無料でブログを宣伝できるサイト「ブロググ」

【必須4つ】WordPressで最初に入れる基本プラグインのインストール方法

この記事では、おすすめの基本プラグインの設定方法を、画像を用いてわかりやすくご紹介します。

WordPressを始めたら、最初に導入すべき重要プラグインが4つあります。

日本語バグ対策プラグインと、セキュリティプラグインの2種類です。

suya

デザイン系や便利系のプラグインは、後でゆっくり選びましょう。

なるほどくん

なるほど!すぐ入れる必要があるんですね。

この記事でできること
WP Multibyte Patch
  • 日本語の不具合対策ができる
Really Simple SSL
  • SSL設定ができる
  • http→httpsリダイレクト(転送)ができる
XO Security
  • 不正ログイン対策ができる(プラグイン「Limit Login Attempts」が不要)
  • コメント荒らしの対策ができる(プラグイン「Akismet」が不要)
  • 投稿者スラッグの秘匿ができる(プラグイン「Edit Autor Slug」が不要)
BBQ Firewall
  • 不正攻撃をブロックできる
この記事を書いた人

suya @suyasite

  • WP-Search」開発者
  • ブロググ」開発者
  • Webで月1億円を売り上げる
  • セキュリティの専門家(国家資格
  • WP-Search」開発者
  • ブロググ」開発者
  • Webで月1億円を売上
  • セキュリティ国家資格

この記事を最後まで読めば、WordPress(ワードプレス)で基本プラグインの設定がすぐ完了します。

ぜひ最後まで進めてみてください。

すでに途中まで進めている人は、目次から該当箇所に飛ぶこともできます。

目次

1) WP Multibyte Patch(日本語の不具合対策)

プラグイン「WP Multibyte Patch」とは

WP Multibyte Patch」は、日本語(マルチバイト文字)の不具合対策ができる必須プラグインです。

suya

おまじないだと思って、すべてのサイトに導入しましょう。

「WP Multibyte Patch」でできること
  • 文字化けや文字数カウントの不具合を解決できる
  • 設定不要でインストールするだけ

どんな機能があるのか興味がある人は、以下をご覧ください。

WordPress(ワードプレス)の初期設定で、必ずインストールするようにしてください。

「WP Multibyte Patch」をインストール・有効化する方法

WordPress(ワードプレス)にログインしたら、左メニューの[プラグイン][新規追加]をクリックして、[プラグインの検索]をします。

WordPress(ワードプレス)のプラグインを検索して新規追加
[プラグイン]→[新規追加]から、[プラグインの検索]

WP Multibyte Patch」を検索して、[今すぐインストール]した後に[有効化]します。

WordPressプラグイン「WP Multibyte Patch」のインストール
「WP Multibyte Patch」をインストール・有効化
suya

初めからインストールされている場合、有効化だけすればOKです。

WP Multibyte Patch」はインストール・有効化しただけで利用できます。設定は不要です。

以上で、日本語対応プラグイン「WP Multibyte Patch」のインストール・有効化は完了です。

2) Really Simple SSL(SSL対応)

プラグイン「Really Simple SSL」とは

Really Simple SSL」は、SSL(https)設定が簡単にできる重要プラグインです。

「Really Simple SSL」でできること
  • httpからhttpsへのリダイレクト設定
  • WordPressアドレスサイトアドレスをhttpsに変更(WordPress一般設定)
  • コンテンツ内のhttpリンクをhttpsリンクに変換(混合コンテンツ対策)

レンタルサーバーの種類やWordPressのインストール方法によっては、最初http→httpsのリダイレクト(転送)がされません。

トップページがリダイレクトされても、個別ページはリダイレクトされなかったりするため、自分のサイトがリダイレクトされるか一度試してみる必要があります。

トップページ

http://ドメイン名/

個別ページ

http://ドメイン名/hello-world/

https://」にリダイレクト(転送)されない場合、ブラウザで「保護されていない通信」「セキュリティ保護なし」「安全ではありません」などと表示されます。

http(非SSL)のブラウザ表示(各ページ)
保護されていない通信(Chromeの場合)

http→httpsリダイレクトされないときの悪影響

http→httpsのリダイレクト(転送)がされないと、以下の問題があります。

http→httpsリダイレクトされないときの問題点
  • 同じコンテンツが2つのURLに存在する重複コンテンツと見なされる(SEOの問題)
  • SSL暗号化を利用しない通信が可能になる(セキュリティの問題)

全ページでhttp→httpsのリダイレクトされる場合は、「Really Simple SSL」のインストール・有効化は必要ありません。

http→httpsにリダイレクトされないページがある場合は「Really Simple SSL」を導入しましょう。

プラグイン「Really Simple SSL」の設定項目についての詳しい解説は、以下をご覧ください。

「Really Simple SSL」をインストール・有効化する方法

[プラグイン][新規追加]から「Really Simple SSL」を検索して、[今すぐインストール]した後に[有効化]します。

WordPressプラグイン「Really Simple SSL」のインストール
「Really Simple SSL」をインストール・有効化

以上で、SSL対応プラグイン「Really Simple SSL」のインストール・有効化は完了です。

続けてSSLの有効化を行います。

「Really Simple SSL」を設定する方法

Really Simple SSL」を有効化したら、以下のような画面になります。

[SSL を有効化]をクリックします。

WordPressプラグイン「Really Simple SSL」のSSL有効化を開始
[SSL を有効化]をクリック

「SSL設定」画面が開きます。

この時点で、http→httpsリダイレクトがすでに開始しており、サイト・ブログのSSL化が完了しています。

WordPressプラグイン「Really Simple SSL」の設定画面
「SSL設定」を開く

このままだと、左メニューなどに表示される赤い通知アイコンが残ってしまうので、次で通知を非表示にします。

有料版(プロ版・プレミアム)を契約しないと、進行状況は 100% になりません

進行状況は気にせず、通知をOFF(非表示)にしてしまいましょう。

WordPressプラグイン「Really Simple SSL」の設定画面(進捗状況)
「Really Simple SSL」の進行状況

Really Simple SSL の通知をすべて非表示」のトグルをONにして[保存]をクリックします。

WordPressプラグイン「Really Simple SSL」の設定画面(通知を非表示)
「Really Simple SSL の通知をすべて非表示」をON

以上で、SSL対応プラグイン「Really Simple SSL」の設定は完了です。

3) XO Security(ログインセキュリティ)

プラグイン「XO Security」とは

XO Security」は、不正ログイン対策などのセキュリティ対策ができる重要プラグインです。

suya

何も対策しないままサイトを公開していると、いずれ不正ログインされます。

WordPress(ワードプレス)の初期設定で、必ずインストールするようにしてください。

プラグイン「XO Security」の設定項目についての詳しい解説は、以下をご覧ください。

同様のセキュリティ対策プラグイン「SiteGuard WP Plugin」を使いたい人は、以下をご覧ください。

「XO Security」をインストール・有効化する方法

[プラグイン][新規追加]から「XO Security」を検索して、[今すぐインストール]した後に[有効化]します。

WordPressプラグイン「XO Security」のインストール
「XO Security」をインストール・有効化

「XO Security」を設定する方法

左メニューの[設定][XO Security]をクリックして、「XO Security 設定」を開きます。

WordPressプラグイン「XO Security」の設定画面(ステータス初期設定)
「XO Security 設定」を開く

ログイン設定

タブメニューの「ログイン」をクリックして、「ログイン設定」画面を開きます。

試行回数制限、応答遅延、ログインページの変更、ログインIDの種類、ログインエラーメッセージを変更します。

WordPressプラグイン「XO Security」のログイン設定(ログイン関連)
試行回数制限、応答遅延、ログインページの変更、ログインIDの種類、ログインエラーメッセージを変更

ログインページの変更を設定した場合、必ず変更したログインページのURLをブックマークしておいてください。

WordPressプラグイン「XO Security」のログイン設定(ログインページのブックマーク)
変更したログインページのURLをブックマーク

ログインページからでないと、管理画面やダッシュボード(/wp-admin/)にアクセスできなくなります。

CAPTCHA、ログインアラートを変更して[変更を保存]をクリックします。

WordPressプラグイン「XO Security」のログイン設定(ログインフォーム、ログインアラート)
CAPTCHA、ログインアラートを変更

すべてのユーザーにメール通知したくない場合は、[管理者のみ]のチェックをONにしてください。

タブを切り替える前に[変更を保存]しないと、変更内容が破棄されるため注意してください。

SiteGuard WP Plugin」を導入していれば、ログイン試行回数制限プラグインLimit Login Attempts」が不要になります。

プラグインを減らせば、それだけ不具合が減り、サイト表示速度も速くなるためSEO対策にもなります。

コメント設定

タブメニューの「コメント」をクリックして、「コメント設定」画面を開きます。

CAPTCHAを「ひらがな」に設定して[変更を保存]をクリックします。

WordPressプラグイン「XO Security」のコメント設定(CAPTCHA)
CAPTCHAを「ひらがな」に設定

スパム保護フィルター」では、日本語タイトルをコピペするBotに突破されました。

ユーザー操作が必要になりますが、「CAPTCHA(画像認証)」か「ボット保護チェックボックス」のどちらかを設定するのをおすすめします。

両方設定してしまうと、ユーザビリティが損なわれるため、必ず1つだけ設定するようにしましょう。

XO Security」を導入していれば、スパム対策プラグインAkismet Spam Protection」が不要になります。

プラグインを減らせば、それだけ不具合が減り、サイト表示速度も速くなるためSEO対策にもなります。

XML-RPC 設定

タブメニューの「XML-RPC」をクリックして、「XML-RPC設定」画面を開きます。

XML-RPC ピンバックの無効化のトグルをONに変更して[変更を保存]をクリックします。

WordPressプラグイン「XO Security」のXML-RPC設定(XML-RPCピンバックの無効化)
XML-RPC ピンバックの無効化をON

XML-RPCとは、プログラム開発に利用する通信方式(プロトコル)の一種です。

ブルートフォースアタック(総当たり攻撃)などの攻撃に悪用されることがあります。

ただし、XML-RPCを無効にすると、プラグインが動かなくなってしまうことがあります。

そのため、DDoS攻撃(過負荷攻撃)に悪用されるXML-RPC ピンバックだけ無効化します。

REST API 設定

タブメニューの「REST API」をクリックして、「REST API設定」画面を開きます。

REST API の無効化を設定して[変更を保存]をクリックします。

WordPressプラグイン「XO Security」のREST API設定(REST APIの無効化)
REST API の無効化を設定

REST APIとは、プログラム開発に利用する通信方式(プロトコル)の一種です。

これまでに、サイト改ざんなどの脆弱性を悪用する攻撃が行われています。

ただし、REST APIを無効にすると、プラグインが動かなくなってしまうことがあります。

そのため、ユーザー名の秘匿に関わる以下の項目のみ無効化するのをおすすめします。

/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)

WordPress(ワードプレス)の脆弱性を悪用されないように、定期的にアップデート(更新)して最新のバージョンに保ちましょう。

秘匿設定

タブメニューの「秘匿」をクリックして、「秘匿設定」画面を開きます。

投稿者スラッグの編集、コメント投稿者クラスの削除、バージョン情報の削除をONにして[変更を保存]をクリックします。

WordPressプラグイン「XO Security」の秘匿設定(投稿者スラッグ、RSSフィード、WordPressバージョン)
投稿者スラッグの編集、コメント投稿者クラスの削除、バージョン情報の削除をON

投稿者スラッグの編集をONにした場合、投稿者スラッグをデフォルト設定(ユーザー名)から変更する必要があります。

左メニューの[ユーザー][プロフィール]もしくは右上のアイコンから、「プロフィール設定」画面を開きます。

ページ下部の「投稿者スラッグ」をユーザー名以外に変更して[プロフィールを更新]をクリックします。

WordPressプラグイン「XO Security」の投稿者スラッグ(ユーザープロフィール設定)
「投稿者スラッグ」をユーザー名以外に変更

投稿者スラッグを「空白」にしてしまうと、ユーザー名(ログインID)が設定されるため注意してください。

XO Security」を導入していれば、プラグインEdit Autor Slug」が不要になります。

プラグインを減らせば、それだけ不具合が減り、サイト表示速度も速くなるためSEO対策にもなります。

環境設定

「環境設定」画面は、デフォルト設定(自動)のままで大丈夫です。

WordPressプラグイン「XO Security」の環境設定
「環境設定」を開く

以上で、セキュリティプラグイン「XO Security」の設定は完了です。

タブを切り替える前に[変更を保存]しないと、変更内容が破棄されるため注意してください。

ログインページの変更を設定した場合、必ず変更したログインページのURLをブックマークしておいてください。

WordPressプラグイン「XO Security」のログイン設定(ログインページのブックマーク)
変更したログインページのURLをブックマーク

ログインページからでないと、管理画面やダッシュボード(/wp-admin/)にアクセスできなくなります。

管理画面にログインできなくなったときの対処法は、以下をご覧ください。

4) BBQ Firewall(ファイアウォール)

プラグイン「BBQ Firewall」とは

BBQ Firewall」は、ファイアウォールによるセキュリティ対策ができる重要プラグインです。

BBQは、「Block Bad Queries」の略称です。

suya

難しいことは理解できなくても、インストールするだけです。

「BBQ Firewall」でできること
  • SQLインジェクション攻撃の対策ができる
  • ディレクトリトラバーサル攻撃の対策ができる
  • クロスサイトスクリプティング(XSS)攻撃の対策ができる
  • 設定不要でインストールするだけ

どんな機能があるのか興味がある人は、以下をご覧ください。(英語です)

WordPress(ワードプレス)の初期設定で、必ずインストールするようにしてください。

「BBQ Firewall」をインストール・有効化する方法

[プラグイン][新規追加]から「BBQ Firewall」を検索して、[今すぐインストール]した後に[有効化]します。

WordPressプラグイン「BBQ Firewall」のインストール
「BBQ Firewall」をインストール・有効化

BBQ Firewall」はインストール・有効化しただけで利用できます。設定は不要です。

以上で、セキュリティプラグイン「BBQ Firewall」のインストール・有効化は完了です。

参考)不要なプラグインを削除

suya

最後に、余計なプラグインを削除しておきましょう。

左メニューの[プラグイン]をクリックして、「Akismet Anti-Spam」や「Hello Dolly」などを[削除]します。

WordPressプラグインの削除(Akismet、Hello Dolly)
不要なプラグインを削除

「本当に プラグイン  を削除してもよいですか ?」とポップアップが表示されたら、[OK]をクリックします。

以下に、削除を推奨するデフォルトプラグインをまとめておきます。

プラグイン名デフォルト理由説明
Akismet Anti-SpamWordPress.com 運営元が開発スパム対策プラグイン
→ 「XO Security」で十分なため削除
JetpackWordPress.com 運営元が開発多機能プラグイン
→ 多機能すぎて重いため削除
Hello Dollyプラグイン開発の参考用お遊びプラグイン
→ プラグイン開発しないなら削除
SiteGuard WP Pluginログインセキュリティプラグイン
→ 「XO Security」と被るため削除
Login Attempts Reloadedログイン試行回数制限プラグイン
→ 「XO Security」で十分なため削除
TypeSquare Webfonts for サーバー名
Webフォントプラグイン
→ 読み込みが重いため削除

プラグインを減らせば、それだけ不具合が減り、サイト表示速度も速くなるためSEO対策にもなります。

初めから有効化されているプラグインは、よくわからなければ削除せずにそのままにしておきましょう。

この記事のまとめ

4つの基本プラグインについて、WordPress(ワードプレス)へのインストール・有効化と設定のやり方を見てきました。

WordPressをインストールしたら、毎回忘れずにインストールするようにしましょう。

なるほどくん

ブックマークして覚えておきます。

WordPressを安全に公開できたら、集客のための設定を行います。

GoogleアナリティクスGoogleサーチコンソールを導入するために、次のステップに進みましょう。

よくある質問(FAQ)

WordPress(ワードプレス)に最低限必要なプラグインはどれですか?

WP Multibyte Patch」「Really Simple SSL」「XO Security」「BBQ Firewall」の4つです。

インストールや有効化、設定の方法は、本ページを参考にしてください。

「Wordfence Security」はどうですか?

Wordfence Security」は、高機能&多機能なセキュリティプラグインです。

ログインセキュリティ(不正ログイン対策)、二段階認証、ファイアウォール、マルウェア検知などに対応しています。

ただし、多機能ということは、それだけ設定が複雑ということです。初心者向きではありません

日本語化されておらず、初期設定を終えるだけで一苦労、不具合が起こったら解決するまでが大変です。

さらには、アンインストールしても完全には削除されないため、忘れた頃に不具合が起こると目も当てられません。

このページで紹介したログインセキュリティ「XO Security」とファイアウォール「BBQ Firewall」を利用することをおすすめします。

プラグインをインストールしようとしたら、初めから[有効化]と表示されるのはなぜですか?

プラグインを検索して、[今すぐインストール]と表示されない場合、すでにインストールされています。

[有効化]すれば、すぐに利用を開始できます。

「WP Multibyte Patch」には、どんな機能がありますか?

以下のページをご覧ください。

「WP Multibyte Patch」に設定は必要ありませんか?

はい、「WP Multibyte Patch」はインストール・有効化するだけで利用できます。

設定メニューはありませんので、設定不要です。

リダイレクトとはなんですか?

リダイレクトとは、あるページ(URL)にアクセスしたら、別のページ(URL)に自動的に転送する機能です。

http→httpsなどのURLの集約だけでなく、ページ移転によるURLの誘導などにも利用されます。

「Really Simple SSL」を導入しない場合、どんなリスクがありますか?

http→httpsリダイレクト(転送)がされない場合、以下の問題があります。

  • 同じコンテンツが2つのURLに存在する重複コンテンツと見なされる(SEOの問題)
  • SSL(https)暗号化を利用しない通信が可能になる(セキュリティの問題)
ブラウザで「保護されていない通信」「セキュリティ保護なし」「安全ではありません」などと表示されるのはなぜですか?

「http://」にアクセスした場合、通信が暗号化(SSL)されていないため、注意メッセージが表示されます。

SSL対応(https化)が完了したら、「Really Simple SSL」でhttp→httpsリダイレクトさせましょう。

「.htaccess」とはなんですか?

WordPress(ワードプレス)のルートディレクトにある設定ファイルです。

ファイルマネージャー(FTP)で確認・編集ができますが、プラグインでも変更される場合があります。

設定ミスなどでサイト自体にアクセスできなくなる恐れがあるため、よくわからない場合は変更しないようにしましょう。

「Really Simple SSL」で、httpからhttpsに書き換えられるのはどこですか?

Really Simple SSL」は、既存のコンテンツを自動的にhttpsに書き換えてくれます。

外部サイトからの被リンクは、書き換えられない代わりにhttp→httpsリダイレクトされます。

場所URLhttps化
自分のサイトhttpの内部リンク(混合コンテンツ含む)httpsに書き換え
自分のサイトhttpの外部リンクhttpのまま
外部サイトhttpの被リンクhttp→httpsリダイレクト

すでにGoogleアナリティクスGoogleサーチコンソールを設定済みの場合は、登録しているURLを「https://」に変更を忘れずに。

「XO Security」を導入しない場合、どんなリスクがありますか?

ログインセキュリティプラグインを導入しない場合、以下の問題があります。

  • ロボットによるログイン試行(不正ログイン)に無防備
  • ロボットによる荒らしコメント(コメントスパム)に無防備
  • 投稿者スラッグなどからユーザー名(ログインID)がバレる
CAPTCHAとはなんですか?

CAPTCHAは、「英数字」や「ひらがな」の読みにくい画像を識別させることで、ロボットではないことを確認するためのものです。

日本語では、画像認証や文字認証と呼びます。

XO Security」や「SiteGuard WP Plugin」などの他に、Googleの「reCAPTCHA」を利用することもあります。

XML-RPCとはなんですか?

XML-RPCとは、プログラム開発に利用する通信方式(プロトコル)の一種です。

ブルートフォースアタック(総当たり攻撃)などの攻撃に悪用されることがあります。

ただし、XML-RPCを無効にすると、プラグインが動かなくなってしまうことがあります。

REST APIとはなんですか?

REST APIとは、プログラム開発に利用する通信方式(プロトコル)の一種です。

これまでに、サイト改ざんなどの脆弱性を悪用する攻撃が行われています。

ただし、REST APIを無効にすると、プラグインが動かなくなってしまうことがあります。

投稿者スラッグなどを秘匿して、ユーザー名を隠す理由はなんですか?

WordPress(ワードプレス)では、「ユーザー名=ログインID」であるため、ユーザー名がバレると、後はパスワードさえわかればログインできてしまいます。

パスワードも、単純なもの(1234など)、予測しやすいもの(誕生日など)、他サイトと同じもの(使い回し)などで、簡単にわかることがあります。

パスワードだけ対策するのではなく、ログインID(ユーザー名)も対策することで、多重防御するようにしましょう。

メールアドレスでログインできなくする理由はなんですか?

WordPress(ワードプレス)では、「メールアドレス=ログインID」であるため、メールアドレスがバレると、後はパスワードさえわかればログインできてしまいます。

パスワードも、単純なもの(1234など)、予測しやすいもの(誕生日など)、他サイトと同じもの(使い回し)などで、簡単にわかることがあります。

パスワードだけ対策するのではなく、ログインID(メールアドレス)も対策することで、多重防御するようにしましょう。

「BBQ Firewall」には、どんな機能がありますか?

以下のページをご覧ください。(英語です)

「BBQ Firewall」を導入しない場合、どんなリスクがありますか?

WordPress(ワードプレス)本体、テーマ、プラグインなどに脆弱性があった場合、簡単に攻撃されてしまいます。

実際に脆弱性は毎日のように発見されているため、ファイアウォールで多重防御する必要があります。

「BBQ Firewall」に設定は必要ありませんか?

はい、「BBQ Firewall」(無料版)はインストール・有効化するだけで利用できます。

設定メニューはありますが、設定項目はないため、設定不要です。

不要なプラグインは、削除したほうがいいですか?

はい、有効化していないプラグインは基本的に削除するようにしましょう。

プラグインがインストールされているだけで、不具合やサイトが重くなる原因になるからです。

初めから有効化されているプラグインは、よくわからなければ削除せずにそのままにしておきましょう。

読者の声を紹介させてください

この記事をご紹介いただいた方がいらっしゃいましたら、読者の声として掲載させていただきます。

ぜひご連絡いただければと思います。

この記事が役に立ったらご紹介ください!
  • URLをコピーしました!

コメント

コメントする

目次