MIII.me

今回は，ワードプレスに関する小話をお届けします．

それは，『ログインユーザー名を隠すほうが良いの？』という話です．

この図でいうところの，上の欄に入力する文字列ですね．

ここで少し説明すると…

通常の状態のWordPressでは，サイト内のいろんなページに，管理画面にログインするときに入力する「ユーザー名」が，そのまま見える状態になっています．

仮に，「ユーザー」＞「あなたのプロフィール」からブログ上の表示名を変えたとしても，ソースコードには，しっかりとユーザー名が出力されてしまいます．

また，ワードプレスで作成されたサイトURLの末尾に，

/?author=1

とつければ，ログインユーザー名が見れてしまいます．

このようなユーザー名の丸見え問題について，ネット上では，『ユーザー名を隠したほうがよい』という記事がとても多いです．

ユーザー名が分からないほうがセキュリティは向上するというのが理由としてあげられています．

特に，プラグインの導入を推奨する記事が多くあります．

有名なのが，Edit Author Slug（エディットオーサースラッグ）です．

ところが，話はそう簡単にうまくいかないようです．

WordPress 4.4 以降では，サイトのURLの末尾に，

/wp-json/wp/v2/users

を付加したアドレスでアクセスすると，表示されたデータの中にユーザー名が含まれてきます．

また，コメント欄のソースコードのclass名からも，ログインユーザー名が分かってしまう場合があります．

なので，Edit Author Slugの導入”のみ”では，完全にユーザー名バレを防ぐことはできません．

ユーザー名をがんばって完璧に隠そうとすると，かなり面倒くさいのです．

ちなみに，このユーザー名の丸見え問題の件については，ワードプレス公式は，こちらで，問題ないと言っています．

強力なパスワードを使うことを奨励しようとしています．

Why are disclosures of usernames or user IDs not a security issue?

The WordPress project doesn’t consider usernames or user ids to be private or secure information. A username is part of your online identity. It is meant to identify, not verify, who you are saying you are. Verification is the job of the password.
Generally speaking, people do not consider usernames to be secret, often sharing them openly. Additionally, many major online establishments — such as Google and Facebook — have done away with usernames in favor of email addresses, which are shared around constantly and freely. WordPress has also moved this way, allowing users to log in with an email address or username since version 4.5.
Instead of attempting to hide a public identifier, WordPress attempts to encourage users to choose strong passwords instead, through both user interface as well as education.
Note that WordPress is not the only open source project to believe this. Drupal has similar arguments for the same thing.

なお，前に，セキュリティ向上のためのログインURLの変更を記事にしましたが，ユーザー名を隠すより．こちらの対策のほうが重要です．

以上，WORDPRESSの小話，「ログインユーザー名を隠す必要はない」でした．

今回のテーマは，非常にシンプル．

画像の遅延読み込みです．

みなさんも，ウェブサイトで，スクロール中に，フワッと画像が表示されたり…

こんなクルクルが表示された後に画像が表示されたり，経験があるでしょう．

これをワードプレスで実現させます．

まぁ，種を明かせばプラグインを使うだけなのですが．

たとえば，有名なプラグインに，「a3 Lazy Load」があります．

遅延読み込みのメリットとデメリット

このような，画像の遅延読み込みを利用すると，アクセス直後，画面の下の方に隠れて表示されていない画像は読み込まず，画面のスクロールに応じてあとから読み込まれます．

これにより，ページ表示の体感速度を向上させ、サイト訪問者の閲覧の心地よさがアップします．

しかし，画像の遅延読み込みは，SEOには不向きという見解もあり，このあたりはトレードオフです（なお，回避手段はあるが設定は面倒なようです）．

気になった方は，一度お試しください．

今回のテーマは，ショートコードです．

ショートコードは，“決まったコード”を記事へ入力するときの作業負担を減らしてくれます．

たとえば，３０記事に，特定の広告を表示させたいとします．

そんなとき，３０記事の全てに，広告のコードをコピペするのは面倒です．

そこで役立つのがショートコードです．

ショートコードを使えば，短い文字列を記述するだけで，広告を表示させることができます．

ショートコードを使うには，あらかじめ「function.php」に関数を書いておきます．

例を紹介します．

「function.php」に，こんなコードを書きます．

/* 広告のショートコード作成 */
function showads() {
return ‘
<div>
ここに広告のコードを書く
</div>’;
}
add_shortcode(‘ad‘, ‘showads’);

そうすると，記事の中に，

[ad]

を挿入した場所に，<div>タグで囲われた広告のソースコードが出力されます．

このショートコードは，かなり応用範囲の広い小技です．

ぜひ，色々とお試しください．

今回は，ページの読み込みスピード向上のための施策をひとつ紹介します．

それが，head内の不要なタグの削除です．

通常，ワードプレスで作成されたサイトでは，ソースコードの<head>内に，やたらとタグが出力されます．

たとえば，フィード関連のlinkタグ．

 <link rel=”alternate” type=”application/rss+xml” title=”ドメイン名&raquo; フィード” href=”https://ドメイン名/feed” />

また，たとえばWordPressのバージョン情報のmetaタグ．

<meta name=”generator” content=”WordPress 5.0.2″ />

さらには，wp-jsonのlinkタグ．

<link rel=’https://api.w.org/’ href=’https://ドメイン名/wp-json/’ />

などなど．

これらのようなタグは，あまり必要がない場合がほとんどです．

削除するには，どうすればよいのかというと…

解決策は，外観＞テーマの編集＞テーマのための関数（function.php）に，つぎのようなコードを追記します．

これを追記すると，いろいろなタグがごそっと消えます．

remove_action( ‘wp_head’, ‘wp_generator’ );
remove_action( ‘wp_head’, ‘rsd_link’ );
remove_action( ‘wp_head’, ‘wlwmanifest_link’ );
remove_action( ‘wp_head’, ‘index_rel_link’ );
remove_action( ‘wp_head’, ‘parent_post_rel_link’, 10, 0 );
remove_action( ‘wp_head’, ‘start_post_rel_link’, 10, 0 );
remove_action( ‘wp_head’, ‘adjacent_posts_rel_link_wp_head’, 10, 0 );
remove_action(‘wp_head’, ‘wp_shortlink_wp_head’, 10, 0 );
remove_action(‘wp_head’, ‘feed_links’, 2);
remove_action(‘wp_head’, ‘feed_links_extra’, 3);
remove_action(‘wp_head’, ‘print_emoji_detection_script’, 7);
remove_action(‘admin_print_scripts’, ‘print_emoji_detection_script’);
remove_action(‘wp_print_styles’, ‘print_emoji_styles’ );
remove_action(‘admin_print_styles’, ‘print_emoji_styles’);
remove_action(‘wp_head’,’rest_output_link_wp_head’);
remove_action(‘wp_head’,’wp_oembed_add_discovery_links’);
remove_action(‘wp_head’,’wp_oembed_add_host_js’);
remove_action(‘template_redirect’, ‘rest_output_link_header’, 11 );
remove_action(‘wp_head’,’rest_output_link_wp_head’);

「remove」から「;」までが，ひとつの区切りとなっています．

なお，ワードプレスの使い方によっては，削除しない方がいいタグもあると思われますから，それぞれの意味をググるなどして，確認することをお勧めします．

さて，今回は，セキュリティ向上のための方策をひとつ紹介します．

それが，ログインURLの変更です．

通常，ワードプレスで作成されたサイトでは，ログインURLがモロバレです．

ドメインの末尾に「フォルダ名/wp-login.php」を入力すると，だれでもログインURLにアクセスできてしまいます．

では，ログインURLを変更するには，どうすればよいのか？

簡単なのは，プラグインを使う方法です．

ログインURLを変更できるプラグインには，様々なものがありますが，定番と思われるのは，「All In One WP Security & Firewall」です．

このプラグインでいえば，インストール後に有効化して，Brute Forceメニューの「Rename Login Page Settings」から，ログインURLを好きなものに変更できます．

【1】のチェックを入れると，【2】で指定したURLがWordPressのログインURLになります．

上図の場合，“http://example.com/exmple” がWordPressのログインURLに変更されます。

ちなみに，上に紹介したプラグインでは，スパムコメントの制御機能なども備えていますので，便利だと思います．

以上，WORDPRESSで，ログインURLを変更する方法の紹介でした．

今回は，「子テーマをつくる方法」がテーマです．

子テーマの必要性

ワードプレスにはテーマと呼ばれるものがあります．

たとえば，WordPressチームが作った“Twenty Nineteen”があります．

このようなテーマの使用時に，ファイルをカスタマイズすることがあり得ますね．

たとえば，つぎのようなファイルです．

・スタイルシート(style.css)

・テーマのための関数(functions.php)

・テーマフッター(footer.php)

・テーマヘッダー(header.php)

しかし，もしもカスタマイズ後にテーマのバージョンアップが行われると，変更した内容は，上書きされて消えてしまいます．

そこで必要になるのが子テーマです．

子テーマは，文字通り，親テーマにぶら下がったテーマと思ってもらえればOKです．

子テーマにしたカスタマイズの内容は，親テーマのバージョンアップが行われても維持されます．

子テーマをつくる

子テーマをつくるのは，簡単です．

プラグインで一発です．

おすすめは「Child Theme Configurator」です．

 

WordPressは，インストール直後では，トップページのURLの末尾が「/wp」などと、インストールしたフォルダ名がくっついているケースが大半だと思います．

はっきりいって，余分ですよね．

今回は，この「/wp」などのフォルダ名を削除する方法をご紹介します．

作業は簡単です．

まずは，ワードプレスの一般設定をいじります．

たとえば，https://●●●.comというドメインの場合です．

このうち，サイトアドレス「https://●●●.com/wp」の「/wp」を削除します．

そして，変更を保存します．

つぎに，FTPクライアントソフトなど，ファイルを直接いじれる環境で作業します．

まず，ワードプレスをインストールした「wp」フォルダの中にある，「index.php」と「.htaccess」のファイルを，コピーします．

つぎに，コピーした「index.php」と「.htaccess」のファイルを，「wp」フォルダのひとつ上の階層に複製（ペースト）します．

さらに，複製した「index.php」を開いて，以下の文字列を探しましょう．

require( dirname( __FILE__ ) . ‘/wp-blog-header.php’ );

この文字列に，次のように変更を加えます．

require( dirname( __FILE__ ) . ‘/wp/wp-blog-header.php’ );

つまり，「/wp」を追記します．

変更が完了したら上書き保存しましょう．

以上で，完了です．