宣伝・広告

WordCampで聞いてきた!おすすめプラグインと危険なプラグインの見分け方

  • このエントリーをはてなブックマークに追加
  • LINEで送る
WordCampで聞いてきた!おすすめプラグインと危険なプラグインの見分け方アイキャッチ

目次

WordCampって知ってますか?
ワードプレスはオープンソースです。
WordCampにはワードプレスを開発、改善しているコントリビューターたちが世界から集まり、
ワードプレスユーザーと交流したり情報交換をしたりするイベントです。
有名なプラグインやテーマの開発者たちが一堂に会するすごいイベントです。

そんなすごいイベントが新宿で開催されたので、ディーム編集部の皆で参加しました!

 

WordCamp2017の看板

ワードプレスに関する様々な最新情報や業界の動向等を知ることができました!
また、ワードプレスのコアを開発するコントリビューターの皆様や有名で便利なプラグインの開発者にお会いすることができたりと、大変刺激的な経験をさせていただきました。

WordCamp2017のセッション風景

 

※コントリビューターとは

今回は、Word Campで聞いてきた情報の一部ご紹介させていただきます。

ご紹介する情報

  • ワードプレスコア開発者であるコントリビューターがオススメするプラグイン
  • セキュリティの穴になりうる危険なプラグインの見分け方

順番にご紹介いたします。

 

コントリビューターがオススメするプラグイン7選

開発の最先端に携わるコントリビューターが使用、オススメするプラグインをご紹介します。
紹介するプラグイン

  • MW WP Form
  • Show Current Template
  • Custom Post Type Permalinks
  • Simple Map
  • VK Post Author Display
  • WP SiteManager
  • Gianism

それぞれの特徴、できる事についてご紹介します。

 

確認画面付きお問い合わせフォームを簡単作成!MW WP Form

WordCampで紹介されたおすすめプラグインMW WP Form

ホームページに欠かすことのできないお問い合わせフォームを簡単に設置することができるプラグインです。
ショートコードで簡単に挿入することができ、必須項目や文字数などの条件、お問い合わせデータの自動保存などが可能な高機能プラグインです。

MW WP Formのスクリーンショット

MW WP Formができること

  • ショートコードで簡単に挿入
  • 送信前に確認画面を表示させることが可能
  • シチュエーション(入力、確認、完了、エラー)にあったページを割り当て可能
  • 必須項目、文字数など、様々なルールを組み合わせることが可能
  • 自動返信機能
  • 問い合わせデータの自動保存
  • 問い合わせデータのグラフ化

こんな時に便利!

お問い合わせフォーム付きにページを作りたいときやアンケート機能付きのページを作りたいときに便利です。
また、お問い合わせいただいた顧客情報をデータとして残すことができるので、フォローし忘れやデータを
紛失するなどの心配がなくなります。

MW WP Formをダウンロード

MW WP Formダウンロードページ

 

MW WP Form公式ページ

 

MW WP Formサポートページ

 

テーマのカスタマイズに便利なShow Current Template

WordCampで紹介されたおすすめプラグインShow Current Template

テーマを制作、カスタマイズする際、どこのテンプレートファイルを編集したら良いかわかるプラグインです。
表示している画面のツールバーに、関連のあるテンプレートファイル名が表示されます。
時間をかけて編集をしたが反映されない、編集するファイルを間違えるなどの問題を解決してくれます。

Show Current Templateのスクリーンショット

Show Current Templateができること

  • ページ毎のテンプレートファイル名の表示

こんな時に便利!

このプラグインはテーマをカスタマイズする方にとって必須プラグインだと思います。
プラグインを有効化するだけでカスタマイズしたいページの編集するべきファイルが分かります。
編集したけどファイルが違い、また編集しなおしというような手間がなくなります。

Show Current Templateをダウンロード

Show Current Templateダウンロードページ

 

カスタム投稿タイプのパーマリンクを個別変更!Custom Post Type Permalinks

WordCampで紹介されたおすすめプラグインCustom Post Type Permalinks

インストールすることでカスタム投稿タイプのパーマリンクを個別に変更できるプラグインです。
他にも、カスタム投稿タイプの月別アーカイブリスト表示等が可能です。

Custom Post Type Permalinksのスクリーンショット

Custom Post Type Permalinksができること

  • カスタム投稿タイプのパーマリンクの個別設定
  • 月別アーカイブリスト表示

こんな時に便利!

カスタム投稿タイプのパーマリンクを自由に設定したいときに便利です。

Custom Post Type Permalinksのダウンロード

Custom Post Type Permalinksダウンロードページ

 

レスポンシブに対応したグーグルマップ用プラグインSimple Map

WordCampで紹介されたおすすめプラグインSimpleMap

住所を入力するだけで簡単にレスポンシブに対応したマップをショートコードでページに挿入することができるプラグインです。

SimpleMapのスクリーンショット

Simple Mapができること

  • レスポンシブに対応したマップを簡単に挿入
  • サイズの指定
  • ポップアップコメントの設定

こんな時に便利!

ホームページのアクセスページや、フッターにマップを挿入したいときに便利です。
レスポンシブにも対応しているためスマホやタブレットからのアクセスも安心です。

Simple Mapをダウンロード

Simple Mapダウンロードページ

 

簡単に著者情報を表示!VK Post Author Display

WordCampで紹介されたおすすめプラグインVK Post Author Display

記事の著者情報を表示することができるプラグインです。
誰が発信しているかを閲覧者に伝え、個人のブランディングに有効です。

VK Post Author Displayのスクリーンショット

VK Post Author Displayができること

  • 著者情報の表示
  • プロフィール、写真の設定

こんな時に便利!

このプラグインを入れることで誰が記事を書いたかが分かります。
記事によってキャラクターを出したいときや、個人の宣伝、ブランディングなどを行いたいときに便利です。

VK Post Author Displayをダウンロード

VK Post Author Displayダウンロードページ

 

VK Post Author Display公式ページ

 

 

企業のホームページに必要な機能を1つに!WP SiteManager

WordCampで紹介されたおすすめプラグインWP SiteManager

企業のホームページに必要なサイトマップやページナビなどの機能を一つにまとめたプラグインです。
ユーザービリティにすぐれた機能を持っているため、企業向けホームページのみならず、どんなホームページ
制作にも役に立つプラグインです。

WP SiteManagerのスクリーンショット

WP SiteManagerができること

  • ユーザーが迷うことなくページを回遊できるパンくずナビの表示
  • SEO対策と回遊率の向上が狙えるページナビの表示
  • たくさんの情報を一目で把握できるサイトマップの表示
  • コンテンツ内容を伝えるサブナビの表示
  • ユーザーのデバイスを判別して適したページを表示させるデバイス判定とテーマ切り替え機能
  • SEO対策として必須のメタキーワード、ディスクリプション設定
  • アクセスを高速化するキャッシュ機能

こんな時に便利!

SEOに必要な機能が網羅されているため、テーマの機能としてパンくずリストやページャーなどが無い場合、
このプラグインを入れることで解決できます。

WP SiteManagerをダウンロード

WP SiteManagerダウンロードページ

 

WP SiteManager公式ページ

 

 

面倒なユーザー登録を既存のアカウントでパスできるGianism

WordCampで紹介されたおすすめプラグインGianism

ログインが必要なホームページを運用する場合、ユーザーには新規登録をしてもらわなければなりません。
Gianismは主要なSNSのアカウントをそのまま使用できる便利なプラグインです。

 

Gianismのスクリーンショット

Gianismができること

SNSなどのアカウントをそのまま使用し、ログインできます。
使用できる主なアカウントは以下のとおりです。

  • Facebook
  • Instagram
  • Twitter
  • Google
  • YAHOO

こんな時に便利!

会員制サイトを作りたいときや、ブログにコメント欄を設置したいがセキュリティ上不安があるときなどに便利です。

Gianismをダウンロード

Gianismダウンロードページ

 

以上、ここまでがWordCamp2017のセッションでコントリビューターがオススメしたプラグインです。

知らないとまずい!危険なプラグインの見分け方

プラグインのご紹介と同時にご紹介したいのが「危険なプラグイン」についてです。
実は、ワードプレスにおいてプラグインは「脆弱」な要素となりえます。
WordCamp2017では、使用することで他社から攻撃を受けやすくなったり、テーマを破壊したりする
危険なプラグインの見分け方についてセッションがありましたのでご紹介します。

プラグインの脆弱性

近年、ワードプレスの利用率上昇とともに、ワードプレス用テーマ、プラグインの脆弱性についての報告件数が上昇傾向にあります。

危険なプラグインの増加傾向グラフ

画像出典:WordCamp2017 安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策

これら脆弱性の報告は一般社団法人JPCERTおよび独立行政法人IPA情報処理推進機構へ寄せられます。

XSS-クロスサイトスクリプティング

プラグインに脆弱性があるとそこを突いた攻撃を受けるリスクがあります。
プラグインの脆弱性を突いた代表的な攻撃としてXSS(クロスサイトスクリプティング)があります。

XSSはハッキングの一種で「他者が管理するホームページに悪意のあるスクリプトを埋め込む」ことです。

代表的な悪意のあるスクリプトとして

  • ホームページに訪問した人のcookie情報を不正取得するセッションハイジャック
  • ホームページに訪問した人へHTMLタグを使用して個人情報入力を促し、個人情報を不正に取得する行為

どちらも不正に個人情報を取得しようとするものです。
セッションハイジャックをされると訪問者の様々なログイン情報(SNS、Gmail、Amazon等)を抜き取られ、
多大な被害を被ることとなります。

XSSは大変な脅威です。

そしてホームページを運営、管理する人はこの脅威から訪問者を守る義務があります。

危険なプラグインと見分け方

XSSのような脅威からホームページ、ユーザーを守るためには、使用しないほうが良い危険なプラグインを見分ける必要があります。
ダウンロード、有効化の前に必ずチェックするようにしましょう。

ご紹介する危険なプラグインと見分け方

  • 脆弱性について報告があるかを確認する
  • プラグインの更新頻度を確認する
  • ツイッター等のSNSで脆弱性についてリサーチ
  • ワードプレスのコアファイルを書き換えられるようなプラグインは絶対に使用しない

また、どうしても分からないときに相談できる場所をご紹介します。

脆弱性について報告があるかを確認する

前述したように、テーマやプラグインに脆弱性が見つかると一般社団法人JPCERTおよび独立行政法人IPA情報処理推進機構へ報告があります。(見つけた場合は報告します。)

脆弱性が報告されるとテーマ、プラグインの制作者へ連絡され是正指示があります。
是正後、改善の旨公表されます。
これらのデータは報告書という形で記録されプールされています。

はじめて使うテーマやプラグインについて報告されていないか必ず確認しましょう。

IPA 調査、報告書

 

JPCERT/CC  脆弱性情報

 

プラグインの更新頻度を確認する

プラグインをインストールする際、プラグインの最終更新日を確認しましょう。
最終更新日は2年以内を目安にしましょう。

プラグインの最終更新日確認

最終更新日が2年以上となっている場合、すでに改善活動が終了され放置されている場合があります。
悪意のある攻撃手法は常に進化し続けており、それに付随してプラグインも強化されて行かなくてはなりません。
更新され続ける、最新バージョンを常に使い続けることは重要です。

 

ツイッター等のSNSで脆弱性についてリサーチ

SNSではリアルタイムで脆弱性について情報交換されています。
”プラグイン名”や”プラグイン 脆弱性”などで検索を行うと情報を見ることができます。

プラグインの脆弱性をツイッターで確認

また、自分が脆弱性を発見した場合、SNSで情報を公開することを心掛けましょう。

 

ワードプレスのコアファイルを書き換えられるようなプラグインは絶対に使用しない

プラグインの中には、投稿画面でPHPファイルを書き換えられるような機能など、ワードプレスのコアファイルを書き換えることができてしまうものが存在します。

ワードプレスのコアは絶対に書き換えてはいけません。

セキュリティーに重大なリスクが発生する上に、テーマ自体を破壊してしまう可能性があります。

不具合の報告があるプラグイン

  • Exec-PHP
  • runPHP
  • PHP Code Widget

どれも簡易的にPHPコードが掛けるという名目でリリースされています。
この手のプラグインの使用は控えましょう。

 

ワードプレスの事ならなんでも聞ける!コントリビューターに聞いてみる

前述したプラグインのリサーチと合わせてWordPress.ORGのフォーラムでもリサーチしてみましょう。

ワードプレスのフォーラムで検索

他の人が同じことで悩んでいれば質問され、すでに解決されている場合があります。

ワードプレスのフォーラムで検索2

どうしても分からないときは質問してみましょう!
ワードプレスを使用する上で発生する疑問や不具合などについて質問したり、サポートを受けることができます。

質問は、コントリビューターが答えてくれます。
ワードプレスのコントリビューターは世界中にいて、あなたの質問を見ています。
どんな些細な質問でもほぼ回答がありますので質問してみてください。

その際、感謝することを忘れないでください。
ワードプレスは世界中のエンジニアたちがお金を貰わずに、”よくしたい、もっと便利に”などの有志で成り立っています。
ワードプレスが使える事、プラグインが使えることに感謝しましょう。

ワードプレスサポートフォーラム

※サポートを受けるためにはWordPress.ORGに登録する必要があります。

 

最後に

WordCamp2017にはじめて参加させていただきましたが、
とても貴重で濃厚な時間を過ごし、たくさんの情報を得ることができました。

私たちが必ず使うプラグインの開発者にお会いすることができたり、アドバイスをいただけたりと、また参加させていただきたいと思いました。

また、セキュリティーに対して危機感が増しました。
制作者の立場である以上、ユーザーに安全にホームページを利用してもらえるようより一層、配慮していかなければなりません。

ワードプレスはオープンソースです。
私たちもコントリビューターに感謝しつつ、Deme編集部がコントリビューターとして登壇できるよう目指していきたいと思います!!

読者限定の無料特典:利益を最大化させるブランディングのススメe-book

マーケティングだけじゃない。これからの戦略に必要不可欠なブランディング。

そんなブランディングのやり方を徹底解説!ブランディングの必要性からブランディングをしないとどうなるの?という疑問まで全てに答えたスタートブック。

始め方や考え方までを凝縮した一冊!これ一冊でブランディングの基礎を作ることができます。

ダウンロード特典:分析調査用シート各種付き

E-book詳細&ダウンロード

コメントを残す

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)