WordPressの魅力の一つとしてノンプログラマーであっても豊富なテーマやプラグインを利用する事で簡単に機能拡張を行えることがあります。
ただし、多くのプラグイン作者が日本語圏外のため、情報が英語で提供されているため理解に時間がかかったり、ということがあります。

試しに「WordPress  プラグイン」で検索すると「WordPressのおすすめプラグイン○選」という様な記事がたくさん出てきます。
こういった記事を参考にプラグインを選定する方も多いと思いますが、本当に「おすすめ」できるプラグインなのでしょうか？

今回はノンプログラマーでもできるプラグイン選定時の注意点や「おすすめできない」プラグインをご紹介します。

プラグイン選定時の注意点

先日、宮内さん（@miya0001）さんが

• 無料のWordPressテーマをググって使うのは超ハイリスクなので気をつけよう！ | firegoby
• ヤバイWordPressテーマを見分けるための方法 | firegoby

という怪しいテーマのリスクや見分け方について書かれました。

プラグインに関しても本質は同じですので、リンク先の記事の「テーマ」を「プラグイン」に置き換えて読まれることをおすすめします。
完璧に見分けようと思うと、やはりソースを読んで確認するしか無く、特にノンプログラマーの方には難しいと思います。

すっかり宮内さんの記事と同じになりますが、

• WordPressのコアファイルの書き換え（置き換え）を必要としている
• 作者とコンタクトが取れない
• 公式ディレクトリで配布されていない（ただし全てがダメとは限らない）
• 公式ディレクトリで配布されていても、更新されていない

といったプラグインはおすすめできません。

公式ディレクトリで配布されていても・・・

今年の5月ぐらいから公式のプラグインディレクトリでは2年以上更新されていないプラグインについて注意（Notice）が表示されるようになりました。

2年も更新されていないということは、その間に見つかった脆弱性に対応していなかったり、最新版のWordPressに対応していない可能性があります（2年前の2010年となるとWordPress 3.0がリリースされた年で、その後WordPress 3.2で動作要件（PHP、MySQL）が変わりました）。

また、審査を通り更新されていても、他のプラグインやテーマとコンクリフトを起こすものもありますし、ひどい場合ですとインストールすることでセキュリティのリスクを高めるプラグインもあります。

こうしたプラグインの全てを調べた訳ではありませんが、自分でソースコードを読んで確認するスキルがない場合は、避けた方がよいでしょう。

具体例を挙げてみよう

そんな訳で私個人が自分で使ってみて「コリャダメだ」と思ったプラグインを書いていきたいと思います。

Exec-PHP、runPHP、PHP Code Widget

Exec-PHP、runPHPは投稿画面で、PHP Code Widgetはウィジェット内でPHPコードを書いて実行できるようにできるプラグインです。
良く「投稿画面でPHPコードを書けるので記事内に投稿の一覧を埋め込めます」や「中級者以上には必須」といった紹介がされていますが、そうとは思いません。
誰でもPHPコードが書けるというのは、それだけでセキュリティのリスクが高くなります。加えて、簡単に言うと1文字タイポするだけで真っ白な画面（500エラー）になります。
個人の責任で運用するのであればそれまでですが、請負案件であったり、不特定多数あるいはPHPに詳しくないユーザーがいることを考慮すればインストールはおすすめできません（人間誰しもミスはします）。

どうしてもPHPコードを書く必要があるのであれば、テンプレートファイルに書いたり、プラグインを作ったり、ショートコードで実現しましょう。むしろ、PHPでコードが書けるのであれば難しいことではないと思います（例えば私のブログでは指定カテゴリーの記事リストを出すショートコードや指定日時によって表示内容を変えるショートコードを紹介しています）。

brBrbr

このプラグインはWordPress本体のファイル（コアファイル）の書き換えを必要としています。
このプラグインに限りませんが、コアファイルの書き換えは絶対にやってはいけません（もっとも、あなたがセキュリティの専門家であり、WordPressがアップデートする度に自分が変更した箇所を覚えていて、アップデートで元に戻った部分を再度変更するならば「自己責任」だと思いますが）。

他に問題はあります。このプラグインを有効化しているとWordPress3.4から可能になったTwitterのツイートの埋め込みができなくなります（プラグインのソースコードを改変すれば可能と作者が紹介されていますが、それもどうなんでしょう）。
これは、WordPressが行う投稿の整形時の処理を改変しているからなのですが、このせいで他にも以下の様な現象があります。

@gatespace_k 私の過去のメモが発見されました→「brBrbrを使っている限りビジュアルエディタとHTMLエディタを行き来すると残念なことになります。特に、ul>li, ol>li　まわりで。。。。」よかったら使ってくださいませm(_ _)m

— Kさん@まいぺーす() (@mypacecreator) October 17, 2012

また、携帯電話での閲覧向けプラグイン「Ktai Style」ではサポートされていません。
http://ja.forums.wordpress.org/topic/3386

コアファイルを改変せずとも改行を維持するプラグインは他にもありますので、必要であればそういったプラグインを利用した方がよいでしょう。

もっとも（どのバージョンだったからは失念しましたが）WordPress3.4ではビジュアルエディタで連続した改行を入れても、適宜 が挿入され改行は維持されます（HTMLエディタではダメですが、ビジュアルエディタに戻れば大丈夫です）。

Category Order

既に2年以上開発されていません。同様の機能を有しカスタム分類にも対応した「Category Order and Taxonomy Terms Order」を利用した方がよいでしょう。

PS Auto Sitemap、All in One Sub Navi Widget、Prime Strategy Bread Crumb、Prime Strategy Page Navi、Meta Manager

みんなのまがりんこと大曲さん（@jim0912）の作成されたプラグインですが、決してdisってる訳ではありません。というのは、これらのプラグインの機能が統合＋デバイス判定とテーマ切り替え機能がついたプラグイン「WP SiteManager」がリリースされていますので、個別にインストールするよりはこちらを利用する方が良い思います。

• http://wordpress.org/extend/plugins/wp-sitemanager/
• http://www.wp-sitemanager.com/

他にも「これはちょっと」というプラグインはあるでしょうが、自分で検証していない・根拠を持って問題点を指摘できない以上、責任は持てませんので書いていません。

今回このような記事を書きましたが、（私の記事を含め）他人の記事を鵜呑みにするのではなく、しっかりと自分で検証・確認できる目を養うことが一番だと思います。

あわせて読みたい

• 無料のWordPressテーマをググって使うのは超ハイリスクなので気をつけよう！ | firegoby
  ヤバイWordPressテーマを見分けるための方法 | firegoby
  先にも紹介した怪しいテーマのリスクと見分け方。
• Yuriko.Net » 使うべきでないプラグイン12選
  4年前の記事ですが、セキュリティなどの観点から使うべきでないプラグインを指摘されています。
• 怪しい WordPress テーマ・プラグイン・ブログ記事を見分けるための小ネタ – ja.naoko.cc
  WordPressに関する怪しい情報を見分けるポイントとして、ロゴ規定や商標をあげています。
• WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目 | WP-D
  私の今回の記事からはそれますが、WordPressのセキュリティ対策について。鉄板です。これを読むと巷にあふれている「WordPressセキュリティ対策」が意味のないものが多いことが分かると思います。

• 2012.10.18追記：おすすめできないプラグインとして「runPHP」を追加しました。