WordPress プラグインの状況をチェックできる「Plugin Report」の使い方

WordPress プラグインを古いまま放置しておくと、ハッキングによる改ざんの原因となります。

[インストール済みプラグイン]画面で未更新のプラグインがなければ安全なように見えますが、実は何年も更新されていなかったり、何らかの理由で公式ディレクトリから削除されているプラグインがあるかもしれません。

「Plugin Report」というプラグインを導入すると、そうした細かい部分をセルフチェックできます。セキュリティ面で危険なプラグインがないか、調べてみましょう。

Plugin Report の使い方

Plugin Report は、インストール・有効化して専用画面にアクセスするだけで簡単に使えます。

インストール・有効化

[プラグインを追加]画面で、「Plugin Report」を検索してインストール・有効化します。

Plugin Report インストール

Plugin Report 画面にアクセス

有効化後、[プラグイン]のサブメニューに追加された[Plugin Report]にアクセス。

Plugin Report メニュー

インストールされているプラグインを自動的にチェックしてくれます。

Plugin Report プラグインチェック画面

長年更新されていないプラグインを見つける

全プラグインのチェックが完了したら、まずは長年更新されていない古いプラグインがないかチェックしましょう。

「Last update」と「Tested up to WP version」欄が赤くなっていたら危険です。

Plugin Report 最終更新日と検証済み最新バージョン
Last update最終更新日
Tested up to WP version検証済み最新バージョン

上記例では「Contact Form 7 add confirm」というプラグインが該当しています。最終更新日は 7 年前で、最新の WordPress では動作しない可能性大です。

プラグインを使用していない or 使用しなくてもかまわないのであれば、すぐ削除してください。

もし使用しているなら、同じ機能をもつ別のプラグインに変更したほうが安全です。

開発が停止したと思われるプラグインを見つける

次は、何らかの理由で公式ディレクトリから削除されているプラグインがないかチェックします。

「Repository」欄が「wordpress.org, plugin closed」となっているプラグインです。

Plugin Report 公式ディレクトリから削除されているプラグイン

上記例では、「What’s New Generator」というプラグインが該当していますね。

このプラグインは脆弱性が発見されており、2024 年 6 月に公式ディレクトリから削除されています。

セキュリティ面の問題が解決されていないため削除されている

気づかずに使い続けていると、ハッキングによりサイトが改ざんされるリスクがあります。

サイト内のどこでプラグインが使われているかを調べ、影響のないよう修正してから一刻も早い削除をおすすめします

公式ディレクトリに登録されていないプラグインを見つける

Repository 欄が「wordpress.org, plugin not found」となっているプラグインは、公式ディレクトリに登録されていないことを指しています。

たとえば以下の「Copy Plain Text」は当サイトが独自に開発したプラグインです。

Plugin Report wordpress.org, plugin not found

こうした独自開発のプラグインは、基本的に第三者による検証は行われないため、安全かどうかは開発者にしかわかりません。

プラグインを配布している公式サイトを定期的にチェックし、開発が停止していないか確認しておきましょう。もし公式サイトが消えているなど安全性を確認できないなら、使わないほうがよいと思います。

CSV x AI で脆弱性を見つける

Plugin Report のチェック結果は、まとめて CSV でダウンロードできます。

Plugin Report CSVダウンロード

プラグインを整理する前に保存しておくと、あとで役立つかもしれません。

また、CSV をアップロードまたはコピペして AI に脆弱性をチェックしてもらうこともできます。

プロンプト例

WordPress で使用しているプラグインを CSV 形式で貼り付けます。
名前とバージョンをもとに、脆弱性が発見されているプラグインがないかチェックしてください。

[ここに CSV の中身をコピペ]

Google Gemini による回答例

情報が正確とはかぎらないため、念のためソースを確認するか、自分でも検索して調べてみてください。

脆弱性が発見されているプラグインは、最新版があるならすぐに更新開発が停止しているなら削除をおすすめします。

WordPress がハッキングされたときの症状と対処方法

Plugin Report の使用をおすすめするケース

Plugin Report は、以下の場合におすすめします。

  • 現在のセキュリティ状況を確認したいとき
  • 長年放置してしまっていたサイトを確認したいとき
  • メンテナンスやリニューアルを依頼されたとき

とくに、メンテナンスなどで初めてさわるサイトで重宝するプラグインです。

WordPress バージョンが 4.x などかなり古いサイトもいまだにありますから、本体やプラグインを一通り更新したあとの再チェックで使用するとよいですね。

瀬尾

最終更新日が 10 年以上前のプラグインを使っているところも見かけます…。

いずれの場合も、チェック後に安全性を確認できたら Plugin Report を削除しても大丈夫です。

各プラグインの状態はデータベースに保存されており、再インストールすると過去の履歴が出てきます。

キャッシュを消して再チェックしたいときは、「Clear cached plugin data and reload」をクリックすれば OK です。

まとめ

WordPress は自己責任で使うシステムです。

プラグインを古いまま放置しておくと、ハッキングにより改ざんされてしまい、ひどいときはデータを丸ごと削除されることもあります。

ぜひこの機会にセキュリティ面を一通り見直していただければと思います。

WordPress のセキュリティを強化する方法 10 選