自動挿入されるoEmbed用コードを削除するプラグイン「Disable Embeds」

2016年8月16日

CMS「WordPress」で自動挿入されるoEmbed用コードを削除する方法に関する内容

 oEmbed用コードって何?

WordPress で自動的に挿入される他のサイトがリンクのために使用するメタデータです。

WordPress のバージョン4.4では埋め込み機能が強化され、他のウェブサイトからのoEmbed要求に対応できるようになりましたが、対応するためにhead部分にメタタグが自動的に挿入されるようになったほか、ウェブページのタイトルや抜粋を含むメタデータが生成されるようになりました。

(参考:Version 4.4 – WordPress Codex 日本語版

自動挿入されるメタタグ


<link rel='https://api.w.org/' href='http://www.webcontent.jp/wp-json/' />
<link rel="alternate" type="application/json+oembed" href="http://www.webcontent.jp/wp-json/oembed/1.0/embed?url=http%3A%2F%2Fwww.webcontent.jp%2Fno-cache-rss%2F" />
<link rel="alternate" type="text/xml+oembed" href="http://www.webcontent.jp/wp-json/oembed/1.0/embed?url=http%3A%2F%2Fwww.webcontent.jp%2Fno-cache-rss%2F&#038;format=xml" />

なぜ削除する必要があるの?

oEmbedはこれまで面倒だったウェブサイトへのリンクを簡単にする大変便利な機能で、WordPress であれば編集画面にリンク先のURLを入力するだけで次のようなブログカードに整形表示されます。

問題はインラインフレーム(iframe)を使用していること、生成されるメタデータに投稿者アーカイブへのURLが含まれることです。

インラインフレームよって生じる問題

インラインフレームは他のウェブサイトのコンテンツを自らのサイト埋め込む仕様のため、インラインフレームを埋め込んだサイトにアクセスが生じると、リンク先サイトにも自動的にアクセスが発生します。

埋め込まれたページ数が少数であれば問題ありませんが、その数が増えるとサーバの負荷が増大する問題が発生します。特に、アクセス数の多いサイトに埋め込まれた場合は膨大なアクセスが予想されるため、無効化した方が良いでしょう。

投稿者アーカイブのURLが含まれる問題

リンクに必要なデータはリンク先のサイトで生成されますが、Wordpress が生成するデータには投稿者アーカイブへのURLが含まれる仕様となっています。

投稿者アーカイブへのURLにはユーザ名が含まれるため、管理画面に対するブルートフォースアタックの成功率が上昇する要因となりえます。ユーザ名が知られてもパスワードの強度が十分であれば問題ないのですが、知られないに越したことはないでしょう。

ここでは記載していませんが、SSLに対応したサイトの場合など他にも問題があるようです。

参考:WordPress 4.4で追加されたoembedでの埋め込み機能 – 阿Q論

Disable Embedsって何?

Disable Embeds は自動挿入されるoEmbed用コードを削除するWordPressプラグインです。

正確には削除するのではなく、機能自体を無効化しますが、埋め込みを使わないのであれば問題ないでしょう。

インストールして有効化するだけ

Disable Embeds は「インストール」し「有効化」するだけで動作し、設定は不要です。

そのため、設定画面はなくシンプルで初心者にもオススメです。

インストール方法

Disable Embeds をインストールする方法は

  1. 公式サイトからダウンロードし、Wordpressにアップロードする方法
  2. WordPressに直接ダウンロードしインストールする方法

の2種類があります。利用者の環境に合わせて選択してください。

公式サイトからダウンロードしアップロードする方法

公式サイトにアクセスからDisable Emojis をダウンロードする

WordPressに直接ダウンロードしインストールする方法

「Disable Embeds」で検索する

WordPress

Posted by birdone