マトモなWordPressプラグインを見分けるための簡単そうで簡単でないTips

初日のたいさんの記事@tekapo)に引き続きWordPress Advent Calendar 2011の二日目です!

WordPressの人気を支えている重要な要素の一つが豊富なプラグインの存在です。

今日は、この豊富なプラグインの中からマトモそうなプラグインとそうでないプラグインを見分ける方法をご紹介します。

デバッグモードで確認

テスト環境があるのなら、プラグインをインストールする前にテスト環境をデバッグモードにして警告が出ないかを確認しましょう。

define("WP_DEBUG", true);

一見、動作に問題なさそうでも、デバッグモードを有効化すると潜在的なエラーが見つかることがあります。

デバッグモードでエラーを出力するプラグイン

判断はいろいろでしょうが、私に関して言えば、デバッグモードでエラーが出るプラグインを本番環境で使用することはありません。ありえないです。

Plugin-Check プラグインによる確認

先日、Theme-Checkプラグインというテーマの動作確認をするためのプラグインをご紹介しましたが、このプラグインはプラグインの動作チェックを行うためのプラグインです。

WordPress › Plugin-Check « WordPress Plugins

このプラグインをインストールするには、Theme-Checkも同時にインストールする必要があります。

Theme-Checkがインストールされていないと何も警告を出してくれないという、なんともな仕様なのでご注意を。

早速実際にテスト

このプラグインでテストすると有名なプラグインでも以下のように盛大に警告が出るものも!

テストは有効化していないプラグインに対しても行なってくれます。

警告を見ると、互換性に問題がある関数が使われていたり、システムコマンドが発行されていたり、ini_set()をプラグインの中で実行しているのがわかります。

ini_set()とかをプラグインでされちゃうと、なにか不具合があったときに原因を調べるのが難しくなりますよねー。ふーん。

実験台にしたBuddyPressは超有名なプラグインなので悪意があるとは思いませんが、これはちょっとって感じかな。

マルウエアやワームも検出しようと努力してくれてます。

Plugin-Checkプラグインは、マルウエアやワームがよくやる手口も検出してくれています。

ワームっぽいプラグインを実際に作ってテストしてみた。

警告の中に”Tells a hacker …”で始まるものがあったら要注意です。

動作確認からセキュリティのチェックまでまとめてお任せできるので頼もしいですよね。

 警告見たって意味が分かんねー!

うーーーん。プログラマ以外には意味分かんないですよねー。…

1行ずつエラーメッセージを読んでいくしかないのですが、あまりユーザーがいないプラグインでWARNINGとかREQUIREDとか書いてある警告が出る場合には、慎重になったほうがいいと思います。

というわけで、プログラマーによっては、めっちゃわかりやすいプラグインなのですが、そうでない人には判断が難しいかもです。

次はりえさんだ!

というわけで次のWordPress Advent Calendar 2011はWordCamp Kobe 2011の公式サイトをデザインしたりえさん(@rie05)です。