WordPressをXSS攻撃から守るために最低限実施しておきたい対策について | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
9月19日 10:30 ※19:00更新 LIGブログ寄稿ライターによる当記事につきまして、読者の方からいくつかのご指摘を受けました。 記事内で不正確な表現を使用していたため、内容に誤りがありました。一度記事を取り下げ、記事内容を精査・修正いたしましたので、再掲載させていただきます。大変申し訳ありませんでした。 引き続き、情報の精度向上に努めて参りますので、よろしくお願いいたします。 LIGブログ編集部 どうもコンニチワ……モリイです。夏場の暑さをなんとか乗り切り、すっかり気が抜けてしまっている今日この頃です。すみません、愚痴ってしまいました。 さて、XSS攻撃による被害がかなり増えています。もはや他人ごとではなく、明日あなたが管理しているサイトがXSS攻撃されてもおかしくないレベルで被害は拡大しているのです。 実際、本業ではWordPress専用のセキュリティ診断サービスを運営している私
WordPressのフックで名前空間を使うときにハマらないために気をつけたいこと
WordPress開発者にとって、フックは基本概念です。『もう開発で苦しまない!「フック」を理解したらWordPressは最強のCMSになる』では、フックとはなにか、その重要性、actionsとfiltersの2種類のフックがどのように動作するかコードサンプルで説明しました。また、静的および非静的クラスメソッドをactionsとfiltersにフックする方法を説明しました。 本記事では、インスタンス化されたクラス(オブジェクト)のメソッドをアクションとフィルターにフックする方法、名前空間のクラスメソッドをフックに統合する方法、WordPressのフックシステムでの名前空間の使用に対する注意事項、その解決方法を説明します。 オブジェクトメソッドをフックする 大規模なニュースサイトでニュースコンテンツに広告をシームレスに挿入するため、広告マネージャープラグインを構築するよう依頼されたと仮定しま
関数リファレンス/wp register script - WordPress Codex 日本語版
当サイト、Codex 日本語版は今後積極的な更新は行わない予定です。後継となる新ユーザーマニュアルは、https://ja.wordpress.org/support/ にあります。 万が一、当サイトで重大な問題を発見した際などは、フォーラムや WordSlack #docs チャンネルでお知らせください。</p> 説明 Registers a script file in WordPress to be linked to a page later using the wp_enqueue_script() function, which safely handles the script dependencies. Scripts that have been pre-registered using wp_register_script() do not need to be man
WordPressでカスタムルーティングを実装 - Qiita
WordPressをMVC風につかう WordPressは洗練された管理画面や豊富なテーマファイル、プラグインが存在することから、ブログのようなシンプルなものからECなど複雑なWebアプリケーションの開発にまで様々な用途で用いられています。 カテゴリ機能やタグ機能が標準で実装され、パーマリンクの変更も手軽にできる反面、デフォルトのURLパターンを無視したURL構造の実現には少しテクニックが必要です。 システムの設計上、あるいはSEOを意識したURL構造を自由に実現したいときに使えるカスタムルーティングの実装方法をご紹介します。 URLのリライトルール ユーザー登録やログインに関する機能のURLを、 登録: http://www.example.com/user/register ログイン: http://www.example.com/user/login のように/user以下のディレク
WordPressのメインクエリやメインループとは?サブとの違いは何か?
WordPressのメインクエリやメインループとは?サブとの違いは何か? 公開日 2016年9月29日 最終更新日 2021年9月15日 著者 Motohiro Tani WordPressには「メインクエリ」や「サブクエリ」という用語・概念があります。 似たような言葉として「メインループ」とか「サブループ」というのも使われたりします。 それらがどのようなものかをあまり理解していなくても、特にトラブルが起きることなくWordPressサイトの制作ができる場合もあります。 が、ループに関する知識不足が原因で意図したとおりにページが表示されないことはよくあります。 きちんとWordPressサイトを作るためには「メインループ」や「サブループ」の理解を避けて通ることはできません。 ページが正しく表示されていても、これらをきちんと理解していないことが原因でサイトの表示速度が遅くなっている場合もあり
WordPressが発行したSQLの履歴を確認する方法 | Web技術Tips | ホームページ制作のDOE【横浜】
コードを1行追加するだけでWordPressが自動発行しているSQLの履歴を確認する方法を紹介します。 いつ使うのか WordPressのマルチサイト機能を使ったブログで、全ブログの投稿データをカスタムタクソノミーで絞り込んで関連情報として表示したかったので、SQLを指定するヒントを得るために使いました。 順を追って話しますね。 最近、WordPressのマルチサイト機能を使って、複数のブログを管理するためのシステムを作っています。 その案件に「TOPページに全ブログの投稿を表示する」という仕様があり、そのために必要な「複数のテーブルから投稿データを引っ張ってくる」はできましたが、 それを更に発展させてカスタムタクソノミーで絞り込みをする仕様をどうやって実装すればいいのかわからず途方に暮れました。 なぜなら、「投稿データが入っているwp_postsテーブル」にカスタムタクソノミーの情報が入
WordPress Nonce - WordPress Codex 日本語版
nonce(ノンス)は、ある種の誤使用や悪意のある操作から URL やフォームを守るための「一度だけ使われる数値」です。WordPress の nonce は実際には数値ではなく、数字と英字で作られたハッシュです。また、本当に一度だけ使われるのではなく、無効になるまでの「有効期間」を持っています。その期間では、同じユーザーの同じコンテキストに対して、同じ nonce が生成されます。つまり、ある操作に対する nonce は、nonce の有効期間が切れるまで同じユーザーについて同じ値を保ちます。 上記のように本来の nonce と違いはありますが、WordPress のセキュリティトークンもほとんど同じ用途を満たすので "nonce" と呼ばれます。(WordPress の nonce は)CSRF を含む何種類かの攻撃から保護する助けになりますが、完全に一度しか使えない訳ではないので反射
Ajaxでページ遷移なしの絞り込み検索をつくる | WordPressカスタマイズ事例【100ウェブ】
Ajaxでページ遷移なしの絞り込み検索をつくる テーマ販売あり 「フォームでメタタグやカテゴリなどの複合条件を選択して絞り込み検索する」では、フォームを使ったサイト内絞り込み検索の事例を紹介しました。この事例ではページ遷移して検索結果が表示される仕様でした。 今回はAjaxを使って、検索時にページ遷移しない絞り込み検索を作ってみます。 WordPressはデフォルトでAjax処理をするファイル(/wp-admin/admin-ajax.php)を持っているので、そのファイルを使います。 例として、カスタム投稿タイプで管理する「仕事情報(jobs)」を、カスタムタクソノミーで管理する「スキル(jobs_skill)」とカスタムフィールド(アドバンストカスタムフィールド)で管理する「エリア(jobs_area)」を条件にして絞り込む、絞り込み検索をつくることとします。 作る(あるいは編集する)
WordPressでのページごとのCSSやJSの読み込みの振り分けをfunctions.phpで一括設定する | スターフィールド株式会社
規模がある程度以上大きなサイトでWordPressを利用する場合、 ディレクトリやページごとに読み込むCSSやJSを変更する必要が出てくることが多々あります。 header.phpやfooter.php、または各種テンプレート内でこれらを振り分けることも可能ではありますが、 振り分けるファイルの数が多くなると、 これらの方法では、コードが見づらくなってしまったり、管理が煩雑になってしまいます。 WordPressでは、functions.phpでadd_action()という関数を使うことで、WPの特定のアクションに対して、様々な設定することができますが、 その設定の中で、wp_print_styles、wp_print_scriptsというアクションに対して、wp_enquete_style()、wp_enqueue_script()という関数を合わせることで、 管理のしやすい状態で、C
WP-CLI & Dockerで「爆速」WordPress環境構築
2020/04/20 (更新日: 2021/08/28) WP-CLI & Dockerで「爆速」WordPress環境構築 Docker PROGRAMMING WordPress WordPressの初期設定って毎回同じなのに面倒くさくありませんか? WordPressインストールをして、必要なプラグインを入れて、パーマリンク設定を変えて… と最初にやることが多くて、テーマ制作など本題に入る前にやることが意外と面倒で僕は消耗することが多かったです。 でも1度設定を作ってしまえば、次のWordPress構築からは簡単にできる便利な方法があるのでご紹介します。僕も実際に使っている方法です。 本記事の内容 コピー&ペーストで「Docker」「WP-CLI」を利用して、爆速で「WordPress」構築を行う方法をご紹介します 本記事を書いている僕はフロントエンドのエンジニアとして3年の経験があ
Dockerを利用したWordPressの開発環境をwp-cliを使ってさくっと構築する - Qiita
はじめに WordPressの開発を複数人で行う時に、テーマファイルをgitで管理するけど、WordPressの本体やデータベースファイルまではgitで管理することはないと思います。そのような場合、ローカルPC上にWordPressの開発環境を作るのが面倒だったりします。特に利用するプラグインが10個くらいあると、それを管理画面からインストールしているとつらくなります。 そんな面倒な構築作業はコード化してしまえばいいよねってことで、Docker環境でさくっと作ってみました。 最初に用意するもの Docker環境 本記事では、Mac OS + docker desktop 2.1.0.1を使用しています 以下のファイル docker-compose.yml Dockerfile WordPressのインストールシェル ファイル docker-compose.yml WordPress Cor
【WordPress】TCDテーマの設定が保存されません
前提・実現したいこと WordPressのTCDテーマ「FAMOUS」を使用しているのですが、 【管理画面 > TCDテーマ > フッター】内の、「SNSボタン設定」以下の設定が反映されません。 「設定を保存」ボタンを押した後、「設定が正常に保存されました」と表示されるものの、TCDテーマオプションの画面から離れる(ページをロードする)と、 SNSボタン設定以下の設定のみ初期状態(何も設定されていない状態)に戻ってしまいます。 ですので、フッターの設定も更新されるようにしたいのです。 ※ヘッダーや、フッターの説明文などは正常に設定が更新されます。 試したこと TCDテーマの開発元に問合せたり、調べたりして以下を試したのですが改善されませんでした。 - すべてのプラグインの無効化 - テーマのアップデート FAMOUSのバージョンを【1.0→3.0】に変更 - PHPのバージョンアップ PH
【誰でも簡単】親テーマのカスタマイズを子テーマに引き継ぐ方法 | くろの隠れ里
皆さんこんにちは。隠家 くろ(@kakurekuro)です。 今回はタイトルにある通り、親テーマのカスタマイズを子テーマに引き継ぐ方法を解説したいと思います。 よく、テーマの導入時にホームページがわかりにくいため、子テーマがあったことにサイト開設してから気付いた、ということが起こっているようです。 かくいう、私もその一人でした・・・(笑) 子テーマを導入してないときの外観のカスタマイズ内容は、子テーマ導入時に全てリセットされてしまいます。 親テーマでカスタマイズを一通り終わらせた後に、子テーマの存在に気付いた時は絶望でしたね(笑) しかし、ご心配無用です! 誰でも簡単にカスタマイズの設定を子テーマに引き継ぐ方法を今回、解説いたします!
WordPress Coding Standards � WordPress Codex
Interested in functions, hooks, classes, or methods? Check out the new WordPress Code Reference! Languages: English • Français • Italiano • コーディング基準 日本語 Português do Brasil • 中文(简体) • (Add your language) WordPress PHP, HTML, CSS and JavaScript Standards Have Moved The WordPress coding standards have been moved to the developer Hub: WordPress PHP Coding Standards. WordPress HTML Coding Standards. W
WordPressの検索機能をカスタマイズ
この記事は1年以上前の記事のため、内容が古い可能性があります。 WordPressの検索の欠点として カスタムフィールドが対象外 カテゴリー・タグ(タクソノミー)が対象外 というものがあります。 最近は内容フィールドは使用せず、カスタムフィールドに中身を入れるといった場合もあるので、これでは大変不便です。 ということで、検索機能をカスタマイズし、これらからも引っ張ってくるようにします。(ついでに抜粋からも) なお、検索処理のカスタマイズは「pre_get_posts」をフックした関数にて行います。 pre_get_postsについては、こちらをご覧ください(query_postsを捨てよ、pre_get_postsを使おう【追記あり】【報告あり】)。 functions.phpに下記を追加します。 ※pre_get_postsをフックした関数がすでに存在していている場合は、うまく編集してく
【WordPress】検索対象にカスタムフィールドやコメントを追加する例(プラグインなし)
WordPressのサイト内検索では、検索の対象は「タイトル」と「本文」の文字列となりますが、今回は、その検索対象に、その他の項目を追加する例となります。また、プラグインは利用しない方法となります。 【WordPress】サイト内検索の対象にカスタムフィールド・コメントを追加する例WordPressではページを表示する際に、データベースに対してSQLクエリを発行しデータを取得しますが、ページに表示する情報をカスタマイズしたい場合に、クエリを修正するカスタムクエリを利用する方法があります。 今回は、そのカスタムクエリを利用する方法となります。 例では、クエリを修正できるフィルターフックを利用し、サイト内検索の対象にカスタムフィールドの値と、コメントの内容を追加しています。 以下、ソースコードの例となりfunctions.phpに記述します。 // 検索する対象のテーブルを結合 functio
WordPressのキーワード検索で検索の対象や検索結果の内容を変更する | オウンドメディア | 大阪市天王寺区ホームページ制作|合同会社デザインサプライ-DesignSupply.LLC-
一般的なWordPress案件ではあまり無いのですが、サービスサイトや商品情報がたくさんあるようなコーポレートサイトの制作では、キーワード検索のカスタマイズが必要になる要件が含まれていることもあります。今回はそんな時に使える、キーワード検…
WordPressテーマ一覧 – ワードプレステーマTCD
WordPressで「このファイルタイプをアップロードする権限がありません。」と表示されるときの解決方法 2024.06.14
Wordpress カスタム投稿タイプの記事詳細・一覧ページを表示する方法
カスタム投稿タイプを設定する方法にはプラグインを使う方法とfunctions.phpに直接書く方法とがあります。 どちらの方法を使う場合も、一覧を表示する機能をONにしないと一覧ページは表示されません。 基本テンプレート名+「-スラッグ名」を付けた別名phpを作ると通常テンプレートとは別に管理できます。 カスタム投稿タイプの記事詳細ページ一覧ページを表示する 今回はカスタム投稿タイプの記事詳細ページ、そしてカスタム投稿の記事一覧ページを作成する方法をご紹介します。 Wordpressテーマを自作したり、HTMLテンプレートからテーマ化する場合は、こういったファイルも準備していく必要があります。 テーマの自作やカスタマイズはスキルアップにつながる 自作する事はWordpressの仕組みを覚える事に直結するので、しっかり理解して欲しいと思います。 作るファイルの名前、表示するURLなどを確認し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Disable the MySQL query in the main query