プラグインで対応 | Webサイトに必要なことと道具 https://xn--ecka7j.biz セキュリティ対策、最適化、ツール、工作 Fri, 24 Oct 2025 05:41:35 +0000 ja hourly 1 https://wordpress.org/?v=6.9.4 https://xn--ecka7j.biz/wp-content/uploads/2020/02/cropped-ogt-512-512-024-068-32x32.png プラグインで対応 | Webサイトに必要なことと道具 https://xn--ecka7j.biz 32 32 really simple csv importer 代替 プラグイン https://xn--ecka7j.biz/site-operation/wordpress/9967/ Tue, 23 Jul 2024 06:53:04 +0000 https://xn--ecka7j.biz/?p=9967 このプラグインは、最終更新日が9年前であり、且つ検証済みWPバージョンが4.3.34であるため、代替となるプラグインに置き換え必須。

有効インストール数: 50,000+であるため、多くのサイトで見直し必須あなたのサイトは大丈夫でしょうか?

Really Simple csv importer
Really Simple csv importer 4.3.34

プラグインの見直しが必要な理由

このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。もうメンテナンスやサポートがされていないかもしれず、最新バージョンの WordPress で使用した場合は互換性の問題が発生する可能性があります。

WordPress.org

https://ja.wordpress.org/plugins/really-simple-csv-importer/

長期間メンテナンスが行われていないプラグインは、既に開発チームが解散しているかも知れず、新たな不具合(脆弱性)が見つかっても対応されることは無いのです。

ワードプレス サイトが攻撃を受ける割合

全体の約6割近くが、plugin:プラグイン、
続いて16%以上が、brute forceブルートフォースアタックです。

WordFence(セキュリティプラグイン[WordFence]の作成元)

つまり、6割近くのリスクが、(攻撃者が把握した)プラグインの脆弱性によるものなのです。
ですから、プラグイン選択導入保守(古くなったプラグインのアップデート、アップデートできない場合は、代替プラグインの導入)が大事になってくるのです。

really simple csv importerの代替プラグイン

※.ここで挙げている代替プラグインの検証済WPバージョンは、記事執筆時点ですので、最終的に代替プラグインを決める前に、WordPress.org「” https://ja.wordpress.org/plugins/ “」で実際に検証済WPバージョンを調査した上で決定されることをお勧めします。

TablePress 2.4

TablePress
TablePress – Tables in WordPress made easy 2.4

有効インストール数: 800,000+ 6.6で検証済み
https://ja.wordpress.org/plugins/tablepress/
表形式のデータを簡単に作成・管理できるプラグインです。
CSVファイルからデータをインポートして、表を作成することもできます。

Import WP 2.14.0

Import WP
Import WP – Export and Import CSV and XML files to WordPress 2.14.0

Import WP – Export and Import CSV and XML files to WordPress 2.14.0
有効インストール数: 4,000+ 6.6で検証済み
https://ja.wordpress.org/plugins/jc-importer/
CSV / XML インポート・プラグイン

Import any XML or CSV File to WordPress

Import any XML or CSV File to WordPress
Import any XML or CSV File to WordPress 3.7.6

有効インストール数: 100,000+ 6.5.5で検証済み
https://ja.wordpress.org/plugins/wp-all-import/
シンプルでパワフルな XML / CSV インポート・プラグイン

Importer 7.11.3

Importer All Import Export Solution for any CSV or XML File to WordPress
Importer All Import Export Solution for any CSV or XML File to WordPress 2.14.0

Importer: All Import Export Solution for any CSV or XML File to WordPress! 7.11.3
有効インストール数: 20,000+ 6.5.5で検証済み
https://ja.wordpress.org/plugins/wp-ultimate-csv-importer/
CSV / XML インポート・プラグイン

Import Settings into WordPress SEO Plugin

Import Settings into WordPress SEO Plugin
Import Settings into WordPress SEO Plugin – Rank Math (WP All Import) 1.1

Import Settings into WordPress SEO Plugin – Rank Math (WP All Import) 1.1
有効インストール数: 5,000+ 6.5.5で検証
https://ja.wordpress.org/plugins/import-xml-csv-settings-to-rank-math-seo/
XML/CSVファイルからあらゆるデータをインポートできる強力なプラグインです。
WP All Exportと連携して、エクスポートしたデータを他のWordPressサイトにインポートすることもできます。
シンプルでパワフルなXML/CSVインポートプラグイン
ファイル内の要素は特定の方法でレイアウトする必要がなく、どんなXMLやCSVファイルでもインポート可能

CSV Importer 0.4.2

CSV Importer
CSV Importer 0.4.2

有効インストール数: 5,000+ 6.5.5で検証済み
https://ja.wordpress.org/plugins/csv-importer/
Really Simple CSV Importerの代替プラグインとして紹介されている

使っちゃいけないプラグイン

使っちゃいけないプラグイン 191本 [発見次第更新]使ってはいけないWordPress Plugin ➡️解除も!
サイト攻撃の約6割がプラグイン起因。セキュリティ問題で停止されたもの。3年以上メンテナンスされず導入注意なもの。フォーラムや他サイトで見かけた➡その数なんと191本を「使ってはいけないプラグイン」として上げます。 理由は、開発チームが解散し新たに脆弱性が見つかっても対応が困難と思われるから。wordpress.orgのサイトでも"このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。
イイネ.biz
2026.02.05
]]> WordPressあなたにオススメ厳選プラグイン14 https://xn--ecka7j.biz/security/908/ Fri, 31 Jul 2020 10:54:04 +0000 https://xn--ecka7j.biz/?p=908 ワードプレスのウェブサイトにセキュリティ対策と運用・運営支援のためのプラグインを厳選!

必要なことは、セキュリティを保つこと、そしてサイトの軽量化です。

Update:2023/12/25

機能・守備範囲と選ばれた理由の表にあるプラグインは、いずれも最新WordPress 6.4.2で正常に動作しています。

お薦めプラグイン

今すぐ確認  

Next

選考対象

選考対象は、WordPressの機能を補完する、セキュリティ対策と運用・運営支援

さらに、テーマにて補完されうる機能レンタルサーバーで提供される機能は、除外して

出来るだけ導入プラグインの数を減らしサイトの負荷の軽減と管理のしやすさを追求

選考範囲

plugin
選考対象プラグイン

セキュリティ対策

  1. ログイン保護
  2. REST API によるユーザ情報保護(隠す)
  3. アンチスパム
  4. サイトへの悪意のある要求をフィルタリングする

運用・運営支援

  • 画像圧縮(次世代フォーマット:サイト軽量化)対応
  • 画像最適化
  • キャッシュ処理(スピードアップ)
  • アクセス状況把握(ヒートマップなど)
  • コンタクトフォーム(問い合わせ)
  • 画像遅延読み込み(Lazy Load)※01. 
  • XMLサイトマップ作成※01. 
  • HTML/CSS/JavaScript等の縮小化※02. 
  • SEO内部対策※02. 
  • エディタ拡張※02.
  • 記事投稿支援

※01. WordPress 5.5のネイティブサポート機能で除外できるもの

※02. 機能を持つテーマを採用することで除外できるもの
                      テーマ Cocoonには、これらの機能が基本的に備わっている。

選ばれたプラグイン

plugin
選択

機能・守備範囲と選ばれた理由

機能・守備範囲と選ばれた理由

 プラグイン導入の目的は、サイトのセキュリティ対策と軽量化

プラグイン一覧

最終更新日:23/12
No プラグイン 用途/
選考理由		 具体例:補足
01 Akismet
Anti-Spam
セキュリティ:
スパム対策		 スパムコメントを
フィルタリング
Akismet Anti-Spam
但しPersonal(無償)版は、
商用利用禁止
、ビジネスサイト、
アドセンス、アフリエイトなど
02 Wordfence
Security
セキュリティ:
悪意の要求を
フィルタリング		 無料版でもAkismetの補完になる
Wordfence Security
効果が判明した記事.1
  Xss攻撃の実態
効果が判明した記事.2
  セキュリティ対策でわかること
03 SiteGuard
WP Plugin
セキュリティ:
ログイン保護		 管理ページアクセス制限
ログインしていない接続元から
/wp-admin/を守る
SiteGuard WP Plugin
 XO Securityと、
 共に使用する場合は、
重複する機能をoffにする
  SiteGuard WP Pluginのご紹介
04 XO
Security
セキュリティ:
REST API
による
ユーザ情報
隠す 		wp-jsonのプレフィックス変更
(/wp-json/など)※03
XO Security
 SiteGuard WP Pluginと、
 共に使用する場合は、
重複する機能をoffにする
  XO Securityセットアップ
05 EWWW
Image
Optimizer
サイト 軽量化
画像劣化
させることなく
自動サイズ圧縮		 すでにアップしている画像も一括で圧縮。
次世代フォーマットWebP対応※04
EWWW Image Optimizer

  次世代フォーマット変換&
   スピードアップ
  目的はサイトの利便性向上
06 Regenerate
Thumbnails
画像 最適化
登録済の
サムネイル
画像を一括で
再生成:
リサイズ 		既に運用しているウェブサイトにおいて、
プラグインやデザインスキン、
ウィジェットを利用した場合
アップロード済みの画像では
最適なサイズが存在しない為、
レイアウトが崩れてしまう事を防ぐ
Regenerate Thumbnails
07 WP
Fastest
Cache
キャッシュ
サイトスピード
改善		 シンプルで速い
WPキャッシュシステム※05
※ Apacheサーバを利用している場合に有効
WP Fastest Cache
08 Aurora
Heatmap
ヒートマップ
アクセス
状況把握		 プラグインだけで完結する
シンプルなオーロラのように美しい
ヒートマップ※06
Aurora Heatmap
09 Plugin
Load
Filter
サイト軽量化
プラグインを
ページ毎ON/
OFF設定		 プラグインの有効化/停止を
ページごとに制御できるプラグイン※07
Plugin Load Filter


  サイト・ページ
パフォーマンス向上に寄与
10 WP
Multibyte
Patch
日本語版
サイト補助
ダブルバイト
文字を補助
 DBCS ※08		 英語圏で作られたWordPress
日本語環境で正しく動作させるために
必要となる機能を網羅
※ 日本語版パッケージに
プラグインとして付属してたものが、
WordPress5.0からは、含まれなく
なっていますので、任意で要Install。
WP Multibyte Patch
11 CAPTCHA 4WP
– Antispam
CAPTCHA
solution
for
WordPress

 		セキュリティ:
不正アクセスを
AIによって
見抜く 		GoogleのAPI(reCAPTCHA)を使用
問い合わせフォームや
コメント入力欄に設置することで、
悪質なアクセスを防ぎ不正な
ログインからあなたのサイトを守る
設置にはGoogleアカウントが必要です。
Advanced noCaptcha &
invisible Captchaより改名
※.同等機能で、
※.#11と#15を
共にインストールしてはいけません
こらから導入する場合は、
(#11)又は、#15の一方のみです。
  GPTでも高評価
12 Super
Progressive
Web Apps
User Experience
ユーザビリティ
改善
ユーザ
エンゲージメント
向上 		Googleが推進しているPWA
Progressive Web Apps)
ごく簡単に説明すると、
Webサイトアプリ化する仕組みです。
スマホ画面にサイトのアイコンを設置できます
(アイコンのタップで直ぐにWebサイトに)
モバイル向けサイト
スマートフォンアプリのように使えるようにする。
このPWAを簡単にWordPressに実装するplugin
Super Progressive Web Apps
14 Site kit
by Google
ツール連携
Googleが
公式で提供 		Google公式ツールと
WordPressを簡単に連携できる
WordPress上でアクセス解析等の閲覧
1. サーチコンソールとSite Kitの連携
2. アナリティクスとSite Kitの連携
3. ページスピードインサイトとの連携
4. アドセンスとの連携
など、・・・他にも、
15 「Google Captcha
(reCAPTCHA)
by BestWebSoft」
別名
reCaptcha
by BestWebSoft
 セキュリティ:
不正アクセスを
AIによって
見抜く 		– Google reCAPTCHA v2とv3に対応
– ログイン、登録、コメント、
 お問い合わせフォームなどに適用できます。
– 無料版と有料版があります。
(php8にも対応しています。)
-reCAPTCHA v2やv3だけでなく、
 noCaptchaも利用できる
※.他のセキュリティプラグインと競合する
 可能性、互換性にも注意が必要です。
 多くのテーマやプラグインとの互換性が高い。  
※.#11.同等機能で、
※.#11と#15を
共にインストールしてはいけません
  GPTでも高評価
生成AI:Copilot(GPT-4)にInvisible reCAPTCHA for WordPressの代替を問う.しかも無料で
あなたは調べ物をする場合、どの様な手段で行いますか?Google検索などで様々なサイトに訪れて探すのが一般的であったかも知れません。ところが今はChatGPTに代表される便利なツールがあります。私は、改良※GPT-4の「Copilot」を使...
イイネ.biz
2024.07.30

※03. ログインページの変更などの機能は「Site Guard WP Plugin」で行うため有効化しない

※04. 次世代フォーマットWebPに未対応ブラウザに対しては別途.htaccessでの対応が必要(php7.4からは標準でWebPを扱えるが、これも未対応ブラウザへの対応が必要)

※05. 使用テーマで実装(SNS、ウィジェット、ブログカード、AMP、各種APIのキャッシュクリア)していない部分のみ採用

※06. 無料版でもアクセス状況の把握にかなり有用

※07. 管理画面でしか使わないプラグインや問合せページでしか使わないプラグインを他のページではプラグインの読み込みを停止できる

※08. DBCS : Double-Byte Character Set - 各種(日本語以外にも有)の2 バイト文字
        1バイト文字(半角:SBCSSはシングル:Single)の混在がある場合に対処が必要。

日本語(DBCS)とアルファベット・数字・カナが半角SBCS)混在表記で、
       文字が重なって表示されたサイトを、複数見かけています。

関連記事 : 特定のページでしか使わないプラグインは、特定ページ動作に限定するplugin

軽量化:特定のページでしか使わない機能は、プラグイン読み込みを限定することで、サイト・ページパフォーマンス向上に寄与
たとえば、コンタクトフォーム用プラグインは問い合わせページでのみ有効化する。あなた(管理者)しか使わない管理画面用のプラグインは、Admin Pageのみで有効化する。無頓着でいると、貴重な数秒を浪費してしまう。全てのページで有効化しているのは大きな浪費✅ 塵も積もれば山となる。サイトの表示速度と利用者の離脱率には高い相関関係があります。利用者が検索などでサイトを見つけて閲覧を開始したとしても、サイトの表示速度が遅いとサイト離脱を促してしまうこともあります。
イイネ.biz
2021.04.12

 関連記事 : 危険!あなたのログイン画面が素で公開されています

セキュリティ:危険!あなたのログイン画面が素で公開されています
wordpress セキュリティ プラグインあなたのログイン管理画面素で公開されていませんか?いきなり管理画面が現れるのは無いと思いますが、ログイン画面が出てきませんか?セキュリティプラグインSiteGuard WP Pluginのご紹介目的は管理画面への直接アクセス防止セキュリティ対策ほか
イイネ.biz
2024.09.07

 関連記事 : あなたのホームページ危険です管理者情報が丸見えです

セキュリティ:あなたのホームページ危険です。管理者情報が丸見えです。
wordpress セキュリティ プラグイン管理者ユーザ情報が丸見え管理者ユーザ情報を隠す手段をお伝えします肝腎のセキュリティ対策の多くが未適用ですあなたのホームページ制作会社はこの事実を知らない事実。何も対策をしていない。これを対策する無料のプラグインXO Security簡単インストール & セットアップ
イイネ.biz
2023.10.12

 関連記事 :画像を次世代フォーマットに変換してサイトの表示スピードアップ

軽量化:画像を次世代フォーマットに変換してサイトの表示スピードアップ
次世代フォーマットでの画像配信:アップロードした画像を最適なフォーマットに自動変換するプラグイン目的はユーザビリティの向上。方法はサイトの応答時間を短縮させるに必要な画像の軽量化(最適化)すること手段は次世代フォーマットでの画像の配信が出来る(PNG や JPEG より圧縮性能が高く、ダウンロード時間やデータ使用量を抑えることができる)プラグインを使うこと
イイネ.biz
2022.04.04

関連記事 : 実験で分かった事、テーマを隠すxxxプラグイン使ってはいけない

実験で分かった事xxxプラグインは使ってはいけない
WordPress単体では実現が困難なこと(例えば、セキュリティの確保など)、WordPress用に有用な多くのプラグインが存在します。しかし一方では導入する為に気を付けなければならないことも多くあります。一番肝心なことは、目的だけを注力してプラグインを採用してはいけないことです。
イイネ.biz
2023.08.31
セキュリティ:WordPressプラグイン#13アンチスパム
プラグインをPHP8.1.22環境で使用すると、以下の2つの不具合が発生します。設定画面の不具合 設定画面のメニューがすべて「設定」と表示され、reCaptchaの設定画面が表示されないフォーム送信時に「An error has occurred. Please try again later.」などのエラーが表示される これらの不具合は、プラグインがPHP8.1で導入された新しい構文に対応していないことが原因です。 本プラグインは2020年12月に最終更新されており、PHP8.0以降のバージョンでは動作保証されていません。
イイネ.biz
2024.09.07

選外とその理由

plugin
除外された

※除外の1番の理由は、長期に渡ってメンテナンスされていないプラグイン

開発チームが既に解散している等で、セキュリティ面での脆弱性を抱えているかも知れない。また、最新のWordPressに対応できない(古いバージョンのphpなどで開発されているかも知れない)最終更新日が1年以上前のもの

以下のプラグインは一例

  • コンタクトフォーム(問い合わせ)

Contact Form 7:問合せフォーム作成のための、日本発の有用な定番プラグイン 

 有効インストール数: 5百万以上ではあるが、

 筆者のサイトは別のCMS(concrete5)で制作した問合せフォームを利用するため不採用

  • 画像遅延読み込み(Lazy Load)※01.

SG Optimizer:有効インストール数: 90万以上

 WordPress 5.5でLazy Loadは、ネイティブサポートされる。

筆者のサイトでは既にテーマ(Cocoon)でサポートされているため不採用。

  • XML サイトマップ作成※01.

Google XML Sitemaps:有効インストール数: 2百万以上

 WordPress 5.5でXML Sitemapは、ネイティブサポートされる。

 但し、最終更新日は出力されない

筆者のサイトではプラグインに頼らない運用のため不採用。

  • Html サイトマップ作成

PS Auto Sitemap:有効インストール数: 20万以上であるが、

  最終更新が5年前であり、開発チームが解散している可能性もある。
  脆弱性の懸念も!(更に、WordPress 4.2.28までしか対応していない。)

  (にもかかわらず、20/10/31時点でもこのプラグインを使用しているサイトが以外にも多い
   (Cocoonフォーラムに寄せられた質問での使用プラグイン状況から判明)!
   セキュリティに無関心か?
   多くのサイトがプラグイン導入時のまま放置(更新の重要性を意識していない))

 必要であれば。テーマCocoonの機能で出力ができる。

Cocoonで出力されたhtmlサイトマップ
サイトマップ
イイネ.biz
2020.08.14
  • HTML/CSS/JavaScript等の縮小化※02.

Autoptimize:有効インストール数: 2百万以上ではあるが、

筆者のサイトでは既にテーマ(Cocoon)でサポートされているため不採用。

  • SEO内部対策※02.

All In One SEO Pack:有効インストール数: 2百万以上で定番とも呼ばれているが、

テーマ(Coconn,STINGERBBSシリーズ)により実装(title,description)されている場合もあり、導入するプラグインを減少させるためには不向き。

さらにCocoonでは、ページのみならず、コンテンツ(各記事)やカテゴリタグ画像にまでtitledescriptionを記載できる。

  • エディタ拡張※02.

TinyMCE Advanced:有効インストール数: 2百万以上でビジュアルエディタの機能を拡張することができるプラグイン(表の挿入、または編集、YouTube 動画コードの挿入、画像の回りに余白を挿入など)がある。(Advanced Editor Tools (previously TinyMCE Advanced))

Cocoon拡張されたブロックエディタが充分な機能を持つため不採用。

 番外編(不採用)

  • 記事投稿支援

WordPress Ping Optimizer :有効インストール数: 10万以上

Ping送信の有用性を感じないため

Tablepress : 有効インストール数: 80万以上

コードを書く必要なしに、美しく機能豊富なテーブルを作成するプラグイン
(これもCocoonの機能で補完できるし、多少のcssの理解があればより十分なレイアウトができる。この記事で記載しているテーブルも!)

WebSub/PubSubHubbub : 有効インストール数: 10万以上

検索エンジンに更新したページを認識させる
(これもXMLサイトマップと、サーチコンソールを有効に使用することで不要)

Jetpack by WordPress.com : 有効インストール数: 5百万以上

サイトセキュリティプラグインであるが、過去に何度も脆弱性を指摘された

 無償版でも、ダウンタイムのモニター。総当たり攻撃からの保護。基本アクティビティログ。無制限の画像 CDN(コンテンツデリバリーネットワーク:単にファイル(画像やZIPファイル等)をダウンロード配信するための技術)。画像の遅延読み込み。サイト統計情報。自動ソーシャルメディア投稿、があるがセキュリティは限界か?

  • 開発後の運用引き渡し用

サイトをクライアントに納品する際に、ダッシュボード内の不必要なメニューを非表示にする。

表示順を変更する。などを「functions.php」を編集することなく、管理画面の整理・調整が可能。管理画面のカスタマイズプラグイン

Admin Menu Editor : 有効インストール数: 30万以上

Adminimize : 有効インストール数: 20万以上

まとめ

Plugin
WordPress プラグイン

 WordPressのために開発されたプラグインは多種多様・玉石混交を極めるが、目的をもって必要最低限の採用(導入)をお薦めします。

必要としなくなった、または使用していないプラグインは無効化するだけでなく、削除をお薦めします。

長い間メンテナンスされていないプラグインがあった場合、無効化しているだけではセキュリティ的に不十分だからです。

また、定期的に導入しているプラグインを見直すことも必要です。

✅ メンテナンスされなくなったものは無いか?

✅ WordPressのバージョンアップと共に、対応していないプラグインは無いか?

など、

ウェブサイトはメンテナンスが必要不可欠です。

使っちゃいけないプラグイン

反対に、使ってはいけない(潜在脅威を含む)プラグインはこちら

使っちゃいけないプラグイン 191本 [発見次第更新]使ってはいけないWordPress Plugin ➡️解除も!
サイト攻撃の約6割がプラグイン起因。セキュリティ問題で停止されたもの。3年以上メンテナンスされず導入注意なもの。フォーラムや他サイトで見かけた➡その数なんと191本を「使ってはいけないプラグイン」として上げます。 理由は、開発チームが解散し新たに脆弱性が見つかっても対応が困難と思われるから。wordpress.orgのサイトでも"このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。
イイネ.biz
2026.02.05

使っちゃいけないプラグイン(更新)2023

WordPressで使っちゃいけないプラグイン ワードプレスで使ってはいけないプラグイン:
3年以上メンテナンスされていないプラグインで
導入に注意が必要なもの、
他のサイトや、フォーラムで見かけた、いくつかのプラグインを
使っちゃいけないプラグイン」として上げてみます。
理由は、
メンテナンスされていないものは、開発チームが解散して
新たに脆弱性が見つかっても対応が困難と思われるから。 xn--ecka7j.biz
”このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。
もうメンテナンスやサポートがされていないかもしれず、
最新バージョンの WordPress で使用した場合は互換性の問題が発生する可能性があります。”

   WordPress.orgでも上記の様に説明されてます。

WordPress
あなたにオススメ プラグイン

 

WordPress Plugin

]]> セキュリティ:危険!あなたのログイン画面が素で公開されています https://xn--ecka7j.biz/security/318/ Thu, 13 Feb 2020 07:00:00 +0000 https://xn--ecka7j.biz/?p=318 WordPress
Security ログイン画面(Wp-login.php)が公開されている///目立つように赤く染めています

⇧こんな風に!(この例は目立つように赤く染めています)

危険!あなたの画面が素で公開されていませんか?

こんな風に、URLを入力すると

‘https://あなたのドメイン/wp-admin

‘https://あなたのドメイン/admin

いきなり管理画面が現れる(さすがに、これは無いとは思いますが)

いきなり管理画面この様な管理画面が現れたら

大問題になります。

では、

これで、あなたのホームページのログイン画面が出てきませんか?


https://あなたのドメイン/wp-login で、

ログイン画面ログイン画面が表示されてしまうことは、

ままあるのですが、

N95適合マスク

これ危険なんです

筆者が調査したWordPressサイトの中でも、43サイト中27サイトが

このログイン画面がWordPressをインストールしたままで放置されている(今も)

何が、イケナイのかと言うと

WordPress
Security Login ユーザ情報を晒しているサイトがある
セキュリティ:あなたのホームページ危険です。管理者情報が丸見えです。
wordpress セキュリティ プラグイン管理者ユーザ情報が丸見え管理者ユーザ情報を隠す手段をお伝えします肝腎のセキュリティ対策の多くが未適用ですあなたのホームページ制作会社はこの事実を知らない事実。何も対策をしていない。これを対策する無料のプラグインXO Security簡単インストール & セットアップ
イイネ.biz
2023.10.12

ログイン画面の他、ユーザ情報まで晒してしまっているサイトがある

wp-loginとwp-jsonを晒している
wp-loginとwp-jsonを晒している

大切な、WordPress管理画面(ダッシュボード)への入り口が何の予防措置(名称変更して隠す)もされずに、そのままの名前(wp-login.php)で放置

このログイン画面が分かっていると、ユーザIDとパスワードで

前出のWordPressの管理画面管理画面(ダッシュボード)に入れてしまうこと

管理画面(ダッシュボード)に入れたら、

ホームページの設定や色々なことが出来てしまう(元々ホームページ管理者のためのものだから)

あなたの知らない、第三者に入られてしまうかも知れないのです。

これはセキュリティ上も好ましいものではないからです。

この放置されたログイン画面がある27サイトの内20サイトは、更に悪いことにユーザIDまで公開(秘密設定がされていない)してしまっています

wp-login対策前では

WordPress
Security Login筆者のサイトは、既に対策を打っているので、もう素のログイン画面は表示されません

wp-login対策後のアクセス結果

wp-login対策後
wp-login対策後の/adminアクセス
wp-login対策後の/
wp-login対策後の/wp-loginアクセス
3D立体マスク

ログイン画面を/wp-adminからのリダイレクトで表示させたくないのですが

ログイン画面

本来であれば、

ログイン画面を/wp-adminからのリダイレクトで表示させたくないのですが、ユーザ情報(ID)は(XO Security)で、隠しているので、

このままとします。⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧
実は後(この記事を清書している段階)で、気づくのです(これも解決済です。)

ログイン画面を保護する機能を持ったプラグイン

ログイン画面を保護する機能を持ったプラグインはいろいろあります。

主なものは、XO SecurityXO SecuritySiteGuard WP PluginSiteGuard WP Pluginです。

(筆者のサイトでは機能を使い分け(重複する機能があるため)両方のプラグインを導入しています)

XO Security:(当サイトでも、別の目的で使用)

XO SEcurityは、SiteGuard WP Pluginが持っていない機能のみ使用
詳しくは⇩

当サイトでは、ユーザ情報保護で使用記事で、ご紹介

SiteGuard WP Pluginのご紹介

WordPress
Security

今回は、

日本製高機能でありながら無料で使えるプラグイン(SiteGuard WP Plugin)をお伝えします。

SiteGuard WP Pluginは、wp-login.php以外の対策にも使えますので、その他の機能もあわせて、セットアップ内容も含めお伝えできたらと思っています。

あなたのwebsite(ホームページ)の運用に是非お役立ててください。

目的は、管理画面への直接アクセス防止(セキュリティ対策ほか)

  • 目的は、管理画面管理画面への直接アクセス防止のためです(セキュリティ対策)

WordPressをインストールしただけで何も対策しないと、

   あなたのドメイン/wp-admin.php や

   あなたのドメイン/admin で 管理画面(ダッシュボード)に直接アクセス出来てしまいます。

インストールと有効化&セットアップ

WordPress
Security
WordPress
Security

使用する機能は

  • 新しいログイン画面を設けwp-login.php対策
  • 更新通知(他のプラグインやテーマなどの更新通知を受け取れます)
  • ピンバック機能の無効化(スパムリンク防止)
  • 画像認証(筆者の場合、一部のみ適用)
新しいログイン画面を設けwp-login.php対策
更新通知(他のプラグインやテーマなどの更新通知を受け取れます)

 更新通知は、こんな感じ

WordPress
Security WordPress更新通知(Plugin)
ピンバック機能の無効化(スパムリンク防止)
画像認証(筆者の場合、一部のみ適用)

です。

「有効化」後のデフォルトは、以下の機能に✔が付いています。

管理ページアクセス制御は、チェックされていません

さすが日本製のプラグインです(芸が細かいです。)

・・・これは、たぶん他のプラグインとの競合防止対策です。

管理ページアクセス制御は、例えばXO Securityプラグインでも実現しています。

筆者は、SiteGuard WP Pluginの機能を使用します。

WordPress
Security 「有効化」後のデフォルトは、以下の機能に✔が付いています。

管理ページアクセス制限

管理ページアクセス制限 部分をクリックしOFF➡ ON にし「変更を保存」します。

WordPress
Security 管理ページアクセス制限
✔ 管理ページアクセス制限 となります。
✔ 管理ページアクセス制限 となります。

ログインページ変更で、wp-login.phpの名称を変更

ログインページ変更で、wp-login.phpの名称を変更します。

WordPress
Security ログインページ変更で、wp-login.phpの名称を変更します

この設定は、

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。

ログインページ(wp-login.php)の名前を変更します。

初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。

この「Login_73646」を自分が管理できる名前に変更します。

SiteGardで理者ページからログインページへリダイレクトしない設定もできました

ここで、オプション ✅ 管理者ページからログインページへリダイレクトしない

✔すると、あなたのドメイン/wp-admin/ でも変更した新しいログイン画面にリダイレクトしないのです。

WordPress
Security 管理者ページからログインページへリダイレクトしない設定

.この記事を清書しているときに、改めて確認していて

このオプションがあることに気づき✅してみたところ見事に実現した

Sideguard素晴らしい!これで、新しいログイン画面だけでログインできることになりました。

ちなみに、XO Security 設定では、ログインページの変更は出来ますが、「管理者ページからログインページへリダイレクトしない」の指定は現バージョン(2.2.1)ではできません。

ドメイン/wp-admin/入力時の確認

WordPress
Security ドメイン/wp-admin入力の場合も実現できた

画像認証

WordPress
Security

ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。

画像認証の文字は、ひらがなと英数字が選択できます。

ちなみに、XO Security 設定では、          ログイン CAPTCHAコメント CAPTCHAのみです(CAPTCHAは「ひらがな」も選択できます)

XMLRPC防御

◎ピンバック無効化

WordPress
Security ピンバック無効化

Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。

支障がある場合には、本機能を使わないでください。

ここでは、◎ピンバック無効化

WordPress同士でリンクを張ったとき限定ですが、相手にリンクを張ると自動的に相互形式になるので便利なのですが、悪用もできる機能(多くのスパマーからのリンクが飛んで来たりします)これを防止するためです。

変更したLogInで確認

WordPress
Security Sign-in 変更したLogInで確認

‘wp-login.phpから変更したログインファイルからのログインも正常にできました。

データベース

SiteGuard WP Pluginの専用のテーブルが2つ追加されました
WordPress
Security Table SiteGuard WP Pluginの専用のテーブルが2つ追加されました

⇈ 上記のテーブル名は、プレフックスを変えているのでマスキングしています。
デフォルトのプレイックスは、‘wp_’です。
テーブル名のプレフックスを変える方法は、以下のブログカードのクリックからどうぞ!

セキュリティ:WordPress対策:Tableのリネーム
WordPressをインストール後(デフォルト)では、全てのテーブルには「wp_」というプレフィックスが設定されています。 脆弱性対策の一環として「テーブル名」を特定されにくくし、データベースに対しての攻撃があった場合でも「テーブル名」が特定しずらく、攻撃者によって行われるSQLインジェクション※で、不正にテーブルが削除・変更されてしまうなどの予防にも役立ちます。
イイネ.biz
2024.09.07

まとめ

WordPress
Security ログイン画面放置はびっくり、あなたのためにならないし、利用者のためにも
]]>