Xserverに元から入っているプラグインは有効化すべき?
-有料プラグインを使用せずに無料で出来る最低限の設定まとめ –
エックスサーバーでWordPressを始めたら、もともと用意されているプラグインは有効化すべき?
エックスサーバーで「クイックスタート」や「簡単インストール」を使ってWordPressを入れると、最初からいくつかのプラグインが入った状態になっています。
最初にプラグイン一覧を開いたときに、よく分からない名前が並んでいて「これってセキュリティー対策に全部必要なの?」「有効化しないと不具合が出るのかな?」と不安になりませんか⁉。
実際には、エックスサーバーのサーバー側には標準でセキュリティ機能が入っていて、さらに WordPress にもいくつか「補助的なプラグイン」が用意されている、というイメージです。
ここでは、代表的な
- CloudSecure WP Security
- Akismet Anti-spam: Spam Protection
- TypeSquare Webfonts for エックスサーバー
の3つを中心に「初心者の方がどこまで触れば安心か」を順番に見ていきます。
記事内に Jetpack のような追加プラグインを検討する場面も出てきますが、あくまで「後から必要なら足すもの」として押さえておけば大丈夫です。
エックスサーバーには最初からサーバー側の防御がある
まず最初に知っておくと安心なのが、「エックスサーバー自体が、もともとある程度守ってくれている」ということです。
エックスサーバーのレンタルサーバーには、WordPress とは別に、サーバー側で次のような防御が組み込まれています。
- WAF という仕組みによる、不正なアクセスのブロック
- ログイン試行回数を制限する、不正ログイン対策
- 不正なスクリプトを動かさないようにする制限 など
これらはあくまで「サーバーの機能」なので、WordPress のプラグインを有効にしているかどうかとは別に動き続けます。xsitesecurity_catalog.pdf
そのため、プラグインをまだ何も触っていない段階でも
エックスサーバー側の基本的な防御 (xserver security) が,すでに働いている
という前提からスタートできると、少し気持ちが楽になると思います。
ここから先のプラグインは、その上に「どこまで自分で細かく調整したいか」「デザインやスパム対策をどうしたいか」を足していくイメージで見ていきましょう。
結論;エックスサーバーの初期プラグイン、これだけ押さえれば大丈夫!
| プラグイン名 | 何をする? | 初心者向けのおすすめ |
|---|---|---|
| CloudSecure WP Security | ログインまわりの細かい制御 | 最初は無効でもOK |
| Akismet Anti-spam | コメントスパム対策 | コメント欄必須なら検討 |
| TypeSquare Webfonts for エックスサーバー | 日本語Webフォント表示 | デザインに余裕があれば |
CloudSecure WP Security:サーバー設定の「リモコン」
次に、名前からしていかにもセキュリティっぽい「CloudSecure WP Security」です。
これは、エックスサーバーが自社開発している、WordPress 向けのセキュリティープラグインです。
CloudSecureがやってくれる代表的なこと (メリット) は、次のような内容です。
- ログインページの URL を変更できる
- ログインできる回数や、ロックの条件を細かく決められる
- ログイン失敗時のエラーメッセージを統一して、攻撃者にヒントを与えにくくする
- XML‑RPC という、攻撃に使われやすい機能をオフにできる
- 管理画面にアクセスできる人を制限する
どれも「ログインまわり」や「管理画面まわり」を細かくコントロールする機能で、エックスサーバー側に元々ある防御を、WordPress の管理画面から操作しやすくしたものだと考えるとイメージしやすいです。
ここで大事なのは
CloudSecure そのものが WAF の本体ではなく、「サーバーのセキュリティ設定をいじるためのリモコン」のような役割だということです。
エックスサーバー側の WAF や多層防御は、CloudSecure を無効化しても動き続けます。
初心者さん向けのおすすめの考え方
はじめての WordPress で、まだログイン URL の変更などがピンとこないうちは
- CloudSecure を無効のままにしていても、サーバー側の防御は働いている
- 「ログイン URL を変えたい」「ログイン制限をもっと強くしたい」と思った段階で、有効化を検討する
という順番で十分です。
まずは「サーバー側が守ってくれている上で、さらに細かく調整できる」プラグインだと覚えておけば 大丈夫 です。
Akismet Anti-spam:コメントスパム対策
次に、「Akismet Anti-spam: Spam Protection」を見ていきます。
これはセキュリティというより、「コメント欄のゴミ掃除役」と考えると分かりやすいプラグインです。
WordPress では、ブログ記事の下にコメント欄を付けられますが、そのままにしておくと
- 意味不明な英語コメント
- 宣伝リンクだらけのコメント
のようなスパムがたくさん届くことがあります。
Akismet は、こうしたスパムコメントを自動で判定して「スパム」フォルダに分けてくれるので、手作業で一つずつ削除する手間が減ります。
ただし、Akismet には「どこまで無料で使えるか」の条件があります。
- 個人の趣味ブログで、非商用なら無料プランで利用しやすい
- アフィリエイトや事業サイトなど、明らかに商用利用にあたる場合は、有料プランが想定されている
という線引きになっているため、今後サイトをどう使うかで少し判断が変わってきます。
30記事いないの初期では
- コメント欄を「オフ」にして運営を始める
→ スパムもほぼ来ないので、Akismet を急いで有効化しなくても大丈夫 - 将来、コメント欄を開けたいと思ったときに
→ 趣味ブログなら無料プランも検討
→ 商用寄りになってきたら、Akismet を有料で使うか、別のスパム対策を考える
という順番で考えると、今の時点で迷いすぎずに済みます。
TypeSquare Webfonts for エックスサーバー:デザイン用プラグイン
ここまでが「守る側」の話でしたが、次は「見た目を整える側」のプラグインです。
「TypeSquare Webfonts for エックスサーバー」は、モリサワというフォントメーカーの Web フォントサービス「TypeSquare」と連携して、日本語のきれいなフォントをサイトに[表示]できるようにするためのプラグインです。
このプラグインを有効化すると、WordPress の管理画面から
- どのフォントを
- どのページの
- 見出しや本文など、どの部分に適用するか
を選べるようになり、コードを書かなくても[日本語 Web フォント]を設定できます。
役割としては完全に「デザイン」「読みやすさ」を良くするためのもので、セキュリティを直接強化するプラグインではありません。
また、セキュリティ情報サイトなどでは古いバージョンでアクセス制御まわりの脆弱性が指摘されたこともありますが、現在は最新版で修正済みとされています。
初心者さん向けのおすすめの考え方
- 最初のうちは「デザインよりも中身に集中」でもまったく問題なし
- 見た目にこだわりたくなったら、有効化してフォント変更を試してみる
- そのときは「必ず最新版にアップデートしておく」「使わなくなったら停止ではなく削除する」という基本ルールを守る
というくらいの距離感で大丈夫です。
ここまで説明してきた3つは、エックスサーバーで WordPress を入れたときに、最初から一緒に入っていることが多いプラグインです。
ある程度ブログ運営をしていると気になってくるのが、セキュリティー強化問題。
そこで、セキュリティやバックアップをさらに強化したくなったときに名前が出てくるのが「Jetpack」という総合プラグインです。
Jetpack は「あとから足す選択肢」として覚えておく
このプラグインは最初から入っているわけではなく、必要だと思ったときに自分で追加インストールするタイプのプラグインです。(wordpress.com)
Jetpack を入れると、無料の範囲でも次のような機能を追加できます。
- 不審なログイン試行をブロックして、ログイン画面への攻撃を受けにくくする機能 (jetpack.com)
- サイトが落ちたときにメールで知らせてくれる「ダウンタイム監視」機能 (jetpack.com)
- プラグインを自動更新して、古いバージョンのまま放置しないようにする機能 (jetpack.com)
ただし、エックスサーバー自体にも、ログイン試行回数の制限などの不正ログイン対策は標準で用意されています。
そのため、Jetpack のこうした機能は
すでにあるサーバー側の防御に、クラウド側の監視や自動更新などを少し足して、守りを厚くするオプション
という位置づけで考えると分かりやすいと思います。
なので Jetpack は「サイト運営に慣れてきてから、もう一段階セキュリティや便利機能を足したくなったら検討するもの」
くらいに覚えておけば十分でしょう。
まずは、エックスサーバー標準のセキュリティと、今回紹介した初期プラグインの扱いに慣れてからで大丈夫です。
初心者向け:無料中心でのおすすめ構成
最後に、ここまでの内容を「今なにをどうしておけばいいか」という視点で整理します。
- エックスサーバーのサーバー側
→ もともと WAF や不正アクセス対策などが有効になっているので、そのままおまかせで OK - CloudSecure WP Security
→ 最初は無効でも大丈夫。ログイン URL 変更などをしたくなったら改めて有効化を検討 - Akismet Anti-spam
→ まずはコメント欄を閉じた状態でスタートして、コメントを開けたくなったときに必要性を考える - TypeSquare Webfonts for エックスサーバー
→ デザイン用のプラグイン。見た目を整えたいときに最新版で使う - Jetpack(任意で追加)
→ サイト運営に慣れて「もう少し守りを厚くしたい」と思った段階で検討する
そして、プラグイン以外にも、次のような「基本対策」がとても大切です。
- WordPress 本体、テーマ、プラグインを常に最新に保つ
- 管理者パスワードを長く複雑にする
- 「admin」のような分かりやすいユーザー名を使わない
- 使っていないプラグインやテーマは削除する
ここまで押さえておけば、はじめての WordPress でも、「とりあえず最低限はちゃんと守れている」と言える状態にかなり近づきます。
最後のメッセージ
:不安なところを一つずつ解消していけば大丈夫:
はじめての WordPress だと、「これをオフにしたら危ないのでは?」「何か設定を間違えていないかな」と、どうしても心配が先に立ちやすいと思います。
ただ、エックスサーバー側の標準の防御と、今回のような基本的な考え方を押さえておけば、「いきなり大きなトラブルになる」可能性はかなり低くできます。
以上で(Xserverに元から入っているプラグインは有効化すべき?)終わりです。