WordPressを使っていると、「このプラグインも便利そう」と感じてどんどん追加してしまいます。
気づいたら20本、30本と積み上がっている。更新通知がひっきりなしに来る。どれが何のためか把握できなくなる——よくある状態です。
結論から言います。プラグインを最小限に絞ることは制約ではありません。実害から来た設計の判断です。使うプラグインは6本だけです。それ以外は入れません。
この記事では、プラグイン最小主義の根拠と、実際に使う6本の役割を解説します。
プラグイン最小主義の出発点|不正アクセスの実体験
サーバーが先に動いてくれた日
7年前、自分のWordPressサイトが不正アクセスを受けました。
レイアウトが崩れ、管理画面にアクセスできなくなっていました。エックスサーバーのサポートからメールが届き、サーバー側はすでに不正なファイルを検知・無効化していました。
そのやりとりの中で言われた一言が今も残っています。
「半年以上更新されていないプラグインは削除してください」
侵入の入口は、更新が止まったプラグインに残った脆弱性でした。
通信の観点から見たリスク
通信事業で20年間働いた経験から言えることがあります。通信は入口を曖昧にするほど侵入リスクが上がります。一つのWordPressサイトに侵入されると、同じサーバーアカウントの全ドメインに影響が及ぶ可能性があります。
プラグインを増やすことは、攻撃の入口を増やすことです。
プラグインを増やすことで増える3つのリスク
リスク1:更新管理のコスト
プラグインは定期的に更新が必要です。10本あれば10本分、30本あれば30本分の管理コストが発生します。更新を放置すると、既知の脆弱性が放置されたままになります。
リスク2:競合リスク
複数のプラグインが同じ機能領域を処理しようとすると、動作が不安定になることがあります。テーマとの相性問題も起きます。問題の原因を特定するために、プラグインを一つずつ無効化して確認する作業が必要になります。
リスク3:攻撃の入口
プラグインに脆弱性が発見されると、そこからWordPressへの侵入が可能になります。プラグインが多いほど、脆弱性が発生する確率が上がります。
「入れない判断」もセキュリティ設計の一部です。
使うプラグイン6本の一覧と役割
1. CloudSecure WP Security
エックスサーバー製のセキュリティプラグインです。ログインURLの変更・ログイン試行回数の制限・XML-RPCの無効化をこれ一本でカバーします。エックスサーバーのWAFとの親和性が高く、他のセキュリティプラグインを追加で入れる必要がありません。
詳細は「CloudSecure WP Securityの設定方法」を参照してください。
2. WPForms Lite
お問い合わせフォームの作成に使います。Cloudflare Turnstileとの連携でスパム対策ができます。Contact Form 7(CF7)はメンテナンスモードに移行しており、新規サイトではWPForms Liteを使っています。
詳細は「WPForms Liteの設定方法」を参照してください。
3. All-in-One WP Migration and Backup
サーバー移行・複製のときに使います。日常的なバックアップはエックスサーバーのサーバー側機能(過去14日分の自動バックアップ)で対応しています。常時インストールしておかなくても問題ありません。
詳細は「All-in-One WP Migrationの使い方」を参照してください。
4. WPCode
PHPスニペットを安全に管理するプラグインです。functions.phpを直接触ると記述ミス一つでサイト全体が動かなくなるリスクがあります。WPCodeを使えばスニペット単位でオン/オフできるため、ミスがあっても該当スニペットを無効にするだけで復旧できます。
詳細は「WPCodeの使い方」を参照してください。
5. SEO SIMPLE PACK(SWELLを使う場合のみ)
SWELLで構築する場合に使うSEOプラグインです。記事ごとのメタディスクリプション・OGP設定・noindex/nofollow設定ができます。SWELLの開発者が制作しており、SWELLとの親和性が最も高いです。Lightningで構築する場合は不要です。
詳細は「SEO SIMPLE PACKの設定方法」を参照してください。
6. VK All in One Expansion Unit(Lightningを使う場合のみ)
Lightningテーマの機能を拡張するプラグインです。SWELLで構築する場合は不要です。
詳細は「VK All in One Expansion Unitの使い方」を参照してください。
入れないプラグインと代替手段
XML Sitemap & Google News → 不要
SWELLを使う場合はSWELL設定でWordPressコアのサイトマップ機能を有効にすることで代替できます。プラグインは不要です。
バックアップ専用プラグイン → 不要
エックスサーバーのサーバー側バックアップ(過去14日分)で日常的なバックアップを対応しています。
画像圧縮プラグイン → 不要
Squooshをブラウザ上で使って手動圧縮・WebP変換してからアップロードします。サーバーに処理負荷をかけません。
複数のセキュリティプラグイン → 不要
CloudSecure一本で対応しています。複数のセキュリティプラグインを同時に使うと設定が競合する場合があります。
まとめ|6本以外入れないことが設計です
この記事の内容を整理します。
プラグインを増やすことで増えるのは「更新管理のコスト・競合リスク・攻撃の入口」の3つです。
使うプラグイン6本:CloudSecure・WPForms Lite・All-in-One Migration・WPCode・SEO SIMPLE PACK(SWELL時)・VK Exunit(Lightning時)。
「入れない」と決めることが、セキュリティ設計の一部です。プラグインを追加するたびに「サーバー機能・手動作業・WordPressのコア機能で代替できないか」を問うクセをつけてください。
