WordPressのプラグインはとても便利なので、沢山インストールしてしまいますね。調子にのってなんでもインストールするのは危険です。なぜならセキュリティの問題があるからです。最低でも今回ご紹介するポイントをチェックしましょう。 公式プラグインだとしても危険は存在します。
皆さんこんにちは、よしぞう(@otonahack)です。
WordPressには「プラグイン」という便利な機能があります。WordPress本体が持っていない機能を追加できるのでとても便利です。
プラグインには、WordPressの公式サイトで配布されている物と、それ以外のサイトで配布されている物があります。
当然、公式サイト以外で配布されているものをインストールする場合は気をつけると思いますが、公式サイトでダウンロードする場合も気をつけないとならないポイントがあります。
それは、「そのプラグインが頻繁にアップデートされているか」ということです。
最終アップデートをチェックする
WordPressの公式サイトでプラグインをダウンロードする際には、「最終アップデート」をチェックしましょう。
WordPress本体は頻繁にアップデートされセキュリティを強化していますが、プラグインは作者が常にアップデートしているとは限りません。趣味で作っている人もいるので長い間放置されている物もあります。こういったプラグインは危険も高いので要注意です。
公式サイトのプラグインダウンロード画面の右側に、以下の画像のような表示があります。
矢印で示した部分に「Last Update」の表示があります。この例では2012年7月27日が最後のアップデートで、それ以来アップデートされていません。
よしぞうがこの記事を書いているのは2014年10月です。2年以上もプラグインが更新されていません。
その間、ネットの世界では様々なハッキングが起こっていますし、WordPressはそれらに対応するため何度もバージョンアップしています。アップデートが放置されているプラグインはなるべくならインストールしない方がいいでしょう。
どうしても入れるのであれば、それなりの覚悟でインストールするか、同様の機能を持った別のプラグインを探しましょう。
ダウンロード画面では、以下のような警告も表示されます。この例では「2年以上アップデートされていませんよ」と表示されていました。
よしぞうは、半年くらいの放置ならインストールしてしまいますが、1年以上あいていると嫌な感じがします。インストールをやめるでしょう。
とはいえ、自分の運営サイトでは未だに古いプラグインを使っているサイトもあるので、偉そうな事は言えません。。。とりあえず、新規で作るサイトではインストールの際に気をつけています。いずれは自分の運営サイト全てを見直さないとなりませんね。。。大変だ〜。。
インストールするしないの判断は各自の自己責任でお願いします。よしぞうはとりあえず半年を目安にしていますが、これも推奨する物ではありません。責任は持てませんので自己責任で判断してください。
まとめ
公式サイトだからといって100%安心ではありませんので、公式サイトでプラグインをダウンロードする際にも注意が必要です。というわけでまとめです。
- 公式サイトからプラグインをダウンロードする際も注意が必要
- ダウンロードする際は、最終アップデートの日付をチェックする
- よしぞうは1年以上放置されていたらインストールしないが判断は各自の自己責任で