【Eio WP Expansion】WordPressサイトの運用・セキュリティを1プラグインで完結

Eio WP Expansionは、16の機能カテゴリ・128項目の設定でWordPressサイトの運用を包括的にサポートします。

セキュリティ強化

WordPressの既知の脆弱性や攻撃手法に対する包括的な防御機能。10種類のセキュリティ対策を、すべてトグルスイッチで個別に有効化できます。

バージョン情報の隠蔽

攻撃者にWordPressのバージョンを特定させないための対策です。CSS・JavaScriptファイルURLのバージョンパラメータ（?ver=6.x.x）を完全削除。HTMLヘッダーの <meta name="generator"> タグやRSSフィードからもバージョン情報を削除します。

ジェネレータタグの削除

WordPressが自動出力する各種メタタグ・リンクタグを一括削除し、CMSの特定を困難にします。Windows Live Writerマニフェスト、RSDリンク、短縮URLリンク、前後投稿リンクなど、不要な出力をまとめて整理できます。

XML-RPCの無効化

ブルートフォース攻撃やDDoS攻撃の入り口として悪用されやすいXML-RPCを完全に無効化。全メソッドを空配列に置換し、HTTPヘッダーの X-Pingback も削除します。外部アプリからの投稿機能が不要なサイトに推奨です。

REST APIのアクセス制限

WordPress REST APIへの未認証アクセスを制限し、サイト情報の漏洩を防止します。未ログインユーザーのアクセスをブロックしつつ、Contact Form 7のフォーム送信やoEmbed埋め込みなど、必要なエンドポイントは例外として許可します。

ログイン試行回数の制限

IPアドレスベースのブルートフォース攻撃対策。設定した回数（デフォルト5回）のログイン失敗でアカウントを一定時間（デフォルト30分）ロックします。ログイン成功時には失敗カウントを自動リセット。古い試行データはWordPress cronで毎日自動クリーンアップされます。

ログインエラーメッセージの汎用化

WordPressの標準エラーメッセージはユーザー名の存在有無を推測できる情報を含みます。すべてのログインエラーを「ユーザー名またはパスワードが正しくありません。」に統一し、攻撃者への情報漏洩を防ぎます。

管理者メールアドレス確認の停止

WordPress 5.3以降で追加された管理者メールアドレスの定期確認画面をスキップ。クライアントサイトでの混乱を防止します。

ファイルエディターの無効化

管理画面内のテーマエディター・プラグインエディターを無効化。不正アクセス時にPHPファイルを直接編集されるリスクを排除します。

ユーザー列挙の防止

攻撃者が管理者ユーザー名を特定する手法を複数のレベルで防止します。?author=1 によるURLパラメータ方式、/author/username/ の著者アーカイブ、REST APIの /wp/v2/users エンドポイント——すべてのルートをブロックします。

カスタムログインURL

WordPressの標準ログインURL（wp-login.php）を任意のURLに変更。ログインページの存在自体を隠蔽します。wp-login.php や /wp-admin への未認証アクセスは404を返し、カスタムURLの漏洩も防止。万が一URLを忘れた場合は、wp-config.php に1行追記するだけで復旧できる安全設計です。

セキュリティヘッダー

Webブラウザに対してセキュリティに関する指示を送るHTTPヘッダーを出力します。クリックジャッキングやMIMEスニッフィングなどの攻撃を防止します。8種類のヘッダーを個別に設定できます。

X-Frame-Options

他サイトからの <iframe> 埋め込みを制御し、クリックジャッキング攻撃を防止します。DENY（完全禁止）またはSAMEORIGIN（同一オリジンのみ許可）から選択できます。

X-Content-Type-Options

ブラウザのMIMEタイプスニッフィングを無効化します。nosniff固定で、ブラウザがContent-Typeヘッダーを無視してファイルを解釈することを防ぎます。

Referrer-Policy

ページ遷移時に送信されるリファラー情報の範囲を制御します。no-referrer、same-origin、strict-origin-when-cross-originなど7段階から選択可能。外部サイトへの情報漏洩を制御します。

Strict-Transport-Security（HSTS）

HTTPS接続を強制し、中間者攻撃を防止します。max-age（有効期間）とincludeSubDomains（サブドメイン含む）を設定可能。HTTPSを使用しているサイトでの有効化を推奨します。

X-XSS-Protection

ブラウザのXSSフィルターを有効化します。レガシーブラウザ向けの追加防御レイヤーとして機能します。

Permissions-Policy

カメラ、マイク、位置情報、全画面表示などのブラウザAPIへのアクセス権限を制御します。使用しないAPIを明示的に無効化することで、悪意あるスクリプトによる不正利用を防止します。

Cross-Origin-Embedder-Policy

クロスオリジンリソースの埋め込みポリシーを設定します。SharedArrayBufferなどの高機能APIを安全に使用するために必要なヘッダーです。

Cross-Origin-Opener-Policy

クロスオリジンウィンドウとのやり取りを制御します。同一オリジンに限定することで、クロスオリジン攻撃のリスクを低減します。

セキュリティ監査ログ

WordPressサイト上で発生したセキュリティ関連のイベントを専用のデータベーステーブルに自動記録します。不正アクセスの兆候を早期に発見したり、インシデント発生時の調査に役立ちます。

イベント自動記録

以下のイベントを自動的に記録します。

• ログイン成功 / ログイン失敗（IPアドレス、ユーザー名を含む）
• 設定変更（プラグイン設定、WordPress設定）
• プラグインの有効化 / 無効化 / インストール / 削除
• テーマの切り替え
• 投稿の公開 / 更新 / 削除
• ユーザーの作成 / 削除 / 権限変更

ログ保持期間

記録を保持する日数を設定できます（デフォルト90日）。期限切れのログは日次のCronジョブで自動削除されるため、データベースの肥大化を防止します。

ログ管理画面

管理画面でイベント種別によるフィルタリング、ページネーション、選択削除・一括削除が可能です。イベントの日時、ユーザー名、IPアドレス、詳細情報を一覧で確認できます。

ファイル整合性チェック

WordPress Checksums APIを利用して、コアファイルが改ざんされていないかをスキャンします。ファイルの改変、不審な追加ファイル、欠落ファイルの3種類を検出します。

手動 / 定期スキャン

管理画面の「スキャン実行」ボタンからワンクリックでスキャンを実行できます。週1回の自動スキャン（WordPress Cron）も設定可能。スキャン結果は管理画面にリアルタイムで表示されます。

メール通知

スキャン結果に問題がある場合、サイト管理者にメールで通知します。改変されたファイルのパスと検出タイプ（modified / unknown / missing）を一覧で報告。WordPress自動更新による翻訳ファイルの変更やバージョンファイルの変更は誤検出として自動除外されます。

二要素認証（2FA）

RFC 6238準拠のTOTP（Time-based One-Time Password）による二要素認証を追加します。Google Authenticator、Microsoft Authenticator等の認証アプリに対応。管理者アカウントの乗っ取りを防止する、最も効果的なセキュリティ対策の一つです。

QRコードセットアップ

ユーザーのプロフィール画面にQRコードを表示。認証アプリでスキャンするだけでセットアップが完了します。秘密鍵はAES-256-CBCで暗号化して保存されるため、データベースが漏洩しても安全です。

バックアップコード

認証アプリが使えない緊急時のために、10個の使い捨てバックアップコードを生成します。各コードは1回限り使用可能。スマートフォンの紛失や機種変更時のリカバリー手段として機能します。

管理者リセット

管理者が他のユーザーの2FA設定をリセットできます。端末紛失時の緊急対応に使用します。リセット後、ユーザーは次回ログイン時に2FAを再セットアップできます。

ログインCAPTCHA

ログインフォームに画像認証（CAPTCHA）を追加し、ボットによるブルートフォース攻撃を防止します。Google reCAPTCHAなどの外部サービスに依存せず、サーバー内で完結する自己完結型の認証機能です。

画像認証

PHPのGDライブラリで動的に生成されるCAPTCHA画像を表示します。文字数（4〜8文字）、文字種（英数字/数字のみ）、大文字小文字の区別を設定可能。セッションベースで認証情報を管理します。

デザインカスタマイズ

CAPTCHA画像のサイズ（幅・高さ）、背景色、文字色、ノイズ量（線の本数）をカスタマイズできます。サイトのデザインに合わせた画像認証を実装できます。

リフレッシュ機能

ページ遷移なしでCAPTCHA画像を更新するリフレッシュボタンを表示。画像が読みにくい場合に、ユーザーが簡単に新しい画像を取得できます。

Cookie同意バナー

GDPR（EU一般データ保護規則）やCookie法に準拠した同意取得バナーを表示します。Google Consent Mode v2にも対応しており、Googleタグマネージャーとの連携が可能です。

バナー表示

サイト訪問者にCookie使用の同意を求めるバナーを画面下部に表示します。表示テキスト、ボタンラベルのカスタマイズが可能。レスポンシブ対応のモダンなデザインです。

同意管理

「すべて同意」「必要なもののみ」の2択を提供します。同意状態はCookieに保存され、設定した期間（デフォルト365日）保持されます。

Google Consent Mode v2

Googleタグマネージャーの Consent Mode v2 に対応。ユーザーの同意状態に応じて analytics_storage、ad_storage、ad_user_data、ad_personalization のシグナルを自動送信します。2024年3月以降のGoogle広告運用に必須の機能です。

デザインカスタマイズ

バナーの背景色、テキスト色、ボタン色を自由に設定可能。プライバシーポリシーページへのリンクも設置でき、法的要件を満たすバナーを簡単に構築できます。

管理画面カスタマイズ

WordPress管理画面をクライアント向けに整え、ブランディングの統一・操作ミスの防止・作業効率の向上を実現する機能群です。

管理バーカスタマイズ

画面上部の管理バー（ツールバー）から不要な項目を非表示にできます。WordPressロゴ、WordPress.orgへのリンク、コメントアイコン、「新規追加」メニュー、更新通知など、11項目を個別にON/OFF可能です。

ログイン画面カスタマイズ

WordPressのデフォルトログイン画面をブランドに合わせてカスタマイズ。ロゴ画像の差し替え、背景色・背景画像の設定、フォーム背景色、ログインボタンの色まで、テーマファイルの編集なしで変更できます。ロゴのリンク先は自動的にサイトのトップページに変更されます。

投稿一覧カラム追加

投稿・固定ページの一覧画面に、WordPress標準では表示されない便利な情報カラムを追加します。

• 投稿ID — 投稿のID番号を表示（ソート可能）
• スラッグ — URLスラッグをコード書体で表示
• 文字数 — 本文の文字数をカンマ区切りで表示（ソート可能）
• 単語数 — 本文の単語数を表示
• サムネイル — アイキャッチ画像を50×50pxで表示
• テンプレート — 使用中のページテンプレート名を表示
• 最終更新日 — 最終更新日時を表示（ソート可能）

クイック編集項目追加

投稿一覧の「クイック編集」に、表示順序（menu_order）、パスワード保護、コメント許可/禁止、ピンバック許可/禁止の設定項目を追加。投稿をいちいち開かずに、一覧画面から直接変更できます。

管理メニューカスタマイズ

管理画面の左サイドバーメニューをカスタマイズ。管理者以外のユーザーに対して特定のメニューを非表示にしたり、メニューの表示順序を変更したりできます。管理者には全メニューが表示されるため安全です。

クリーンアップ

WordPressの標準機能のうち、使用していない機能を無効化してサイトを軽量化・セキュリティ強化します。

フィード（RSS/Atom）の無効化

RSS、RDF、Atomの全フィード形式を完全に無効化。アクセスすると404を返します。HTMLヘッダーからフィードリンクも削除。コンテンツの自動取得（スクレイピング）防止にも有効です。

コメント機能の完全無効化

WordPressのコメント機能を、管理画面・フロントエンド・REST APIのすべてのレイヤーで完全に無効化します。管理画面からは「コメント」メニューと「設定 > ディスカッション」を削除。フロントエンドではコメントフォームと既存コメントを非表示に。REST APIの /wp/v2/comments エンドポイントも削除。「最近のコメント」ウィジェットも自動で無効化されます。

ピンバック/トラックバックの無効化

他サイトとの自動通知機能を無効化。XML-RPCのピンバック関連メソッドの削除、セルフピンバックの無効化、ピンバック受信の停止まで、一括で対応します。

投稿タイプのサポート機能削除

投稿や固定ページから、使わない編集機能を個別に削除できます。タイトル、エディター、アイキャッチ画像、抜粋、カスタムフィールド、リビジョンなど、11種類の機能を投稿タイプごとに選択して削除。編集画面をシンプルにし、クライアントの操作ミスを防止します。

デフォルトウィジェットの無効化

WordPress標準の18種類のウィジェット（固定ページ、カレンダー、アーカイブ、メタ情報、検索、テキスト、カテゴリーなど）から、使わないものを個別に無効化。ウィジェット選択画面をスッキリ整理できます。

ダッシュボードウィジェットの削除

管理画面トップページに表示されるウィジェットを個別に削除。「ようこそパネル」「サイトヘルスステータス」「概要」「アクティビティ」「クイックドラフト」「WordPressイベントとニュース」など、不要な情報を非表示にできます。

メディア管理

画像アップロードに関する包括的な最適化機能。ファイル名の日本語対応からサイズ最適化、自動圧縮、WebP変換まで、メディアライブラリの管理を大幅に効率化します。

ファイル名自動サニタイズ

日本語ファイル名を含む画像をアップロードした際に、自動的に英数字のファイル名に変換します。カタカナ→ひらがな→ローマ字の変換（拗音にも対応）、スペースのハイフン変換、特殊文字の削除を自動処理。URLの文字化けや404エラーを防止します。

例：東京タワー写真.jpg → toukyoutawaa-shashin.jpg

画像自動リサイズ

大きすぎる画像がアップロードされた際に、設定した最大サイズ（デフォルト1920×1920px）に自動で縮小。アスペクト比を維持したまま、JPEG品質（デフォルト85%）を指定してリサイズします。SVG・GIF・WebPは自動除外されます。

不要な画像サイズ生成の停止

WordPressが画像アップロード時に自動生成する複数のサイズ（thumbnail、medium、large等）から、使わないサイズの生成を個別に停止。テーマやプラグインが登録したカスタムサイズも一覧に表示され、チェックボックスで管理できます。WordPress 5.3+の2560pxリサイズも無効化可能です。

SVGアップロード許可

WordPressでデフォルト禁止されているSVGファイルのアップロードを、セキュリティ対策付きで許可します。<script> タグ、イベントハンドラ属性、危険なURL（javascript:、data:等）を自動削除するサニタイズ機能を内蔵。<embed>、<object>、<iframe>、<use> の外部参照などの危険な要素もブロックし、安全にSVGを利用できます。

WebPアップロード許可

次世代画像フォーマットWebPのアップロードを許可。MIMEタイプの自動修正により、WordPress内部での正しい認識を保証します。

添付ファイルページの無効化

WordPressが画像やファイルごとに自動生成する「添付ファイルページ」を無効化。リダイレクト先を親投稿、ファイルURL、ホームページ、404エラーの4種類から選択できます。

画像圧縮・最適化

アップロードされたJPEG、PNG、WebP画像を自動的に圧縮し、ファイルサイズを削減します。

• 3段階の圧縮レベル — 「可逆（高画質）」「バランス（推奨）」「最大圧縮」から選択。JPEG品質はそれぞれ90%/75%/60%。
• 自動圧縮 — 画像アップロード時に自動で圧縮。手動操作は不要です。
• サムネイル圧縮 — WordPressが生成するサムネイル画像も圧縮対象。
• EXIFメタデータ削除 — 撮影日時・GPS位置情報等のプライバシー情報を自動削除。
• 安全設計 — 圧縮後にファイルサイズが増えた場合は自動的に元に戻します。
• プログレッシブJPEG — Imagick使用時はプログレッシブJPEGに変換し、体感表示速度を向上。
• 統計表示 — 管理画面で最適化済み画像数と総節約容量をリアルタイム表示。

WebP自動変換

JPEG・PNG画像のアップロード時に、WebP版を自動生成。メイン画像とWordPressが生成する全サムネイルの両方を変換します。変換品質は0〜100で設定可能（デフォルト80）。元のファイルはそのまま保持され、PNGの透過情報も維持されます。

一括圧縮機能

既存のメディアライブラリにある未最適化の画像をワンクリックで一括圧縮。進捗バー付きのリアルタイムUIで、各画像の圧縮結果（元サイズ・圧縮後サイズ・削減率）を確認しながら処理を実行できます。AJAX非同期処理のため、ページ遷移やタイムアウトの心配はありません。

メンテナンスモード

サイトの一時停止やComing Soonページの表示を、コード不要で設定できます。デザインカスタマイズ、アクセス制御、カウントダウンタイマーまで標準搭載。

3つのモード

用途に応じて3つのモードを使い分けできます。

• メンテナンスモード — HTTPステータス503で一時停止を通知。Retry-After ヘッダー付きでSEO評価に影響しません。
• Coming Soonモード — HTTPステータス200で公開前ページを表示。noindex, nofollow で検索エンジンにはインデックスされません。
• カスタム503 — カスタムデザインの503エラーページを表示。

REST APIリクエストもブロック対象となるため、メンテナンス中のデータ漏洩も防止します。

アクセス制御

メンテナンス中でもサイトを確認できるユーザーを3つの方法で柔軟に制御できます。

• ロールベース — WordPress標準ロール（管理者、編集者、投稿者等）とカスタムロールに対応。チェックボックスで複数選択可能。
• IPホワイトリスト — オフィスのIPアドレスを登録してチーム全員がアクセス可能に。
• シークレットキー — URLパラメータ（?ewe_access=秘密のキー）でアクセスを許可。Cookieに24時間保存されるため、クライアントへの確認依頼時に便利です。

ページカスタマイズ

メンテナンスページのデザインをコード不要でカスタマイズ。タイトル、メッセージ（HTML対応）、ロゴ画像、背景色、背景画像、文字色を自由に設定できます。レスポンシブ対応のモダンなデザインで、背景画像設定時は半透明白背景のカードUIに自動切り替え。

カウントダウンタイマー

公開予定日時までのカウントダウンを日・時間・分・秒でリアルタイム表示。管理画面でON/OFF切り替え可能です。

ソーシャルリンク

メンテナンスページの下部にSNSアイコンリンクを表示。X（Twitter）、Facebook、Instagram、YouTube、LinkedIn、LINEに対応。URLを入力したプラットフォームのみSVGアイコンで表示されます。

管理者通知

メンテナンスモードが有効であることを管理者に常に通知。管理バーに赤色バッジ、管理画面全ページに黄色の警告バーで表示し、うっかり有効のまま放置することを防ぎます。

コンテンツ補助

投稿コンテンツの表示を自動的に改善する6つの機能。the_content フィルターで処理するため、テーマのテンプレートファイルを変更する必要はありません。

目次の自動生成

投稿本文の見出しタグ（H2〜H6）から目次を自動生成し、記事内に挿入します。

• 対象見出しレベルの選択 — H2〜H6から目次に含める見出しレベルを個別に選択。
• 最小見出し数の設定 — 指定した数以上の見出しがある場合のみ目次を表示（デフォルト3）。
• 4つの挿入位置 — 最初の見出しの前、最初の段落の後、コンテンツの先頭、ショートコード [toc] による手動配置。
• 番号付け・開閉ボタン — 目次項目への番号付けや、表示/非表示を切り替える開閉ボタンをON/OFF可能。
• アクセシビリティ対応 — <nav> タグ + aria-label + aria-expanded を使用。

外部リンクのセキュリティ対策

投稿本文中の外部リンクに rel="noopener noreferrer" を自動追加し、タブナビング攻撃を防止します。既存の rel 属性がある場合はマージし、内部リンクや mailto:、tel: リンクは処理しません。

外部リンクの新規タブ設定

外部サイトへのリンクに target="_blank" を自動追加。上記のセキュリティ対策と併用することで、安全に外部リンクを新しいタブで開けます。

テーブルのレスポンシブ対応

投稿本文中の <table> タグをレスポンシブラッパーで囲み、モバイルでの横スクロールを可能にします。既にラップ済みのテーブルは自動スキップされます。

iframeのレスポンシブ対応

YouTube動画等の <iframe> 埋め込みをレスポンシブ対応。アスペクト比を自動検出し、16:9（横長動画）、4:3（旧来の動画）、1:1（正方形）に応じたCSSクラスを付与します。幅・高さが不明な場合はデフォルト16:9を適用。

電話番号の自動リンク化

投稿本文中の日本の電話番号を自動検出し、スマートフォンからワンタップで発信できる tel: リンクに変換します。市外局番あり（03-1234-5678等）、携帯（090-1234-5678等）、フリーダイヤル（0120/0800）に対応。ハイフン、ドット、括弧、スペースの区切り文字にも対応し、既存のリンク内の番号は自動スキップします。リンクに任意のCSSクラスを付与することも可能です。

投稿順序管理

投稿・固定ページ・カスタム投稿タイプの表示順序を、ドラッグ＆ドロップで直感的に変更できます。

• 投稿一覧画面にドラッグハンドル付きの「順序」カラムを追加。並び替え後はAJAXで即座に保存されます。
• 投稿（post）、固定ページ（page）に加え、public=true のカスタム投稿タイプにも対応（個別に有効/無効を設定可能）。
• フロントエンド適用 — ONにすると、アーカイブページやホームページに並び替え結果がそのまま反映されます。メインクエリのみに適用されるため、ウィジェット等のサブクエリには影響しません。

ターム順序管理

カテゴリー・タグ・カスタムタクソノミーの表示順序を、ドラッグ＆ドロップで直感的に変更できます。

• タクソノミー編集画面にドラッグハンドル付きの「順序」カラムを追加。並び替え後はAJAXで即座に保存。
• カテゴリー、タグに加え、public=true のカスタムタクソノミーにも対応（個別に有効/無効を設定可能）。
• フロントエンド適用 — ONにすると、get_terms() や wp_list_categories() の出力順がカスタム順序に変更されます。ナビゲーションメニュー、ウィジェット、アーカイブページなど、タームを表示するすべての場所に適用。一度もドラッグしていないタームも正常に表示されます（末尾に配置）。

日本語最適化

WP Multibyte Patchプラグインに相当する日本語対応機能を内蔵しています。日本語サイトで発生しがちな文字化けや文字数カウントの問題を解消します。

抜粋の文字数制御

自動生成される抜粋の文字数を、日本語（マルチバイト文字）に対応した正確なカウントで制限します。WordPressのデフォルトの「55単語」ではなく、指定した文字数で適切に切り詰めます。

検索の全角/半角統一

サイト内検索で全角・半角の違いを自動的に吸収し、どちらで入力しても正しい検索結果を返します。日本語サイトの検索精度を向上させます。

ファイル名のサニタイズ

日本語ファイル名をローマ字ベースに自動変換します。カタカナ→ひらがな→ローマ字の変換処理で、URLエンコードや文字化けの問題を根本的に解消します。

メールのUTF-8保証

wp_mail() で送信されるメールの Content-Type ヘッダーに charset=UTF-8 を保証し、日本語メールの文字化けを防止します。

文字列カウント

管理画面の文字数カウント機能をマルチバイト対応にし、日本語テキストの文字数を正確に表示します。

トラックバック文字化け対策

トラックバック送受信時の日本語文字化けを防止します。

バックアップ・エクスポート

プラグインの全設定をJSON形式でバックアップ・復元できます。

設定のエクスポート

全カテゴリの設定を1つのJSONファイルにまとめてダウンロード。プラグインバージョン、エクスポート元のサイトURL、エクスポート日時などのメタ情報も含まれます。

設定のインポート

エクスポートしたJSONファイルをアップロードして設定を復元。ファイル形式の検証、プラグイン識別子の検証、許可されたオプション名のみインポートする3重のセキュリティ検証を実施します。

設定のリセット

全設定をプラグインの初期状態に戻します。確認チェックボックスとJavaScriptの確認ダイアログによる2段階確認で、誤操作を防止します。

管理画面

Eio WP Expansionの管理画面は、WordPress管理画面のトップレベルメニューからアクセスできます。