Contact Form 7 の使い方

Contact Form 7は WordPress に問い合わせページの設置を支援するプラグインです。

Contact Form7は簡単に設置できるため、世界中で使われています。

  • 初心者でも導入設定が簡単
  • 高機能で様々な部品をサポート
  • 有名プラグインのため信頼感が高い

Contact Form 7は何しろ設定が簡単で、他の手段と比較してすぐに導入できる点がメリットとして大きくなっています。
当記事では、Contact Form 7を単に利用するだけでなく、セキュリティを高め使用する方法についてもご紹介します。

使い方

WordPress の管理画面から「お問い合わせ」を選択します。
Contact Form 7の画面が開くので、「新規追加」を押下します。

フォーム作成

フォームの作成画面が開きます。

このままですぐにフォームを使用することができます。

セキュリティ対策

Contact Form 7で問い合わせページを設置すると、セキュリティ対策が必要です。
ContactForm 7のような有名プラグインは常に、スパムメールからの攻撃にさらされているからです。

承諾確認チェックボックスでスパム対策

承諾確認チェックボックスを追加することで、チェックなしでフォームを送信できなくします。

同意条件に、承諾確認で表示したい文言を入力します。

承諾確認を利用することで、セキュリティを高めるだけでなく、フォームの情報の利用について記載したりフォームの立ち位置を明確にする助けになるでしょう。

reCAPTCHA (v3) でスパム対策

reCAPTCHA とは、スパムボットなどの攻撃からサイトを防御する仕組みのことです。

Contact Form 7ではスパム対策としてこの reCAPTCHA を導入する仕組みがあります。

Googleアカウントで、サイトを登録

reCAPTCHA は Google のサービスになるので、reCAPTCHA から Google アカウントを登録します。

ドメイン、reCAPTCHA のタイプを指定します。

Google reCAPTCHA追加画面

サイトキーとシークレットキーがコピーできるようになります。

WordPress の管理画面から、Contact Form 7のインテグレーションを押下します。

Contact Form 7のインテグレーション

reCAPTCHA という項目があるので、「インテグレーションのセットアップ」ボタンを押下します。

Contact Form 7の reCAPTCHA インテグレーション

「変更を保存」ボタンを押下します。

これで、reCAPTCHA が有効化されます。
reCAPTCHA (v3)ではreCAPTCHA v2 にあった「私はロボットではありません」のチェックボックスが不要になります。有効化されるだけで reCAPTCHA 対応済みのフォームとなります。

参考: reCAPTCHA (v3) | Contact Form 7 [日本語]

まとめ

Contact Form 7 は、お問い合わせフォームを作るための基本的機能が揃っているプラグインです。

この記事では、Contact Form 7のスパム対策などセキュリティ強化についても紹介しました。

ぜひ利用してお問い合わせページを用意してください。

Google Tag Manager の導入はプラグインでやろう

Google Tag Manager の WordPress への導入はプラグインを利用しています。

タグマネージャーの導入プラグイン

Google Tag Manager for WordPress

いろいろ細かく設定できるプラグインです。

Google Tag Manager for WordPress – WordPress プラグイン | WordPress.org 日本語

Google Tag Manager

シンプルでタグマネージャーを追加するだけのプラグインです。

Google Tag Manager – WordPress プラグイン | WordPress.org 日本語

Import Users from CSV でユーザーのインポート

WordPress へユーザーを CSV で一括インポートするには、「Import Users from CSV」が便利です。

ユーザーに紐づくメタ情報付きで、ニックネームやパスワードなどを一気に登録できます。

使い方

ユーザー > Import users from a CSV file から管理画面を表示します。
CSV のインポートはこちらから行うことができます。

管理画面にサンプルファイルがあるので、そのファイルに合わせて試してみるとよいでしょう。

インポートの各項目

「Import Users from CSV」ではいくつかインポートの設定があります。

  • CSV file
  • Notification Notification Send to new users
  • Password nag Password nag Show password nag on new users signon
  • Users update Users update Update user when a username or email exists

Notification にチェックを入れると、追加したユーザーにメールが送信されます。

使った感触

ユーザーを一括登録するには十分動作します。
便利なプラグインと言えるでしょう。

メール通知機能

このプラグインは、Notification のチェックでメール配信が行われます。
しかしメールが英語なので、使い勝手としてはいまいちです。

ユーザー名の重複に注意

user 名が重複するとエラーになるので注意が必要です。
インポート前に重複を確認しましょう。

参考

WordPress Ultimate CSV/XML Importer Plugin の設定

CSV を import するためのプラグインです。
表示は「Import and Export WordPress Data as CSV or XML」となっています。

WP Ultimate CSV Importer の設定

プラグイン WP Ultimate CSV Importer を有効にしたら、CSVをアップロードしてみましょう。

CSV のインポート画面

「Import each record as ~」 とあるので投稿タイプを選択します。
ページやカスタム投稿タイプなど選択できるので便利です。

import の各項目

フィールド説明CSVのサンプル
post_titleタイトル
post_contentコンテンツ
post_excerpt要約
post_date日付
post_categoryカテゴリー
post_tagタグ
post_author投稿者
featured_image
post_slugスラッグ
post_status公開ステータスの指定
publish / draft / pending / sticky / private / protected を指定する
publish
post_format投稿形式の選択

WP Ultimate CSV Importer の問題点

有料でない場合、ユーザーの Import には対応していないようです。
CSV のプラグインこれ一本で行きたい場合は課金しても良いでしょう。

参考

Introduction for WP Ultimate CSV Importer Free and all premium bundles

Post, Page & Custom Post Import | Ultimate CSV Importer

Broken Link Checker でリンクエラーをチェック

リンク切れチェックの必須のプラグイン Broken Link Checker のご紹介です。

メリット

WordPress の運用では、リンク切れ修正作業が必ず必要になります。
リンクとは時によって無効になることがあるからです。

リンクは常にアクセスできるように運用していきましょう。

使い方

プラグインを有効にするだけで、投稿内のリンクを確認できます。
Broken Link Checker 内から修正や修正後のリンク切れのチェックをできます。

参考

Jetpack の failed: Error during WebSocket handshake を消す方法

Jetpack を使用していて、Console 画面で WebSocket のエラーが発生していました。

WebSocket connection to 'wss://public-api.wordpress.com/pinghub/wpcom/me/newest-note-data' failed: Error during WebSocket handshake: Unexpected response code: 403
g @ public-api.wordpress.com/:6

api.wordpress.com へアクセスできないというエラーが出ています。

こちらログインユーザーにのみ表示されるエラーです。
ですので、解消しなくても WordPress のエンドユーザーへ大きな影響は発生しないと考えています。

対応方法

Jetpackモジュールを無効化します。
https://example.com/wp-admin/admin.php?page=jetpack_modules にアクセスします。

example.com は各々ご自身のドメインを指定してください。
通知モジュールを無効にしました。

※URLを記載している理由として、現在この画面へのリンクは見つけられませんでした。そのうち対応されるかもしれません。

Jetpack通知モジュール有効
Jetpack通知モジュール有効

こちらから無効化を押下します。

Jetpack通知モジュール無効
Jetpack通知モジュール無効

通知モジュールが無効になると、表示が有効化というテキストに変わっています。

以上で、エラーが消えていれば成功です。

参考

wordpress.com ログアウト時、コンソールに表示されるエラー | WordPress.org

Category Posts Widget でウィジェットにカテゴリ新着投稿を表示する

WordPress のサイドバーに特定のカテゴリーの新着を表示したい場合は、「Category Posts Widget」が便利です。

細かい設定ができますのでおすすめのプラグインです。

設定&使い方

プラグイン「Category Posts Widget」をインストールして有効化します。

外観 > ウィジェットから編集ページを開きます。利用できるウィジェットの中に「Category Posts」という項目があるので、そこから利用できます。

タイトルの編集

「Category Posts Widget」ではウィジェットのタイトルを編集する必要があります。

ウィジェットのタイトルから、「Recent Posts」 という表記を編集します。
ブログなら、「新着ブログ」などと書くといいですね。

カテゴリーのアンダーライン修正

「Category Posts Widget」が表示するカテゴリー一覧には、CSS でボーダーが記載されます。不要ならボーダーを打ち消すのが簡単です。

.cat-post-item {
    border-bottom: none !important;
}

cat-post-item というクラスへのボーダーを打ち消します。

参考

Documentation 4.9 – Premium WordPress Widgets – TipTop-Press

All In One WP Security でセキュリティ強化の設定ポイントと解説

WordPress のセキュリティ対策では、セキュリティプラグイン All In One WP Security の導入をお勧めしています。

All In One WP Security は、名前の通り様々な攻撃から防御してくれるプラグインです。
有名なレンタルサーバーのさくらレンタルサーバーにも最初からインストールされているプラグインです。
信頼性があるプラグインと言えます。

そもそもセキュリティ対策は必要?

まず WordPress セキュリティ対策の重要性について述べます。

WordPress を利用する場合、必ずセキュリティ対策が必要です。
インストールしただけのデフォルトの WordPress は様々な攻撃に晒されるからです。

以降、All In One WP Security の重要な設定をご紹介します。

ログインパスの変更

WP Security > Brute Force からログイン URL を変更しましょう。
ログイン URL を Login Page URL: から変更します。

例えば、「◯◯login」のようにサイト運用者しかわからないパスに変更しましょう。

【解説】 パス変更はログイン総当り攻撃対策

Brute Force という項目は、総当たり攻撃の対策項目のことです。

WordPress が初期状態のケースではログインパスが、https://example.com/wp-login.php という URL のままが多いです。

攻撃者はこのようなよくあるログインパスを狙って攻撃をしてきます。
ログインパスを wp-login.php から変更することにより、攻撃を回避することが可能となります。

ログイン時間の設定

WP Security > User Login かログインしている時間の長さを変更できます。

Time Length of Lockout (min): という項目を変更します。
初期状態では、60分になっていますが、ある程度まとまった時間ログインできるように、私は 7200 など長めに設定しています。

【解説】 ログイン時間変更

ログイン時間は短いほど安全と考えられいるはずです。
確かに、もしセッション ID などが漏洩した時に、セッションがすぐ切れた方がログインされにくいです。

しかし、そもそもですがセッションが漏洩するような段階まで攻撃されてしまうのは元々のセキュリティ設定に問題があると考えられますから、ログイン時間の長さ云々の問題ではないと考えています。

ですので、ログイン時間についてはある程度作業しやすい長さにしておいと良いでしょう。

URL からユーザー名漏洩を防止

WP Security > Miscellaneous > Users Enumeration > Disable Users Enumeration のチェックを有効にします。

【解説】 ユーザー名を隠す

Users Enumeration は直訳すれば、ユーザーの列挙です。
WordPress はURLに /?author=1 などと入力されると、ユーザー名が漏洩する恐れがあります。

Disable Users Enumeration の設定は、攻撃者にとって役立つヒントを与えないためのユーザー名漏洩防止ということになります。

セキュリティ設定ポイントと解説のまとめ

All In One WP Security の設定ポイントとその解説をご紹介しました。
WordPress のセキュリティというと難しそうなイメージがありますが、All In One WP Security の最低限のポイントを抑えておくだけでも構いません。

All In One WP Security を利用することで、WordPress をそのまま使用するよりもずっとセキュアにご利用いただけます。

WordPress のプラグインとはなんのこと?疑問に答えます

WordPress ではよくプラグインをインストールをすればいいとされています。
しかし、なぜ WordPress はプラグインを入れた方がいいのか、WordPress の前提などについてはあまり述べられていないことが一般的かもしれません。

この記事ではそもそも WordPress のプラグインとはなんのことなのか、疑問に答えます。

WordPress のプラグインとは何?

プラグインとは、WordPress では次のように説明されています。

プラグインは、WordPressの機能を拡張するためのツールです。

プラグイン – WordPress Codex 日本語版

つまり、プラグインとは WordPress に簡単に機能を追加することができるプログラムパッケージと考えてください。

WordPress の初期状態は最低限の機能しかない

WordPress の魅力とは、無料でありながら世界中に開発者がおり、プラグインやテーマが豊富に用意されていることだとされています。

しかし、WordPress をインストールした初期状態では、WordPress は最低限の機能しか有していません。

これは、WordPress が最小の構成を用意する代わりに、プラグインなどを活用してユーザーに合った使い方をして欲しいということなのです。

プラグインの設定には管理者権限が必要

WordPress のプラグインをインストールしたり、設定するには管理者権限が必要です。

WordPress のプラグインは簡単に機能を追加できてしまいますから、逆に色々なユーザーが機能を追加しすぎてしまうと管理が難しくなってしまいます。そのため管理者権限のユーザーのみがプラグインを管理できるようになっています。

WordPress デフォルトプラグイン

WordPress にはデフォルトプラグインが入っています。

  • Akismet Anti-Spam
  • Hello Dolly
  • WP Multibyte Patch

これら Akismet Anti-Spam と WP Multibyte Patch は必須と言われるプラグインです。有効にしておく良いでしょう。日本語版だと WP Multibyte Patch が入っています。

その他、レンタルサーバーやホスティングサービスによってデフォルトプラグインが用意されている場合があります。

おすすめプラグインについては、別記事で紹介しましたのでこちらもご覧ください。

まとめ

WordPress プラグインとはなんなのかというテーマで簡単にご紹介させていただきました。

WordPress はプラグインを使いこなすことでパワフルな効果を出し、ビジネスへ貢献します。プラグインは数が多くわかりにくい面もありますが、有名な必須プラグインは限られています。

必須のものを抑えながら、有効活用していってください。

参考

https://wpdocs.osdn.jp/%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3

プラグイン SAKURA RS WP SSL をさくらレンタルサーバーで設定する

さくらレンタルサーバーで WordPress をクイックインストールすると、プラグイン SAKURA RS WP SSL がインストールされています。

SAKURA RS WP SSL を有効することによって SSL 対応がやりやすくなります。

SAKURA RS WP SSL とは

さくらレンタルサーバーでのみ有効な SSL プラグインということなので、さくらレンタルサーバーで利用します。

SAKURA RS WP SSL の効果

SSL 設定では、HTTP と HTTPS のリダイレクトが必要になります。
これを .htaccess で設定するのがよくある手法です。

しかし、.htaccess の手動編集にはコストがかかります。
SAKURA RS WP SSL を利用することで、.htaccess などの編集することなしにリダイレクト設定が完了する効果があります。

SAKURA RS WP SSL の設定

設定 > SAKURA RS WP SSL で設定画面を開くことができます。

SAKURA RS WP SSL

設定はチェックボックスにチェックをして、「SSL化を実行する」を押下するだけです。

設定変更はプラグイン停止

説明に「変更した内容を取り消したい場合は、プラグインを停止してください。」とありました。

確かにこのプラグインは一度設定すると、設定変更ができないのです。これは珍しいですね。

まとめ

SAKURA RS WP SSL はさくらレンタルサーバーの SSL 対応をするには有力なプラグインだと感じました。

さくらレンタルサーバーをご利用の方はこのプラグイン導入により運用コストの省力化が見込めるとでしょう。

参考

https://help.sakura.ad.jp/rs/2163/?article_anchor=js-nav-3