改めてWPのプラグイン
WordPressは、プラグインを導入することによって、自分に相応しい作成環境を手に入れることが出来る。もっとも、WordPressをインストールすると、三つのプラグインがあらかじめ導入されている。
[Akismet]はスパムコメント対策
[WP Multibyte Patch]は日本語用の文字化け対策
[Hello Dolly]はただの冗談プラグイン
このうち[Akismet][WP Multibyte Patch]は必ず有効化しておく。[Hello Dolly]は削除。さらにコンタクト用に、
[Contact Form 7]
を導入して、固定ページにお問い合わせのフォームを作っておくとよい。
他の導入プラグイン
Edit Author Slug
サイトのURLに「/?author=1」(あるいは2とか3)と加えると、ユーザー名が分ってしまう。それを防ぐためのもの。実際の所、ユーザー名が分っても、適切なパスワードが設定されていれば、気に病むほどのことは無いが、気休めにはなるだろう。
PS Disable Auto Formatting
手動でHTMLのタグを記述しながら書いている自分には、WordPressの自動成形機能というのは非常に煩わしい。自分が書いたタグ内容を、勝手に変更してしまうからである。それを停止するこのプラグインは、自分には無くてはならないものであると言える。
Better Delete Revision
WP は既存の記事に再度編集を行うたびに、編集過程をリヴィジョンとして保存している。以前の状態に戻す必要も無いなら、無駄なデータには違いないので、それを消去するためのプラグイン。
Lazy Load
ページを表示したときに、すぐ画像データを読み込まないで、ページに対して遅延表示させることにより、結果として画像データ以外の読み込みを早くするプラグイン。サイドメニューの「プラグインの編集」より、
⇒プラグイン編集
⇒lazy-load
⇒lazy-load/js/lazy-load.js の編集
⇒distance: 200⇒400
としてみる。
Broken Link Checker
全記事の余所へのリンク、さらにはコメント欄に貼られたリンクが、生きているかどうかをチェックしてくれる。
UpdraftPlus
WordPressのバックアップには、[BackWPup]というプラグインがよく知られているが、特にリストアを中心に、ずっと作業が簡単なのがこの[UpdraftPlus]。特にドロップボックスなどのクラウド上に、定期的に自動でバックアップをしておくと、バックアップのことで煩うことが無くなる。
SiteGuard WP Plugin
今回新たにインストール。代わりに同種の機能を内包するため、アクセスログをチェックできる[Crazy Bone (狂骨)]、コメント欄での文字認証などを加える、[SI CAPTCHA Anti-Spam]はアンインストール。設定の詳細は下に記載。
未使用の有用なプラグイン
SI CAPTCHA Anti-Spam
コメント欄、登録フォーム、ログイン画面などに、画像として表示された文字を記入しないと、書き込みや登録が行えない、画像認証を設置出来きる。ただし、同じくログイン画面に作用する、下の[Crazy Bone (狂骨)]などをインストールした環境で、ログイン画面に認証を設置すると、競合してうまく動作しないようだ。
Crazy Bone (狂骨)
WPへのログイン情報のログを表示してくれるので、不正アクセスが存在するかなどの確認が出来る。以前のバージョンは脆弱性が発見されたので、最新版を使用する。
EWWW Image Optimizer
画像データを圧縮してくれるプラグインだが、jpgファイルで15%程度。もっと圧縮率の高いプラグインもあるようだが、自分の環境では必要なさそう。画像を多く使用しているサイトに。
キャッシュ系プラグイン
初心者にお勧めしているサイトもあるが、なんだかよく分からないうちに使用するのはやめた方が良いかと思われる。
SiteGuard WP Plugin
あらためて、新たにインストールしたログイン関連を中心としたセキュリティープラグインである、[SiteGuard WP Plugin] の設定を自己用に記しておく。WordPressでは、ログイン画面のURLが簡単に分るようになっているので、それを改めて、少しでも入り口を分りにくくしておく。
そのため、サイトにメタ情報の[ログイン][サイト管理]などは置かないのが望ましい。以下は、プラグインで設定したものを順に記した覚書。
管理ページアクセス制限 ON
デフォルトで[/wp-login.php]になっているloginのURLを変更しても、サイトのアドレスに続けて、[/wp-admin]と打ち込むと、変更されたloginのURLへとリダイレクトされてしまうため、変更した効果があまりない。この設定によって、Login画面からログインしたアドレスしか、[/wp-admin]つまり「管理ページ」にアクセス出来なくなる。
ログインページ変更 ON
ONにすると、すぐに[wp-login.php]という共通のログインページを、ランダムな数字の付いたURLに変更してくれる。画面に新たなログイン画面を覚えておくように指示が出る。これだと味気ないので、自分のお好みのURLへと変更できる。
画像認証 ON
ログイン画面、コメント画面などで画像認証を導入。今まで使用していた[SI CAPTCHA Anti-Spam]の方が、ずっと詳細な設定が出来るが、ログイン画面での競合などを考えなくて良い、こちらの画像認証を使用してみることに。
ログイン詳細エラーメッセージの無効化 ON
、 それほどナーバスに考える必要な無いと思うが、せっかくある設定なので、ログイン画面で、ユーザー名だけあっているなど、状況に応じて発せられるエラーメッセージをすべて同じものにする。
ログインロック OFF
短時間に連続的にパスワードを試みてくる、PCなどによる総当たり攻撃のアクセスを防御する設定だが、使用している[Xserver]では、管理画面で対策可能なのでOFF。
ログインアラート OFF
ログインのあったことをメールで知らせてくれるもので、不正ログインの防止には有用だが、自分のログインの度にメールがあるのも煩わしい。
フェールワンス OFF
これも、不正ログインには有効で、正しいログインを入力しても、一度目は失敗させ、二度目に通過させるという、ありがたいものだが、それも煩わしいかと思い設定せず。
XMLRPC防御 OFF
WordPressで使用可能な、トラックバックの親戚ピンバック。それを使用しないなら「ピンバックを無効化」出来る。さらに、外部アプリからの投稿などXMLRPCの機能自体を使用しないなら、XMLRPCそのものを無効化出来る。[XSERVER]では対策済みとかいう情報を頼りに、ここでは使用せず。
更新通知 ON
これは、WordPressそのものやプラグイン、テーマの更新があったときに、WordPressに登録してあるメールアドレスに、通知を送信してくれるというもの。
ログイン履歴
最後に、一番下に小さく「ログイン履歴」とある所から、ログを見ることが出来る。