カテゴリー
サイト制作

自分のサイトが他のサイトのインラインフレームで表示されないように対策する方法(クリックジャッキング攻撃対策)

ネットの世界には,いろいろな攻撃方法があるようです.

その一つが,「クリックジャッキング攻撃」です.

クリックジャッキング攻撃は,ユーザを,視覚的にだます手口です.

具体的には,透明で見えないボタンやリンクを、通常のWebページの上にかぶせてしまうというものです.

つまり,ユーザーが,ウェブページ「A」へのリンクをクリックしたつもりが,実際は,別のウェブページ「B」へのリンクをクリックさせられる,ということになります.

参考リンク:IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート~クリックジャッキング攻撃

このクリックジャッキング攻撃に対策するには,「.htaccess」ファイルに,以下の内容を記述するのが手っ取り早いです.

フレーム内のページ表示を全ドメインで禁止したい場合

Header always append X-Frame-Options DENY 

フレーム内のページ表示を同一ドメイン内のみ許可したい場合

Header always append X-Frame-Options SAMEORIGIN 

フレーム内のページ表示を指定ドメインのみ許可する場合

Header always append X-Frame-Options ALLOW-FROM http://example.jp

以上,豆知識でした.

カテゴリー
サイト制作

【WORDPRESS】ログインユーザー名を隠す必要はない(Edit Author Slugは不要)

今回は,ワードプレスに関する小話をお届けします.

それは,『ログインユーザー名を隠すほうが良いの?』という話です.

この図でいうところの,上の欄に入力する文字列ですね.

wordpress user login

ここで少し説明すると…

通常の状態のWordPressでは,サイト内のいろんなページに,管理画面にログインするときに入力する「ユーザー名」が,そのまま見える状態になっています.

仮に,「ユーザー」>「あなたのプロフィール」からブログ上の表示名を変えたとしても,ソースコードには,しっかりとユーザー名が出力されてしまいます.

また,ワードプレスで作成されたサイトURLの末尾に,

/?author=1

とつければ,ログインユーザー名が見れてしまいます.

このようなユーザー名の丸見え問題について,ネット上では,『ユーザー名を隠したほうがよい』という記事がとても多いです.

ユーザー名が分からないほうがセキュリティは向上するというのが理由としてあげられています.

特に,プラグインの導入を推奨する記事が多くあります.

有名なのが,Edit Author Slug(エディットオーサースラッグ)です.

Edit Author Slug(エディットオーサースラッグ)
Edit Author Slug(エディットオーサースラッグ)

ところが,話はそう簡単にうまくいかないようです.

WordPress 4.4 以降では,サイトのURLの末尾に,

/wp-json/wp/v2/users

を付加したアドレスでアクセスすると,表示されたデータの中にユーザー名が含まれてきます.

また,コメント欄のソースコードのclass名からも,ログインユーザー名が分かってしまう場合があります.

なので,Edit Author Slugの導入”のみ”では,完全にユーザー名バレを防ぐことはできません.

ユーザー名をがんばって完璧に隠そうとすると,かなり面倒くさいのです.

ちなみに,このユーザー名の丸見え問題の件については,ワードプレス公式は,こちらで,問題ないと言っています.

強力なパスワードを使うことを奨励しようとしています.

Why are disclosures of usernames or user IDs not a security issue?

The WordPress project doesn’t consider usernames or user ids to be private or secure information. A username is part of your online identity. It is meant to identify, not verify, who you are saying you are. Verification is the job of the password.
Generally speaking, people do not consider usernames to be secret, often sharing them openly. Additionally, many major online establishments — such as Google and Facebook — have done away with usernames in favor of email addresses, which are shared around constantly and freely. WordPress has also moved this way, allowing users to log in with an email address or username since version 4.5.
Instead of attempting to hide a public identifier, WordPress attempts to encourage users to choose strong passwords instead, through both user interface as well as education.
Note that WordPress is not the only open source project to believe this. Drupal has similar arguments for the same thing.

なお,前に,セキュリティ向上のためのログインURLの変更を記事にしましたが,ユーザー名を隠すより.こちらの対策のほうが重要です.

以上,WORDPRESSの小話,「ログインユーザー名を隠す必要はない」でした.

カテゴリー
サイト制作

【WORDPRESS】画像の遅延読み込みする方法(a3 Lazy Loadを使う)

今回のテーマは,非常にシンプル.

画像の遅延読み込みです.

みなさんも,ウェブサイトで,スクロール中に,フワッと画像が表示されたり…

こんなクルクルが表示された後に画像が表示されたり,経験があるでしょう.

これをワードプレスで実現させます.

まぁ,種を明かせばプラグインを使うだけなのですが.

たとえば,有名なプラグインに,「a3 Lazy Load」があります.

a3 lazy load

遅延読み込みのメリットとデメリット

このような,画像の遅延読み込みを利用すると,アクセス直後,画面の下の方に隠れて表示されていない画像は読み込まず,画面のスクロールに応じてあとから読み込まれます.

これにより,ページ表示の体感速度を向上させ、サイト訪問者の閲覧の心地よさがアップします.

しかし,画像の遅延読み込みは,SEOには不向きという見解もあり,このあたりはトレードオフです(なお,回避手段はあるが設定は面倒なようです).

気になった方は,一度お試しください.

カテゴリー
サイト制作

【WORDPRESS】 ショートコードの作り方

今回のテーマは,ショートコードです.

ショートコードは,“決まったコード”を記事へ入力するときの作業負担を減らしてくれます.

たとえば,30記事に,特定の広告を表示させたいとします.

そんなとき,30記事の全てに,広告のコードをコピペするのは面倒です.

そこで役立つのがショートコードです.

ショートコードを使えば,短い文字列を記述するだけで,広告を表示させることができます.

ショートコードを使うには,あらかじめ「function.php」に関数を書いておきます.

例を紹介します.

「function.php」に,こんなコードを書きます.

/* 広告のショートコード作成 */
function showads() {
return ‘
<div>
ここに広告のコードを書く
</div>’;
}
add_shortcode(‘ad‘, ‘showads’);

そうすると,記事の中に,

[ad]

を挿入した場所に,<div>タグで囲われた広告のソースコードが出力されます.

このショートコードは,かなり応用範囲の広い小技です.

ぜひ,色々とお試しください.

カテゴリー
サイト制作

【WORDPRESS】head内の不要なタグを削除する方法

今回は,ページの読み込みスピード向上のための施策をひとつ紹介します.

それが,head内の不要なタグの削除です.

通常,ワードプレスで作成されたサイトでは,ソースコードの<head>内に,やたらとタグが出力されます.

たとえば,フィード関連のlinkタグ.

 <link rel=”alternate” type=”application/rss+xml” title=”ドメイン名&raquo; フィード” href=”https://ドメイン名/feed” />

また,たとえばWordPressのバージョン情報のmetaタグ.

<meta name=”generator” content=”WordPress 5.0.2″ />

さらには,wp-jsonのlinkタグ.

<link rel=’https://api.w.org/’ href=’https://ドメイン名/wp-json/’ />

などなど.

これらのようなタグは,あまり必要がない場合がほとんどです.

削除するには,どうすればよいのかというと…

解決策は,外観>テーマの編集>テーマのための関数(function.php)に,つぎのようなコードを追記します.

これを追記すると,いろいろなタグがごそっと消えます.

remove_action( ‘wp_head’, ‘wp_generator’ );
remove_action( ‘wp_head’, ‘rsd_link’ );
remove_action( ‘wp_head’, ‘wlwmanifest_link’ );
remove_action( ‘wp_head’, ‘index_rel_link’ );
remove_action( ‘wp_head’, ‘parent_post_rel_link’, 10, 0 );
remove_action( ‘wp_head’, ‘start_post_rel_link’, 10, 0 );
remove_action( ‘wp_head’, ‘adjacent_posts_rel_link_wp_head’, 10, 0 );
remove_action(‘wp_head’, ‘wp_shortlink_wp_head’, 10, 0 );
remove_action(‘wp_head’, ‘feed_links’, 2);
remove_action(‘wp_head’, ‘feed_links_extra’, 3);
remove_action(‘wp_head’, ‘print_emoji_detection_script’, 7);
remove_action(‘admin_print_scripts’, ‘print_emoji_detection_script’);
remove_action(‘wp_print_styles’, ‘print_emoji_styles’ );
remove_action(‘admin_print_styles’, ‘print_emoji_styles’);
remove_action(‘wp_head’,’rest_output_link_wp_head’);
remove_action(‘wp_head’,’wp_oembed_add_discovery_links’);
remove_action(‘wp_head’,’wp_oembed_add_host_js’);
remove_action(‘template_redirect’, ‘rest_output_link_header’, 11 );
remove_action(‘wp_head’,’rest_output_link_wp_head’);

「remove」から「;」までが,ひとつの区切りとなっています.

なお,ワードプレスの使い方によっては,削除しない方がいいタグもあると思われますから,それぞれの意味をググるなどして,確認することをお勧めします.

カテゴリー
サイト制作

【WORDPRESS】ログインURLを変更する方法(セキュリティ向上)

さて,今回は,セキュリティ向上のための方策をひとつ紹介します.

それが,ログインURLの変更です.

通常,ワードプレスで作成されたサイトでは,ログインURLがモロバレです.

ドメインの末尾に「フォルダ名/wp-login.php」を入力すると,だれでもログインURLにアクセスできてしまいます.

では,ログインURLを変更するには,どうすればよいのか?

簡単なのは,プラグインを使う方法です.

ログインURLを変更できるプラグインには,様々なものがありますが,定番と思われるのは,「All In One WP Security & Firewall」です.

All In One WP Security & Firewall

このプラグインでいえば,インストール後に有効化して,Brute Forceメニューの「Rename Login Page Settings」から,ログインURLを好きなものに変更できます.

https://help.sakura.ad.jpより引用

【1】のチェックを入れると,【2】で指定したURLがWordPressのログインURLになります.

上図の場合,“http://example.com/exmple” がWordPressのログインURLに変更されます。

ちなみに,上に紹介したプラグインでは,スパムコメントの制御機能なども備えていますので,便利だと思います.

以上,WORDPRESSで,ログインURLを変更する方法の紹介でした.

カテゴリー
サイト制作

【WORDPRESS】子テーマをつくる方法(Child Theme Configuratorを使って)

今回は,「子テーマをつくる方法」がテーマです.

子テーマの必要性

ワードプレスにはテーマと呼ばれるものがあります.

たとえば,WordPressチームが作った“Twenty Nineteen”があります.

Twenty Nineteen

このようなテーマの使用時に,ファイルをカスタマイズすることがあり得ますね.

たとえば,つぎのようなファイルです.

・スタイルシート(style.css)

・テーマのための関数(functions.php)

・テーマフッター(footer.php)

・テーマヘッダー(header.php)

しかし,もしもカスタマイズ後にテーマのバージョンアップが行われると,変更した内容は,上書きされて消えてしまいます.

そこで必要になるのが子テーマです.

子テーマは,文字通り,親テーマにぶら下がったテーマと思ってもらえればOKです.

子テーマにしたカスタマイズの内容は,親テーマのバージョンアップが行われても維持されます.

子テーマをつくる

子テーマをつくるのは,簡単です.

プラグインで一発です.

おすすめは「Child Theme Configurator」です.

子テーマChild Theme Configurator

説明すると長くなるので,細かい使い方は,ググってみてください.

子テーマを作成し終わると,テーマ一覧から,作成した子テーマを選べるようになります.

ここでは,“Twenty Nineteen”の子テーマ“Twenty Nineteen Child”を作成してみました.

子テーマtwenty nineteen child

子テーマを有効にすれば,作業は完了です.

以上,「子テーマをつくる方法」の紹介でした.

 

カテゴリー
サイト制作

【WORDPRESS】URLからフォルダ名を削除する方法

WordPressは,インストール直後では,トップページのURLの末尾が「/wp」などと、インストールしたフォルダ名がくっついているケースが大半だと思います.

はっきりいって,余分ですよね.

今回は,この「/wp」などのフォルダ名を削除する方法をご紹介します.

作業は簡単です.

まずは,ワードプレスの一般設定をいじります.

たとえば,https://●●●.comというドメインの場合です.

このうち,サイトアドレス「https://●●●.com/wp」の「/wp」を削除します.

そして,変更を保存します.

つぎに,FTPクライアントソフトなど,ファイルを直接いじれる環境で作業します.

まず,ワードプレスをインストールした「wp」フォルダの中にある,「index.php」と「.htaccess」のファイルを,コピーします.

つぎに,コピーした「index.php」と「.htaccess」のファイルを,「wp」フォルダのひとつ上の階層に複製(ペースト)します.

さらに,複製した「index.php」を開いて,以下の文字列を探しましょう.

require( dirname( __FILE__ ) . ‘/wp-blog-header.php’ );

この文字列に,次のように変更を加えます.

require( dirname( __FILE__ ) . ‘/wp/wp-blog-header.php’ );

つまり,「/wp」を追記します.

変更が完了したら上書き保存しましょう.

以上で,完了です.

カテゴリー
サイト制作

Twenty Nineteen 抜粋表示に「続きを読む」のリンクをつける方法

ワードプレスのテーマ「Twenty Nineteen」で、記事一覧の本文を抜粋表示にする方法を、前に紹介しました。

記事へのリンクはこちらです。

>>記事一覧の本文を抜粋表示にする方法

今回は、抜粋表示にしたときに、文章の最後が、[…]となっているのを、“…続きを読む”というリンクテキストに変える方法をご紹介します。

functions.phpを編集するだけ

その方法とは、下のコードをコピーして、テーマ「Twenty Nineteen」の「functions.php」に貼り付ける方法です。

function new_excerpt_more($more){
global $post;
return ‘…<a href=”‘. get_permalink($post->ID) . ‘”>続きを読む</a>’;
}
add_filter(‘excerpt_more’,’new_excerpt_more’,9999);

これにより、抜粋表示の最後が、“…続きを読む”というリンクテキストに置き換わります。

かんたんで、非常に便利ですね。

ぜひ、お試しください。

カテゴリー
サイト制作

Twenty Nineteen 記事一覧の本文を抜粋表示にする方法

ワードプレスのテーマ「Twenty Nineteen」では、カテゴリーページや、アーカイブページで、記事の本文が全て表示されます。

これを、抜粋表示に切り替える方法を紹介します。

方法は簡単

まず、ファイル「index.php」を開きます。

つぎに、この記述を探します。

きっと、すぐに見つかるでしょう。

if ( have_posts() ) {

// Load posts loop.
while ( have_posts() ) {
the_post();
get_template_part( ‘template-parts/content/content’ );
}

この記述のうち、‘template-parts/content/content’という部分を、つぎのように変えます。

if ( have_posts() ) {

// Load posts loop.
while ( have_posts() ) {
the_post();
get_template_part( ‘template-parts/content/content-excerpt’ );
}

つまり、contentをcontent-expertに変えるのです。

以上で終了です。

どうでしたか、簡単でしたね。