WordPress プラグインの状況をチェックできる「Plugin Report」の使い方

WordPress プラグインを古いまま放置しておくと、ハッキングによる改ざんの原因となります。

［インストール済みプラグイン］画面で未更新のプラグインがなければ安全なように見えますが、実は何年も更新されていなかったり、何らかの理由で公式ディレクトリから削除されているプラグインがあるかもしれません。

「Plugin Report」というプラグインを導入すると、そうした細かい部分をセルフチェックできます。セキュリティ面で危険なプラグインがないか、調べてみましょう。

Plugin Report の使い方

Plugin Report は、インストール・有効化して専用画面にアクセスするだけで簡単に使えます。

インストール・有効化

［プラグインを追加］画面で、「Plugin Report」を検索してインストール・有効化します。

Plugin Report 画面にアクセス

有効化後、［プラグイン］のサブメニューに追加された［Plugin Report］にアクセス。

インストールされているプラグインを自動的にチェックしてくれます。

長年更新されていないプラグインを見つける

全プラグインのチェックが完了したら、まずは長年更新されていない古いプラグインがないかチェックしましょう。

「Last update」と「Tested up to WP version」欄が赤くなっていたら危険です。

Last update	最終更新日
Tested up to WP version	検証済み最新バージョン

上記例では「Contact Form 7 add confirm」というプラグインが該当しています。最終更新日は 7 年前で、最新の WordPress では動作しない可能性大です。

プラグインを使用していない or 使用しなくてもかまわないのであれば、すぐ削除してください。

もし使用しているなら、同じ機能をもつ別のプラグインに変更したほうが安全です。

開発が停止したと思われるプラグインを見つける

次は、何らかの理由で公式ディレクトリから削除されているプラグインがないかチェックします。

「Repository」欄が「wordpress.org, plugin closed」となっているプラグインです。

上記例では、「What’s New Generator」というプラグインが該当していますね。

このプラグインは脆弱性が発見されており、2024 年 6 月に公式ディレクトリから削除されています。

気づかずに使い続けていると、ハッキングによりサイトが改ざんされるリスクがあります。

サイト内のどこでプラグインが使われているかを調べ、影響のないよう修正してから一刻も早い削除をおすすめします。

公式ディレクトリに登録されていないプラグインを見つける

Repository 欄が「wordpress.org, plugin not found」となっているプラグインは、公式ディレクトリに登録されていないことを指しています。

たとえば以下の「Copy Plain Text」は当サイトが独自に開発したプラグインです。

こうした独自開発のプラグインは、基本的に第三者による検証は行われないため、安全かどうかは開発者にしかわかりません。

プラグインを配布している公式サイトを定期的にチェックし、開発が停止していないか確認しておきましょう。もし公式サイトが消えているなど安全性を確認できないなら、使わないほうがよいと思います。

Plugin Report の使用をおすすめするケース

Plugin Report は、以下の場合におすすめします。

とくに、メンテナンスなどで初めてさわるサイトで重宝するプラグインです。

WordPress バージョンが 4.x などかなり古いサイトもいまだにありますから、本体やプラグインを一通り更新したあとの再チェックで使用するとよいですね。

いずれの場合も、チェック後に安全性を確認できたらプラグインを削除しても大丈夫です。

各プラグインの状態はデータベースに保存されており、再インストールすると過去の履歴が出てきます。

キャッシュを消して再チェックしたいときは、「Clear cached plugin data and reload」をクリックすれば OK です。

まとめ

WordPress は自己責任で使うシステムです。

プラグインを古いまま放置しておくと、ハッキングにより改ざんされてしまい、ひどいときはデータを丸ごと削除されることもあります。

ぜひこの機会にセキュリティ面を一通り見直していただければと思います。

WordPress のセキュリティを強化する方法 10 選