WordPressサイトにBasic認証を簡単にかけられるプラグイン「WP Basic Auth」

仕事で会社関係のサイトをWordPressで作成してると時々あるのは、制作途中のサイトを確認するためにIDとパスワードを知ってる人以外にアクセス出来ないようにしてほしいというリクエスト。
本来なら「Maintenance Mode」というプラグインがお薦めなんですが、手っ取り早くサクッとBasic認証だけかけたいという目的だけなら「WP Basic Auth」というプラグインがお薦めです。
　

「WP Basic Auth」とは

WordPressサイトにBasic認証をかけられるプラグインです。
そのWordPressで設定してるユーザーのIDとパスワードがそのまま使えるというのが便利なところです。

「WP Basic Auth」のインストールと設定

いつものようにダッシュボート→プラグイン→検索で「WP Basic Auth」 で検索すると表示されますので、インストールしてください

そのままプラグインを有効にするだけで何の設定もなく自動でBasic認証がかかります。
Basic認証用のIDとパスワードを発行するという機能も無いとてもシンプルなものです。

問題点というほどではないのですがBasic認証の性格上、画像やその他メディアファイルまでアクセス制限が出来るわけではないので、その点納得の上で使用するという感じでしょうか。
MaintenanceModeなどのプラグインと違って何らかの理由で短時間サイトを止めて確認作業をするというような使い方にピッタリです。
知っておいて損はないプラグインです。

問い合わせフォームやコメント欄経由のユーザーとの履歴を管理出来るプラグイン「Flamingo」

企業系のWordPressサイトを制作してると、クライアントから要望が意外と多いのが問い合わせメールをサーバで管理出来ないか？というものです。
確かに問い合わせフォームからのメールをPCに保存しておくのは良いのですが、もしそのデータが消失した場合を考えるとサーバに残す機能があるなら助かりますよね。

メールをCSV形式でサーバに保存する機能を持つフォームCGIもありますが、セキュリティを考えるとWebサーバ上に保存するのはかなりマズイのでなかなか使いどころが無いのですが、今回紹介するプラグインの「Flamingo」はデータベース上に保存するのセキュリティ的にはそれなりに高いものじゃないかと思います。

「Flamingo」とは

1. 簡易的ながらCRM（顧客関係管理） 機能を実現出来る
2. 問い合わせフォームから送信された内容とメールアドレスを管理出来る
3. コメント欄に投稿されたメールアドレスを管理出来る（内容は管理不可）
4. Contact Form 7との連携が可能 

とプラグイン一本で実現可能です。

「Flamingo」のインストールと設定

いつものようにダッシュボート→プラグイン→検索で「Flamingo」 で検索すると表示されますので、インストールしてください。

特に設定するところはありませんので、ダッシュボードにある「Flamingo」のメニューをクリックしてください。

「Flamingo」のアドレス帳

アドレス帳にはコメント欄と問い合わせフォームから送信されたメールアドレスが自動的に追加されています。（Flamingoインストール前のメールアドレスは追加されてませんので注意）

「Flamingo」の受信メッセージ

受信メッセージには問い合わせフォーム（ Contact Form 7）から送信されたお問い合せ内容が自動で追加されています。該当部分をクリックするとメッセージ詳細画面に切り替わりお問い合せの内容が表示されます。

こうしてFlamingoを使ってみるとCRMとしてだけではなく、フォームのセキュリティ対策としてメールで送信するよりもDBに蓄えておくという方法として十分アリかなと思いますね。

 FlamingoはまだスタートしたばかりなのでCRMとしての機能も極々シンプルなものですが、今後の開発次第ではけっこう面白いプラグインになるかと思います。

ページをスクロールしてもウィジェットが追従してくるプラグイン「Q2W3 Fixed Widget」

最近ワリとよく見かけるのがブログの広告やメニュー、ソーシャルメディアのボタン（いいね！など）がブラウザのスクロールに追従してくるというしかけ。
縦に長いページなどはけっこう効果があるみたいですが、いざやるとなるとjquery（sticky）の実装などかなり面倒くさいものです。
しかし！そこはWordPress。こんなプラグインあったらいいのにな・・というのはたいてい誰かが作ってくれたりしています。しかも簡単に設置・設定できるありがたい「Q2W3 Fixed Widget」を紹介します。

「Q2W3 Fixed Widget」とは

左右のウィジェットエリアにあるウィジェットを固定（正確にはスクロールに追従）させる機能を簡単に設定できるプラグインです。ウィジェットエリア全体ではなく、特定（複数）のウィジェットを追従するように出来ます。

「Q2W3 Fixed Widget」のインストールと設定

いつも通りダッシュボート→プラグイン→検索で「Q2W3 Fixed Widget」 で検索すると表示されますので、インストールしてください。

基本的には細かい設定無しでよれればインストールするだけで使えるようになっています。
外観からウィジェットへ移動して固定したいウィジェットをクリックすると「Fixed Widget」というボタンが追加されているのがわかると思います。そのボタンにチェックを入れて保存するとOKです。

細かい設定は外観にFixed Widget Optionsという設定画面が表示されるようになっていますので、トップのマージンやボトムマージンなどが設定出来るようになっています。

このようにプラグインをインストールして追従させたいウィジェットのチェックボタンをクリックするだけで実装出来るのはさすがWordPressというところです。

ただバナー広告はオリジナルのものなら大丈夫ですが、GoogleAdsenseは規約違反なので止めておいたほうが良いと思います。個人的にこのプラグインを生かすならサイドメニューとソーシャルメディア関係のボタンを追従させるかなと思います。

 jqueryの実装で悩んだり上手く行かなくて悩んでいる方に「Q2W3 Fixed Widget」はオススメです！

WordPressの不正ログイン対策プラグイン「Simple Login Lockdown」で試行回数を制限

WordPressの乗っ取り対策として有効なのが不正ログイン対策プラグインで試行回数を制限するというものです。
ログイン認証総当たりしようとして複数回数失敗するとログイン画面をロックするというもので、今回はそのプラグインの中でも使いやすい「Simple Login Lockdown」を紹介します。

「Simple Login Lockdown」とは

1. ログイン認証のIDとパスワードを総当たりにする攻撃（ブルートフォースアタック）の防止が出来る
2. ログインの試行回数を制限し、複数認証に失敗するとログイン画面をロックすることが出来る
3. ログイン試行回数とロック解除までの時間を設定出来る

以上の機能をインストールと簡単な設定で利用出来ます。

「Simple Login Lockdown」の必要性

ロリポップを舞台に行われた大量のWordPressサイト乗っ取り事件からもわかるように、古典的な手口ではありますがログイン画面から総当たり攻撃というのは今でも被害が多いものです。
極端に言うとどんなにIDとパスワードを複雑なものにしても、総当たり攻撃を何時間もかけて行えばいつかは突破されてしまいます。（通常の乗っ取り犯はそこまでするなら次の標的を探しに行きますが・・・）

そんな総当たり対策に有効なのは「Simple Login Lockdown」のような複数回認証に失敗すると認証画面にロックがかかるというしくみです。
乗っ取り犯はこのサイトはダメだと思えばすぐ次の標的を探しに行くので、WordPressのセキュリティ対策にはかなり有効な手段です。

「Simple Login Lockdown」のインストールと設定

インストールはいつものとおりダッシュボード→プラグイン→新規追加で「Simple Login Lockdown」を検索してください。

設定はダッシュボードの設定→表示設定→で表示される画面の下部にSimple Login Lockdownという設定項目が追加されているのがわかると思います。

Login Attempt Limit：複数認証の回数を設定出来ます。5回から20回まで設定が可能です。
Login Lockdown Time：ロック解除までの時間が設定出来ます。30分から24時間まで設定出来ます。

個人的に回数は3回、ロック解除まで72時間くらいまでの設定があっても良いような気もしますが、とりあえずこれだけでも十分ですしもし正規ユーザーでも間違ったら・・・と思うとデフォルトの値もアリかなという気もします。

これだけで総当たりのアタックにかなり有効な対策となりますが、基本的にIDとパスワードは複雑なものにするのが有効な対策ですし、WordPressのバージョンアップやプラグインのバージョンアップなど小まめに行うのも有効な対策です。


まずは「Simple Login Lockdown」でセキュリティ対策という事で導入・設定が簡単なので超オススメです。

Contact Form 7に確認用チェックボックスを追加する方法

フォームプラグインの定番Contact Form 7ですが、仕様上確認画面がありません。フリーのCGIフォームなどではわりと実装されている確認画面なのでContact Form 7でもあれば嬉しのですが現状ではなかなか難しいようです。

とはいえ、確認画面が出ないなら出ないなりのやり方というのがありまして、その一つに確認用チェックボックスを追加するという方法がけっこう効果ありなので皆さんにご紹介。

 確認用チェックボックスを追加とどんな効果がある？

1. 心理的なものですが確認用チェックボックスがあることで送信内容を確認してもらえる
2. 確認用チェックボックスにチェックを入れないと送信出来ないので入力途中にenterキーを押して間違って送信するという事が無くなる
3. SPAMロボットが確認用チェックボックスに気づかない事が多く、迷惑メール防止にもなる

と設置が簡単なワリにけっこう色々と効果があります。

確認用チェックボックスを追加する方法

Contact Form 7の設定画面にたった一行の分を追加するだけです。

[checkbox* use_label_element "確認画面は表示されません。上記内容にて送信しますので、よろしければチェックを入れてください。"]

確認画面は〜以降の文章は適当にアレンジしても大丈夫です。

設定画面で上記の一行を追加して保存すれば作業は終了です。フォームを設定してるページにアクセスしてテストして動作するかチェックすればOKです。

 たったこれだけでユーザーに内容をチェックしてもらえて、SPAM防止にもなるなら設置しない手はないと思います。Contact Form 7でフォームを設置したらまずこの確認用チェックボックスも追加してみてください。オススメです。