WordCamp(2017)で聞いてきた!おすすめプラグインと危険なプラグインの見分け方

WordCampって知ってますか?
ワードプレスはオープンソースです。
WordCampにはワードプレスを開発、改善しているコントリビューターたちが世界から集まり、
ワードプレスユーザーと交流したり情報交換をしたりするイベントです。
有名なプラグインやテーマの開発者たちが一堂に会するすごいイベントです。

そんなすごいイベントが新宿で開催されたので、ディーム編集部の皆で参加しました!

ワードプレスに関する様々な最新情報や業界の動向等を知ることができました!
また、ワードプレスのコアを開発するコントリビューターの皆様や有名で便利なプラグインの開発者にお会いすることができたりと、大変刺激的な経験をさせていただきました。

※コントリビューターとは
ワードプレスにおいてコントリビューターは「貢献者」という意味を持ちます。ワードプレスはオープンソースのプロジェクトで、世界中のエンジニアの有志によって開発、機能改善が行われています。コントリビューターはこのオープンソースプロジェクトにおいて、テーマ、プラグインの開発、ワードプレスのコアの改善、翻訳やマニュアル制作などに貢献をした人たちの事です。

今回は、Word Campで聞いてきた情報の一部ご紹介させていただきます。

ご紹介する情報

  • ワードプレスコア開発者であるコントリビューターがオススメするプラグイン
  • セキュリティの穴になりうる危険なプラグインの見分け方

順番にご紹介いたします。

コントリビューターがオススメするプラグイン7選

開発の最先端に携わるコントリビューターが使用、オススメするプラグインをご紹介します。
紹介するプラグイン

  • MW WP Form
  • Show Current Template
  • Custom Post Type Permalinks
  • Simple Map
  • VK Post Author Display
  • WP SiteManager
  • Gianism

それぞれの特徴、できる事についてご紹介します。

確認画面付きお問い合わせフォームを簡単作成!MW WP Form

ホームページに欠かすことのできないお問い合わせフォームを簡単に設置することができるプラグインです。
ショートコードで簡単に挿入することができ、必須項目や文字数などの条件、お問い合わせデータの自動保存などが可能な高機能プラグインです。

MW WP Formができること

  • ショートコードで簡単に挿入
  • 送信前に確認画面を表示させることが可能
  • シチュエーション(入力、確認、完了、エラー)にあったページを割り当て可能
  • 必須項目、文字数など、様々なルールを組み合わせることが可能
  • 自動返信機能
  • 問い合わせデータの自動保存
  • 問い合わせデータのグラフ化

こんな時に便利!

お問い合わせフォーム付きにページを作りたいときやアンケート機能付きのページを作りたいときに便利です。
また、お問い合わせいただいた顧客情報をデータとして残すことができるので、フォローし忘れやデータを
紛失するなどの心配がなくなります。

MW WP Formをダウンロード

テーマのカスタマイズに便利なShow Current Template

テーマを制作、カスタマイズする際、どこのテンプレートファイルを編集したら良いかわかるプラグインです。
表示している画面のツールバーに、関連のあるテンプレートファイル名が表示されます。
時間をかけて編集をしたが反映されない、編集するファイルを間違えるなどの問題を解決してくれます。

Show Current Template​ができること

  • ページ毎のテンプレートファイル名の表示

こんな時に便利!

お問い合わせフォーム付きにページを作りたいときやアンケート機能付きのページを作りたいときに便利です。
また、お問い合わせいただいた顧客情報をデータとして残すことができるので、フォローし忘れやデータを
紛失するなどの心配がなくなります。

Show Current Template​をダウンロード

カスタム投稿タイプのパーマリンクを個別変更!Custom Post Type Permalinks

インストールすることでカスタム投稿タイプのパーマリンクを個別に変更できるプラグインです。
他にも、カスタム投稿タイプの月別アーカイブリスト表示等が可能です。

Custom Post Type Permalinksができること

  • カスタム投稿タイプのパーマリンクの個別設定
  • 月別アーカイブリスト表示

こんな時に便利!

カスタム投稿タイプのパーマリンクを自由に設定したいときに便利です。

Custom Post Type Permalinksをダウンロード

レスポンシブに対応したグーグルマップ用プラグインSimple Map

住所を入力するだけで簡単にレスポンシブに対応したマップをショートコードでページに挿入することができるプラグインです。

Simple Mapができること

  • レスポンシブに対応したマップを簡単に挿入
  • サイズの指定
  • ポップアップコメントの設定

こんな時に便利!

ホームページのアクセスページや、フッターにマップを挿入したいときに便利です。
レスポンシブにも対応しているためスマホやタブレットからのアクセスも安心です。

Simple Mapをダウンロード

簡単に著者情報を表示!VK Post Author Display

記事の著者情報を表示することができるプラグインです。
誰が発信しているかを閲覧者に伝え、個人のブランディングに有効です。

VK Post Author Display​ができること

  • 著者情報の表示
  • プロフィール、写真の設定

こんな時に便利!

このプラグインを入れることで誰が記事を書いたかが分かります。
記事によってキャラクターを出したいときや、個人の宣伝、ブランディングなどを行いたいときに便利です。

VK Post Author Displayをダウンロード

企業のホームページに必要な機能を1つに!WP SiteManager

企業のホームページに必要なサイトマップやページナビなどの機能を一つにまとめたプラグインです。
ユーザービリティにすぐれた機能を持っているため、企業向けホームページのみならず、どんなホームページ
制作にも役に立つプラグインです。

WP SiteManager​ができること

  • ユーザーが迷うことなくページを回遊できるパンくずナビの表示
  • SEO対策と回遊率の向上が狙えるページナビの表示
  • たくさんの情報を一目で把握できるサイトマップの表示
  • コンテンツ内容を伝えるサブナビの表示
  • ユーザーのデバイスを判別して適したページを表示させるデバイス判定とテーマ切り替え機能
  • SEO対策として必須のメタキーワード、ディスクリプション設定
  • アクセスを高速化するキャッシュ機能

こんな時に便利!

SEOに必要な機能が網羅されているため、テーマの機能としてパンくずリストやページャーなどが無い場合、
このプラグインを入れることで解決できます。

WP SiteManager​をダウンロード

面倒なユーザー登録を既存のアカウントでパスできるGianism

ログインが必要なホームページを運用する場合、ユーザーには新規登録をしてもらわなければなりません。
Gianismは主要なSNSのアカウントをそのまま使用できる便利なプラグインです。

Gianismができること

SNSなどのアカウントをそのまま使用し、ログインできます。
使用できる主なアカウントは以下のとおりです。

  • Facebook
  • Instagram
  • Twitter
  • Google
  • YAHOO

Gianismをダウンロード

以上、ここまでがWordCamp2017のセッションでコントリビューターがオススメしたプラグインです。

知らないとまずい!危険なプラグインの見分け方

プラグインのご紹介と同時にご紹介したいのが「危険なプラグイン」についてです。
実は、ワードプレスにおいてプラグインは「脆弱」な要素となりえます。
WordCamp2017では、使用することで他社から攻撃を受けやすくなったり、テーマを破壊したりする
危険なプラグインの見分け方についてセッションがありましたのでご紹介します。

プラグインの脆弱性

近年、ワードプレスの利用率上昇とともに、ワードプレス用テーマ、プラグインの脆弱性についての報告件数が上昇傾向にあります。

XSS-クロスサイトスクリプティング

プラグインに脆弱性があるとそこを突いた攻撃を受けるリスクがあります。
プラグインの脆弱性を突いた代表的な攻撃としてXSS(クロスサイトスクリプティング)があります。

XSSはハッキングの一種で他者が管理するホームページに悪意のあるスクリプトを埋め込むことです。

代表的な悪意のあるスクリプトとして

  • ホームページに訪問した人のcookie情報を不正取得するセッションハイジャック
  • ホームページに訪問した人へHTMLタグを使用して個人情報入力を促し、個人情報を不正に取得する行為

どちらも不正に個人情報を取得しようとするものです。
セッションハイジャックをされると訪問者の様々なログイン情報(SNS、Gmail、Amazon等)を抜き取られ、
多大な被害を被ることとなります。

XSSは大変な脅威です。

そしてホームページを運営、管理する人はこの脅威から訪問者を守る義務があります。

危険なプラグインと見分け方

XSSのような脅威からホームページ、ユーザーを守るためには、使用しないほうが良い危険なプラグインを見分ける必要があります。
ダウンロード、有効化の前に必ずチェックするようにしましょう。

ご紹介する危険なプラグインと見分け方

  • 脆弱性について報告があるかを確認する
  • プラグインの更新頻度を確認する
  • ツイッター等のSNSで脆弱性についてリサーチ
  • ワードプレスのコアファイルを書き換えられるようなプラグインは絶対に使用しない

また、どうしても分からないときに相談できる場所をご紹介します。

脆弱性について報告があるかを確認する

前述したように、テーマやプラグインに脆弱性が見つかると一般社団法人JPCERTおよび独立行政法人IPA情報処理推進機構へ報告があります。(見つけた場合は報告します。)

脆弱性が報告されるとテーマ、プラグインの制作者へ連絡され是正指示があります。
是正後、改善の旨公表されます。
これらのデータは報告書という形で記録されプールされています。

はじめて使うテーマやプラグインについて報告されていないか必ず確認しましょう。

プラグインの更新頻度を確認する

プラグインをインストールする際、プラグインの最終更新日を確認しましょう。
最終更新日は2年以内を目安にしましょう。

ツイッター等のSNSで脆弱性についてリサーチ

SNSではリアルタイムで脆弱性について情報交換されています。
”プラグイン名”や”プラグイン 脆弱性”などで検索を行うと情報を見ることができます。

また、自分が脆弱性を発見した場合、SNSで情報を公開することを心掛けましょう。

ワードプレスのコアファイルを書き換えられるようなプラグインは絶対に使用しない

プラグインの中には、投稿画面でPHPファイルを書き換えられるような機能など、ワードプレスのコアファイルを書き換えることができてしまうものが存在します。

ワードプレスのコアは絶対に書き換えてはいけません。

セキュリティーに重大なリスクが発生する上に、テーマ自体を破壊してしまう可能性があります。

不具合の報告があるプラグイン

  • Exec-PHP
  • runPHP
  • PHP Code Widget

どれも簡易的にPHPコードが掛けるという名目でリリースされています。
この手のプラグインの使用は控えましょう。

ワードプレスの事ならなんでも聞ける!コントリビューターに聞いてみる

前述したプラグインのリサーチと合わせてWordPress.ORGのフォーラムでもリサーチしてみましょう。

前述したプラグインのリサーチと合わせてWordPress.ORGのフォーラムでもリサーチしてみましょう。

どうしても分からないときは質問してみましょう!
ワードプレスを使用する上で発生する疑問や不具合などについて質問したり、サポートを受けることができます。

質問は、コントリビューターが答えてくれます。
ワードプレスのコントリビューターは世界中にいて、あなたの質問を見ています。
どんな些細な質問でもほぼ回答がありますので質問してみてください。

その際、感謝することを忘れないでください。
ワードプレスは世界中のエンジニアたちがお金を貰わずに、”よくしたい、もっと便利に”などの有志で成り立っています。
ワードプレスが使える事、プラグインが使えることに感謝しましょう。

※サポートを受けるためにはWordPress.ORGに登録する必要があります。

最後に

WordCamp2017にはじめて参加させていただきましたが、
とても貴重で濃厚な時間を過ごし、たくさんの情報を得ることができました。

私たちが必ず使うプラグインの開発者にお会いすることができたり、アドバイスをいただけたりと、また参加させていただきたいと思いました。

また、セキュリティーに対して危機感が増しました。
制作者の立場である以上、ユーザーに安全にホームページを利用してもらえるようより一層、配慮していかなければなりません。

ワードプレスはオープンソースです。
私たちもコントリビューターに感謝しつつ、Deme編集部がコントリビューターとして登壇できるよう目指していきたいと思います!!