題#	内容
19	#52826	新しい、「wp_getimagesize()」関数が、予期しない障害を引き起こす New wp_getimagesize() causing unexpected failures ,Priority_normal

メタAPI

Options, Meta APIs_コンポーネント

SQ	問題#	内容
20	#52750	「WordPress 5.7」に対する問題「get_option」関数で、　’admin_color’のコントラストが変化するため、WP5.7の色に一貫性がない。 WP 5.7 colors inconsistent in get_option( ‘admin_color’ ) since color contrast changes ,Priority_normal

プライバシー

Privacy_コンポーネント

SQ	問題#	内容
21	#52751	「プライバシーポリシーガイドページ」の「UI」の問題 UI(ユーザインタフェース：見た目や操作性) UI issue on Privacy Policy Guide page ,Priority_normal
22	#52891	「Privacy」：プライバシーリーダテキストメッセージ：印刷画面??? Privacy: print screen reader text message ,Priority_normal

開発者が使用するインターフェース

REST API_コンポーネント

SQ	問題#	内容
23	#52787	「REST API」に対する問題,優先度：高空の配列を含む非単一???の投稿は、「REST API」で、[meta]が壊れ保存されない Empty array for non-single post meta breaks post save through REST API ,Priority_high
24	#52932	「REST API」の問題、「WordPress 5.7」に対する問題「REST API」の「enum」認証は、WordPress5.7で正しく作動しない。「enum」：列挙型、基になる整数値型の一連の名前付き定数によって定義された値の型 Rest Api enum validation does not work correctly WordPress 5.7 ,Priority_normal

スクリプトとスタイルのデフォルトのローダー

Script Loader_コンポーネント

SQ	問題#	内容
25	#52894	「WordPress 5.7」に対する問題 v5.7で追加された「wp_sanitize_script_attributes」関数は、いくつかのケースで、場合によっては属性をエスケープしない。 The wp_sanitize_script_attributes function added in version 5.7 does not escape attributes in some cases ,Priority_normal

サイトヘルス

Site Health_コンポーネント

SQ	問題#	内容
26	#52783	「ヘルスチェック」「ヘルスチェック」が特定の状況で、「https」機能を誤って報告する Health Check mis-reports https functionality in certain situations ,Priority_normal

※.???印は、意味がいまひとつ理解できておりません。
コメントを戴ければ、幸いです。

ピーアール

ピーアール【ＰＲ】

SQ	問題#	内容
pr	PR30218	[コアデータ]：「showCombobox」のために「getAuthors」を使用「getAuthors」：Author名取得「showCombobox」：コンボボックスを表示 Core Data: Use getAuthors for showCombobox
pr	PR30524	「エディタ」： (#27717)を元に戻す：変更時にエディターの値を保存する (#27717)：プラグインの強制更新を許可（最新の場合でも）。 Editor: Revert (#27717) save editors value on change
pr	PR30122	「ギャラリー」：イメージ・ギャラリーの画像がIDを持たない時、誤り（to false）をセット（Set addToGallery）する問題 Gallery: Set addToGallery prop to false when images don’t have IDs
pr	PR29809	「Revert」：元に戻す空のパラグラフを示す：前面（フロントエンド） Revert: Show empty paragraphs on fronted
pr	PR29860	試してみてください：「ギャラリーアイテム」のクリックを修正 Try: Fix gallery item clicking
pr	PR29920	「ブロックリスト」：「ブロックリスト」の最後に表示される兄弟「ブロックインサーター」を修正 Fix sibling block inserter displaying at end of block list
pr	PR30125	「ブロックエディタ」：分類されていない「ブロックタイプ」が適切に処理されることを確認 Block Editor: Ensure that uncategorized block types are properly handled
pr	PR30243	追加された「object-position」関数で、許可された「インラインスタイル」属性リスト Add object-position to allowed inline style attributes list

WordPress 5.7.1 Security ＆ Maintenance

WordPressあなたにオススメ厳選プラグイン14

Jun-N — Fri, 31 Jul 2020 10:54:04 +0000

ワードプレスのウェブサイトにセキュリティ対策と運用・運営支援のためのプラグインを厳選!

必要なことは、セキュリティを保つこと、そしてサイトの軽量化です。

Update:2023/１２/25

機能・守備範囲と選ばれた理由の表にあるプラグインは、いずれも最新WordPress 6.4.2で正常に動作しています。

お薦めプラグイン
- 選考対象
- 選考範囲
  - セキュリティ対策
  - 運用・運営支援
選ばれたプラグイン
- 機能・守備範囲と選ばれた理由
  - プラグイン一覧
- 選外とその理由
  - 以下のプラグインは一例
まとめ
使っちゃいけないプラグイン

お薦めプラグイン

今すぐ確認　　

選考対象

選考対象は、WordPressの機能を補完する、セキュリティ対策と運用・運営支援

さらに、テーマにて補完されうる機能、レンタルサーバーで提供される機能は、除外して

出来るだけ導入プラグインの数を減らしサイトの負荷の軽減と管理のしやすさを追求

選考範囲

選考対象プラグイン

セキュリティ対策

ログイン保護
REST API によるユーザ情報保護(隠す)
アンチスパム
サイトへの悪意のある要求をフィルタリングする

運用・運営支援

画像圧縮(次世代フォーマット：サイト軽量化)対応
画像最適化
キャッシュ処理（スピードアップ）
アクセス状況把握（ヒートマップなど）
コンタクトフォーム（問い合わせ）
画像遅延読み込み（Lazy Load）^※01.
XMLサイトマップ作成^※01.　
HTML/CSS/JavaScript等の縮小化^※02.
SEO内部対策^※02.
エディタ拡張^※02.
記事投稿支援

※01. WordPress 5.5のネイティブサポート機能で除外できるもの

※02. 機能を持つテーマを採用することで除外できるもの
テーマ Cocoonには、これらの機能が基本的に備わっている。

選ばれたプラグイン

選択

機能・守備範囲と選ばれた理由

　プラグイン導入の目的は、サイトのセキュリティ対策と軽量化

プラグイン一覧

最終更新日：23/12
No	プラグイン	用途/ 選考理由	具体例：補足
01	Akismet Anti-Spam	セキュリティ: スパム対策	スパムコメントをフィルタリング Akismet Anti-Spam 但しPersonal（無償）版は、商用利用禁止※ ※、ビジネスサイト、アドセンス、アフリエイトなど
02	Wordfence Security	セキュリティ: 悪意の要求をフィルタリング	無料版でもAkismetの補完になる Wordfence Security 効果が判明した記事.1 　　Xss攻撃の実態効果が判明した記事.2 　　セキュリティ対策でわかること
03	SiteGuard WP Plugin	セキュリティ: ログイン保護	管理ページアクセス制限。ログインしていない接続元から /wp-admin/を守る SiteGuard WP Plugin ※　XO Securityと、　共に使用する場合は、重複する機能をoffにする　　SiteGuard WP Pluginのご紹介
04	XO Security	セキュリティ: REST API によるユーザ情報を隠す	wp-jsonのプレフィックス変更 (/wp-json/など)※03 XO Security ※　SiteGuard WP Pluginと、　共に使用する場合は、重複する機能をoffにする　　XO Securityセットアップ
05	EWWW Image Optimizer	サイト軽量化画像劣化させることなく自動サイズ圧縮	すでにアップしている画像も一括で圧縮。次世代フォーマットWebP対応※04 EWWW Image Optimizer 　　次世代フォーマット変換＆　　　スピードアップ　　目的はサイトの利便性向上
06	Regenerate Thumbnails	画像最適化登録済のサムネイル画像を一括で再生成: リサイズ	既に運用しているウェブサイトにおいて、プラグインやデザインスキン、ウィジェットを利用した場合アップロード済みの画像では最適なサイズが存在しない為、レイアウトが崩れてしまう事を防ぐ Regenerate Thumbnails
07	WP Fastest Cache	キャッシュサイトスピード改善	シンプルで速い WPキャッシュシステム※05 ※　Apacheサーバを利用している場合に有効 WP Fastest Cache
08	Aurora Heatmap	ヒートマップアクセス状況把握	プラグインだけで完結するシンプルなオーロラのように美しいヒートマップ※06 Aurora Heatmap
09	Plugin Load Filter	サイト軽量化プラグインをページ毎ON/ OFF設定	プラグインの有効化/停止をページごとに制御できるプラグイン※07 Plugin Load Filter 　　サイト・ページパフォーマンス向上に寄与
10	WP Multibyte Patch	日本語版サイト補助ダブルバイト文字を補助　DBCS ※08	英語圏で作られたWordPressを日本語環境で正しく動作させるために必要となる機能を網羅 ※　日本語版パッケージにプラグインとして付属してたものが、 WordPress5.0からは、含まれなくなっていますので、任意で要Install。 WP Multibyte Patch
11	CAPTCHA 4WP – Antispam CAPTCHA solution for WordPress	セキュリティ: 不正アクセスを AIによって見抜く	GoogleのAPI（reCAPTCHA）を使用問い合わせフォームやコメント入力欄に設置することで、悪質なアクセスを防ぎ不正なログインからあなたのサイトを守る設置にはGoogleアカウントが必要です。 Advanced noCaptcha & invisible Captchaより改名 ※.同等機能で、 ※.#11と#15を共にインストールしてはいけませんこらから導入する場合は、 (#11)又は、#15の一方のみです。　　GPTでも高評価
12	Super Progressive Web Apps	User Experience ユーザビリティ改善ユーザエンゲージメント向上	Googleが推進しているPWA （Progressive Web Apps）ごく簡単に説明すると、 Webサイトをアプリ化する仕組みです。スマホ画面にサイトのアイコンを設置できます（アイコンのタップで直ぐにWebサイトに）モバイル向けサイトをスマートフォンアプリのように使えるようにする。このPWAを簡単にWordPressに実装するplugin Super Progressive Web Apps
14	Site kit by Google	ツール連携 Googleが公式で提供	Google公式ツールと WordPressを簡単に連携できる WordPress上でアクセス解析等の閲覧 1. サーチコンソールとSite Kitの連携 2. アナリティクスとSite Kitの連携 3. ページスピードインサイトとの連携 4. アドセンスとの連携など、･･･他にも、
15	「Google Captcha (reCAPTCHA) by BestWebSoft」別名「 reCaptcha by BestWebSoft」	セキュリティ: 不正アクセスを AIによって見抜く	– Google reCAPTCHA v2とv3に対応 – ログイン、登録、コメント、　お問い合わせフォームなどに適用できます。 – 無料版と有料版があります。（php8にも対応しています。） -reCAPTCHA v2やv3だけでなく、　noCaptchaも利用できる ※.他のセキュリティプラグインと競合する　可能性、互換性にも注意が必要です。　多くのテーマやプラグインとの互換性が高い。　 ※.#11.同等機能で、 ※.#11と#15を共にインストールしてはいけません　　GPTでも高評価

生成AI：Copilot(GPT-4)にInvisible reCAPTCHA for WordPressの代替を問う．しかも無料で

あなたは調べ物をする場合、どの様な手段で行いますか？Google検索などで様々なサイトに訪れて探すのが一般的であったかも知れません。ところが今はChatGPTに代表される便利なツールがあります。私は、改良※GPT-4の「Copilot」を使...

※03. ログインページの変更などの機能は「Site Guard WP Plugin」で行うため有効化しない

※04. 次世代フォーマットWebPに未対応ブラウザに対しては別途.htaccessでの対応が必要（php7.4からは標準でWebPを扱えるが、これも未対応ブラウザへの対応が必要）

※05. 使用テーマで実装（SNS、ウィジェット、ブログカード、AMP、各種APIのキャッシュクリア）していない部分のみ採用

※06. 無料版でもアクセス状況の把握にかなり有用

※07. 管理画面でしか使わないプラグインや問合せページでしか使わないプラグインを他のページではプラグインの読み込みを停止できる

※08. DBCS : Double-Byte Character Set －各種（日本語以外にも有）の2 バイト文字と
1バイト文字（半角：SBCS：Sはシングル：Single)の混在がある場合に対処が必要。

日本語（DBCS)とアルファベット・数字・カナが半角（SBCS）混在表記で、
文字が重なって表示されたサイトを、複数見かけています。

軽量化：特定のページでしか使わない機能は、プラグイン読み込みを限定することで、サイト・ページパフォーマンス向上に寄与

たとえば、コンタクトフォーム用プラグインは問い合わせページでのみ有効化する。あなた(管理者)しか使わない管理画面用のプラグインは、Admin Pageのみで有効化する。無頓着でいると、貴重な数秒を浪費してしまう。全てのページで有効化しているのは大きな浪費✅ 塵も積もれば山となる。サイトの表示速度と利用者の離脱率には高い相関関係があります。利用者が検索などでサイトを見つけて閲覧を開始したとしても、サイトの表示速度が遅いとサイト離脱を促してしまうこともあります。

　関連記事　：　危険！あなたのログイン画面が素で公開されています

セキュリティ：危険！あなたのログイン画面が素で公開されています

wordpress セキュリティプラグインあなたのログイン管理画面素で公開されていませんか？いきなり管理画面が現れるのは無いと思いますが、ログイン画面が出てきませんか？セキュリティプラグインSiteGuard WP Pluginのご紹介目的は管理画面への直接アクセス防止セキュリティ対策ほか

　関連記事　：　あなたのホームページ危険です管理者情報が丸見えです。

セキュリティ：あなたのホームページ危険です。管理者情報が丸見えです。

wordpress セキュリティプラグイン管理者ユーザ情報が丸見え管理者ユーザ情報を隠す手段をお伝えします肝腎のセキュリティ対策の多くが未適用ですあなたのホームページ制作会社はこの事実を知らない事実。何も対策をしていない。これを対策する無料のプラグインXO Security簡単インストール＆セットアップ

　関連記事　：画像を次世代フォーマットに変換してサイトの表示スピードアップ

軽量化：画像を次世代フォーマットに変換してサイトの表示スピードアップ

次世代フォーマットでの画像配信：アップロードした画像を最適なフォーマットに自動変換するプラグイン目的はユーザビリティの向上。方法はサイトの応答時間を短縮させるに必要な画像の軽量化（最適化）すること手段は次世代フォーマットでの画像の配信が出来る（PNG や JPEG より圧縮性能が高く、ダウンロード時間やデータ使用量を抑えることができる）プラグインを使うこと

関連記事　：　実験で分かった事、テーマを隠すxxxプラグイン使ってはいけない

実験で分かった事xxxプラグインは使ってはいけない

WordPress単体では実現が困難なこと（例えば、セキュリティの確保など）、WordPress用に有用な多くのプラグインが存在します。しかし一方では導入する為に気を付けなければならないことも多くあります。一番肝心なことは、目的だけを注力してプラグインを採用してはいけないことです。

セキュリティ：WordPressプラグイン#13アンチスパム

プラグインをPHP8.1.22環境で使用すると、以下の2つの不具合が発生します。設定画面の不具合設定画面のメニューがすべて「設定」と表示され、reCaptchaの設定画面が表示されないフォーム送信時に「An error has occurred. Please try again later.」などのエラーが表示される　これらの不具合は、プラグインがPHP8.1で導入された新しい構文に対応していないことが原因です。本プラグインは2020年12月に最終更新されており、PHP8.0以降のバージョンでは動作保証されていません。

選外とその理由

除外された

※除外の１番の理由は、長期に渡ってメンテナンスされていないプラグイン

開発チームが既に解散している等で、セキュリティ面での脆弱性を抱えているかも知れない。また、最新のWordPressに対応できない(古いバージョンのphpなどで開発されているかも知れない)最終更新日が１年以上前のもの

以下のプラグインは一例

コンタクトフォーム（問い合わせ）

Contact Form 7:問合せフォーム作成のための、日本発の有用な定番プラグイン　

　有効インストール数: 5百万以上ではあるが、

　筆者のサイトは別のCMS(concrete5)で制作した問合せフォームを利用するため不採用

画像遅延読み込み（Lazy Load）^※01.

SG Optimizer:有効インストール数: 90万以上

　WordPress 5.5でLazy Loadは、ネイティブサポートされる。

筆者のサイトでは既にテーマ（Cocoon）でサポートされているため不採用。

XML サイトマップ作成^※01.

Google XML Sitemaps:有効インストール数: 2百万以上

　WordPress 5.5でXML Sitemapは、ネイティブサポートされる。

　但し、最終更新日は出力されない

筆者のサイトではプラグインに頼らない運用のため不採用。

Html サイトマップ作成

PS Auto Sitemap:有効インストール数: 20万以上であるが、

　　最終更新が5年前であり、開発チームが解散している可能性もある。
　　脆弱性の懸念も！（更に、WordPress 4.2.28までしか対応していない。）

　　（にもかかわらず、20/10/31時点でもこのプラグインを使用しているサイトが以外にも多い
　　　(Cocoonフォーラムに寄せられた質問での使用プラグイン状況から判明)！
　　　セキュリティに無関心か？
　　　多くのサイトがプラグイン導入時のまま放置(更新の重要性を意識していない)）

　必要であれば。テーマCocoonの機能で出力ができる。

Cocoonで出力されたhtmlサイトマップ

サイトマップ

HTML/CSS/JavaScript等の縮小化^※02.

Autoptimize:有効インストール数: 2百万以上ではあるが、

筆者のサイトでは既にテーマ（Cocoon）でサポートされているため不採用。

SEO内部対策^※02.

All In One SEO Pack:有効インストール数: 2百万以上で定番とも呼ばれているが、

テーマ(Coconn,STINGERやBBSシリーズ)により実装（title,description）されている場合もあり、導入するプラグインを減少させるためには不向き。

さらにCocoonでは、ページのみならず、コンテンツ(各記事)やカテゴリ、タグ、画像にまでtitleやdescriptionを記載できる。

エディタ拡張^※02.

TinyMCE Advanced:有効インストール数: 2百万以上でビジュアルエディタの機能を拡張することができるプラグイン（表の挿入、または編集、YouTube 動画コードの挿入、画像の回りに余白を挿入など）がある。（Advanced Editor Tools (previously TinyMCE Advanced)）

Cocoonで拡張されたブロックエディタが充分な機能を持つため不採用。

　番外編（不採用）

記事投稿支援

WordPress Ping Optimizer :有効インストール数: 10万以上

Ping送信の有用性を感じないため

Tablepress : 有効インストール数: 80万以上

コードを書く必要なしに、美しく機能豊富なテーブルを作成するプラグイン
（これもCocoonの機能で補完できるし、多少のcssの理解があればより十分なレイアウトができる。この記事で記載しているテーブルも！）

WebSub/PubSubHubbub　：　有効インストール数: 10万以上

検索エンジンに更新したページを認識させる
（これもXMLサイトマップと、サーチコンソールを有効に使用することで不要）

Jetpack by WordPress.com　：　有効インストール数: 5百万以上

サイトセキュリティプラグインであるが、過去に何度も脆弱性を指摘された

　無償版でも、ダウンタイムのモニター。総当たり攻撃からの保護。基本アクティビティログ。無制限の画像 CDN（コンテンツデリバリーネットワーク：単にファイル（画像やZIPファイル等）をダウンロード配信するための技術）。画像の遅延読み込み。サイト統計情報。自動ソーシャルメディア投稿、があるがセキュリティは限界か？

開発後の運用引き渡し用

サイトをクライアントに納品する際に、ダッシュボード内の不必要なメニューを非表示にする。

表示順を変更する。などを「functions.php」を編集することなく、管理画面の整理・調整が可能。管理画面のカスタマイズプラグイン

Admin Menu Editor　：　有効インストール数: 30万以上

Adminimize　：　有効インストール数: 20万以上

まとめ

WordPress プラグイン

　WordPressのために開発されたプラグインは多種多様・玉石混交を極めるが、目的をもって必要最低限の採用（導入）をお薦めします。

必要としなくなった、または使用していないプラグインは無効化するだけでなく、削除をお薦めします。

長い間メンテナンスされていないプラグインがあった場合、無効化しているだけではセキュリティ的に不十分だからです。

また、定期的に導入しているプラグインを見直すことも必要です。

✅ メンテナンスされなくなったものは無いか？

✅ WordPressのバージョンアップと共に、対応していないプラグインは無いか？

など、

ウェブサイトはメンテナンスが必要不可欠です。

使っちゃいけないプラグイン

反対に、使ってはいけない（潜在脅威を含む）プラグインはこちら

使っちゃいけないプラグイン 191本 [発見次第更新]使ってはいけないWordPress Plugin ➡️解除も！

サイト攻撃の約６割がプラグイン起因。セキュリティ問題で停止されたもの。３年以上メンテナンスされず導入注意なもの。フォーラムや他サイトで見かけた➡その数なんと191本を「使ってはいけないプラグイン」として上げます。理由は、開発チームが解散し新たに脆弱性が見つかっても対応が困難と思われるから。wordpress.orgのサイトでも"このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。

使っちゃいけないプラグイン（更新）2023

WordPressで使っちゃいけないプラグインワードプレスで使ってはいけないプラグイン：
３年以上メンテナンスされていないプラグインで
導入に注意が必要なもの、
他のサイトや、フォーラムで見かけた、いくつかのプラグインを
「 使っちゃいけないプラグイン」として上げてみます。
理由は、
メンテナンスされていないものは、開発チームが解散して
新たに脆弱性が見つかっても対応が困難と思われるから。 xn--ecka7j.biz

”このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。
もうメンテナンスやサポートがされていないかもしれず、
最新バージョンの WordPress で使用した場合は互換性の問題が発生する可能性があります。”

　　　WordPress.orgでも上記の様に説明されてます。

WordPress
あなたにオススメプラグイン

WordPress Plugin