WordPress プラグインの選び方

WordPress がブログプラットホームとして多くの方に利用され、そのプラグインを紹介するブログ記事も多数書かれています。 WordPress プラグイン作者としてそれらを見て思うところがあったので、この記事を書いています。 正確には選び方というより、危ないプラグインの避け方、つまりこのような特徴があったらそのプラグインは避けた方が無難、という内容です。

プラグインは信頼できるものを

WordPress のプラグインは機能拡張するためのプログラムであり、ある意味プラグイン作者は何でもできます。 作者に悪意がなくても、処理の漏れからプラグインが脆弱性を持っている場合もあり、そのようなプラグインを導入するとサイトが危険にさらされることになります。 WordPress はプラグインを使って機能拡張できるところが魅力ではありますが、自分としては信頼できる必要最小限のプラグインを導入することをおすすめしたいです。

本記事は信頼できないプラグインを見抜くためのガイドです。

ダウンロード数やレーティングだけじゃ足りない

WordPress.org の各プラグインページに表示されるダウンロード数やレーティングだけで評価するのは危険です。 何故なら、ダウンロード数は累計表示なので初回リリースの時期が早ければ早いほど大きな数字となります。 レーティングについても過去に高評価を得ていたけれど、今はメンテナンスされず誰も見向きもしなくなったため、高レーティングのままになっているだけかも知れません。

放置されているプラグインはやめよう

まず、以下のような警告が出ているプラグインには手を出すべきではありません。

warning

この警告は最後のアップデートから 2年間以上経過しているプラグインのページに表示されます。 例えば、2013年は WordPress 3.6、3.7、3.8 がリリースされ、UI も内部的にも大きく変わった部分があり、その結果、多くのプラグインでそれに対応する修正が必要となりました。 1年ですらそのような大きな変化が起こっていることを考えると、2年以上放置されているということは作者がメンテナンスする意思がない可能性が高いです。

ダウンロード状況を確認する

累計ダウンロード数だけでなく、プラグインの「Stats」ページも確認しましょう。 きちんとメンテナンスされ、ユーザーもついているプラグインには、下図のようにきちんと波ができているはずです。

stat-fb

一週間周期のさざ波に加えて、更新版リリース時の大きな波ができています。 上の図は累計ダウンロード数 140万超の人気プラグインですが、ダウンロード数が少ない場合でも同じです。

stat-swe

この図は累計ダウンロード数 8,000程度のプラグインですが、少なくともバージョンアップ期の大きい波はきちんと出ています。 特に累計ダウンロード数が比較的少ないプラグインではこのように大波がだんだん高くなっている方が安心です。 それは利用者が増えている、すなわち利用者にとって価値のあるプラグインである可能性が高いことを示しているからです。

Stats を確認してこのような波ができていないということは、メンテナンスがされていない等何かしら問題があるように思えます。

サポートフォーラムを確認する

プラグインの「Support」ページも確認しておきましょう。 サポートフォーラムで質問が少なく、たまにあったとしてもポスト数 (Posts) が 1のまま放置されているようなプラグインは避けた方が無難でしょう。

また、個々のトピック (Topic) を確認した時、作者からのポストには author-mark のような目印がついています。 すぐに作者のポストが見つかれば安心ですが、見つからないときは次に紹介する手順で作者の詳細をチェックしましょう。

作者の詳細をチェック

プラグインページの「Author」に示されているリンクを辿ると作者のプロフィールページにジャンプします。 例えば私のページはこちらです。

ここで、最近の Activity や、その作者が作成した他のプラグインやテーマを確認することができます。 Activity の中でフォーラムへのポストがあれば内容を確認しておくと良いでしょう。 作者が信頼できなさそうであれば、その人の作ったプラグインは導入すべきではありません。

まとめ

というわけで WordPress プラグインを導入するときにチェックしておきたい点を挙げておきました。 本当はプラグインのソースコードを見て判断できると良いのですが、なかなかそうは行かないのでこのようなチェックポイントを参考にしてみてください。 もちろんこれだけで脆弱性のあるプラグインの導入を全て防げるわけではありませんが、何も考えずに導入するよりはずっとましだと思います。

巷のブログ記事で紹介されているプラグインの中にもこれらのチェックポイントにひっかかるものがあります。 そのようなプラグインを紹介しているブロガーが信頼に足るとは思えません。

繰り返しますが、WordPress プラグインの導入は信頼できる必要最小限のプラグインのみとすることをおすすめします。