WordPressのカスタムでやってはいけない危険なこと

WordPressは手軽にカスタマイズできるブログ運営ツールです。

手軽ですが、カスタマイズには危険なやり方や、安全なやり方があります。
危険なやり方でカスタマイズをすると危険を招く結果になりかねません。

なにが危険なのか?

WordPressにおいて危険といえば権限なしに、データを改ざんされることです。

通常のやり方でカスタマイズするには問題はありません。
しかし、プラグインを利用して、直接Wordpressが動いているphpコードを動かせるようにするやり方は大変危険なのです。

phpコードがそのまま動けば確かに便利かもしれません。
便利とはリスクがつきものです。

車も安全に運行できれば便利な乗り物ですが、危険な人物が使えば人殺しの道具にもなります。

WordPressはデータベースを使っているのでショッピングサイトなども簡単に作れてしまいます。
そのため、phpコードが投稿などで使えるとデータベースを直接読み出すコードを書けば、管理情報や顧客情報、非公開情報などあらゆる物が見えてしまいます。

WordPressは世界中で使われているツールです。
ということは世界中から狙われる危険があるということも考えておかなければいけません。

phpコードを安全にWordpressで使う方法

phpコードを安全に使える方法をWordpressには存在します。

プラグインを使わずに純正で使えるのです。

それはショートコードです。
ショートコードとは、独自に追加できる機能といえばいいでしょうか。

テンプレートファイルのfunction.phpに追加する形で使えるようになります。

賢威もいろいろなコードが追加されているので、研究すればいろいろなことが出来るようになります。
管理画面に切り替えスイッチをつけて本文の内容を制御するなんてことも出来てしまいます。

ここで僕がよく使うショートコードを１つご紹介します。

function shortcode_url() {
return get_bloginfo(‘url’);
}
add_shortcode(‘url’, ‘shortcode_url’);

このコードは投稿や固定ページないで［url］と書くとサイトアドレスに変換してくれます。

テンプレート内ではbloginfo(‘url’);がよく使われますが投稿内でも使えるようにした物です。