記事投稿者ページのURLを書き換えるedit author slug

WordPressには記事投稿者のIDをそのまま使った投稿者アーカイブ「author」ページが存在します。 通常「http://ドメイン/author/ID」というURL構成になっています。 このauthorページは、記事投稿者のIDをパラメータとして置換するだけでもアクセス可能です。 例えばドメインの末尾に「/?author=1」を追加すると、 このID「1」のauthorページにアクセス(リダイレクト)できてしまい、記事投稿者のIDがバレます。 これを…

WordPressのテンプレートのカスタマイズは子テーマを介して行う

WordPressには「子テーマ」という仕組みがあります。 子テーマを作って子テーマ側を編集することで、 親テーマがバージョンアップしてファイルが上書きされても、 子テーマで編集した内容は上書きされず、新しいバージョンになっても編集内容が有効になります。 子テーマを作るのに必要なのは「子テーマ用ディレクトリ」と「CSS」です。 「functions.php」も必要とされていますが、実際には無くても動きます。 まずF…

WordPressのxmlrpc.phpを無効にして不正アクセス対策

WordPressのxmlrpc.phpはウェブサイト攻撃の「踏み台」に使われているそうです。 WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 私の手持ちサイトも妙な不正アクセスが発生して、参りました。 xmlrpc.phpにはリンクが張られたことを通知する機能があります。 これを「Pinback」と呼びます。 …

記事投稿時に自動的にツイッターにも呟くSocial

記事投稿時に、同時にツイッターにも記事リンク込みで呟きを投稿できるプラグインです。 Social 呟き内容は、呟きの際に編集可能です。 ただしこのプラグインをインストールすると、ツイッターアカウントでこのプラグインをアプリとして承認する必要があり、 承認後はSocialプラグインの任意で、知らないアカウントが勝手にフォロー状態になりま…

管理画面にアクセス解析を表示できるJetpack by WordPress.com

「Jetpack by WordPress.com」は、管理画面に簡易なアクセス解析を表示できるプラグインですが、他にも色々な機能がオールインワンで同梱されています。 Jetpack by WordPress.com 個人的には他の機能は使わず、アクセス解析のみを使ってるので、他の機能は説明しません。 インストール後に「サイト統計情報」を開くと、直近30日のデイリーア…

管理画面にメモを追加できるDashboard Notepad

管理画面のトップページにメモを書けるフォームを追加するプラグインです。 Dashboard Notepad インストールしたら右上の「設定」をクリック。 編集可能…

ログイン履歴を保存するCrazy Bone

ログイン成功や失敗(エラー)など履歴を全て保存するプラグインです。 CrazyBone 不正なログインの試みも記録され、どういうIPアドレスか、またユーザー名やパスワードを使ったかがわかります。 履歴は「ユーザー」→「ログイン履歴」で見れます。 もし不審なアクセスがあったら、履歴を参照して当該IPアドレスを把握し、.htaccessなどでアク…

記事投稿時に現在時刻を自動設定できるNow Time

記事投稿(編集)画面にて、ボタンを押すと現在の日時を自動的に設定できるプラグインです。 【WordPress】公開日時に「現在の日時」を追加する方法 リンク先でファイルをダウンロードしたら、WordPress管理画面のプラグイン→新規追加でこのファイルを指定し、アップロード(インストール)します。 あとは記事投稿画面に「現在の日時」というボ…

WP-BANを使っているとバージョン4.3にアップデートした時にサイトが表示されなくなる

WP-BANというプラグインを使っていると、WordPress本体をバージョン4.3にアップデートした時に、 サイトが表示されなくなり、管理画面にもアクセスできなくなります。 その際に以下のエラーメッセージが表示されます。 ***は伏字で、実際にはアカウント名やディレクトリ名が入ります。 Fatal error: Cannot redeclare get_language_attributes() (previously declared in /home/***/public_html/***/wp-incl…

WordPress SEOにブラインドSQLインジェクションの脆弱性

「WordPress SEO」の1.7.3.3までのバージョンに、2種類のブラインドSQLインジェクションの脆弱性が存在するそうです。 この脆弱性は最新版(1.7.4)で修正されています。 この脆弱性は、認証済み管理者やユーザーにリンクをクリックさせ、 認証されていない攻撃者がそのWordPressサイト上で任意のSQLクエリを実行できてしまう、というもの。 また、攻撃者がそのWordPressサイトに「管理権限を持ったユーザー」を登録し、…

wp-login.phpへのアクセス制限を.htaccessで制御する

wp-login.phpへのアクセス制限を.htaccessで制御する方法です。 <Files wp-login.php> order deny,allow deny from all allow from example.com allow from XXX.XXX.XXX.XXX </Files> 赤字の部分を自分のプロバイダのドメイン、またはIPアドレスに書き換えます。 そして.htaccess内に記述します。 …

Jetpackがアクセス制限で利用できない

Jetpackの更新をしたあと、以下のエラーメッセージが出てJetpackが利用できなくなってました。 Jetpack を利用するには、サイトが公開されていて、アクセス制限がかかっていない必要があります: site_inaccessible エラー詳細: The Jetpack server was unable to communicate with your site [HTTP 403]. Ask your web host if they allow connections from WordPress.com. If you need further assistance, con…

4.0以上で記事投稿画面の編集エリアを自動的に広げない設定方法

WordPress 4.0から、記事投稿画面の編集エリアが自動的に広がる仕組みになってます。 代わりにエリア右にあったスクロールバーが無くなってます。 従来通りの「編集エリアにスクロールバー」という画面で記事を書きたい場合は、 画面右上にある「表示オプション」でプルダウンメニューを開き、 「ウィンドウの高さに合わせてエディタを広げる」というチェックをオフにします。

WordPressのウィジェットの作り方

WordPressのウィジェット機能を自作する方法の解説です。 テーマの「functions.php」に以下のコードを書きます。 if ( function_exists('register_sidebar') ) register_sidebar(); これで「外観」→「ウィジェット」にウィジェットページが表示されるようになります。 次にテーマのウィジェットを表示させたい場所に以下のコードを記述します。 <?php dynamic_sidebar…

WordPressからツイッターに画像投稿できるプラグイン

WordPressからツイッターに投稿できるプラグインはたくさんあります。 しかし、画像を同時に投稿できるプラグインは現状「pw_twitter」しかありません。 pw_twitterは記事内の最初の画像を自動的に取得して、ツイートに含ませることができます。 わざわざ画像を指定する必要はないので、便利です。 プラグインはこちらの公式サイトからダウンロードできます。