多くのWordPressプラグインが使用データを収集する権限を求めていることにお気づきでしょうか。最近、ある読者から、これがサイトのセキュリティやプライバシーにとって安全かどうかという質問がありました。
開発者がなぜデータを収集したがるのか、どのようなデータを収集するのか、不思議に思うかもしれません。私たちのチームはいくつかの無料プラグインに貢献し、多くの主要なプレミアムプラグインと密接に協力しています。
この投稿では、プラグインにWordPressサイトのデータを収集させることの長所と短所を探ります。潜在的なリスクを検証し、得られるかもしれない利点を説明し、セキュリティ上の脅威が許容できない場合を認識できるようにします。
どのWordPressプラグインがサイトからデータを収集するか?
ほとんどのプラグインはWordPressサイトからデータを収集することはありません。しかし、プラグインによっては、プラグインを改良するために、匿名の使用データを開発者と共有するよう求める場合があります。
例えば、WPFormsプラグインのMiscellaneous Settingsページに、’Allow Usage Tracking’というオプションがあります。
利用データのトラッキングを許可することで、どのWordPressの設定、テーマ、プラグインをテストすべきかを知ることができ、より良いお手伝いができます』と説明されています。
プラグインのレビューを残すのと同様に、評判の良いプラグインと匿名化されたデータを共有することは、プラグイン開発者をサポートする有用な方法です。
WordPress.orgの規則では、すべての無料プラグインは、このような使用状況のトラッキングを有効にする前に、ユーザーの同意を得なければならないことが必須となっているため、あなたが特に許可しない限り、誰もあなたのサイトのデータを収集することはありません。
さて、プラグイン開発者に役立つ使用データの種類について知りたいと思うかもしれない。
プラグインによって収集された使用状況データはどのように使用されますか?
プラグインから収集するデータの種類や、そのデータをどのように使用して製品を改良しているかなど、私たちの見解をお伝えすることはお役に立てるかもしれません。
WPBeginnerを運営するAwesome Motiveは、2500万以上のサイトで使用されている無料およびプレミアムWordPressプラグイン群を開発しています。
プラグインには、OptinMonster、MonsterInsights、WPForms、SeedProd、WP Mail SMTP、RafflePress、All In One SEO、Smash Balloonなどがあります。
一部のプラグインでは、匿名での利用トラッキングを有効化するオプションを提供しています。これは各プラグインを改善し、将来の機能開発についてより良い決定を下すのに役立ちます。
当社が収集するデータは常に匿名です。あなたのサイトとは一切関係ありません。例えば、以下はOptinMonsterのその他の設定ページのスクリーンショットです。
私たちが収集するデータは遠隔測定と考えることができます。これにより、プラグインがどのように使用されているかをリアルタイムでモニターすることができます。
私たちは、あなたの特定のサイトではなく、私たちのユーザー全体でプラグインがどのように使用されているかを見ていることを理解することが重要です。
つまり、syedbalkhi.comのような特定のサイトで実行されている設定やプラグインを知ることはできません。しかし、例えば、私たちのプラグインの特定のバージョンをインストールしているWordPressユーザーの割合を知ることはできます。
また、WordPressホスティングサービスプロバイダーが使用しているWebサーバー環境(PHPバージョン、MySQLバージョン、ロケール/言語など)に関する情報を収集することも有益です。
これにより、ユーザーの間で最も人気のあるバージョンのプラグインをテストすることができます。また、古いバージョンを安全に非推奨にすることで、コーディング標準を向上させることができます。
例えば、下の図は、あるプラグインユーザーが使用しているPHPのバージョンを示しています。この図から、PHP 5.5を使用しているユーザーはごく少数であることがわかり、このバージョンのPHPのサポートを非推奨にするかどうかを決めるのに役立ちます。
また、どのプラグイン機能が使用されているか、どの設定が有効化されているかにも関心があります。この情報によって、どの機能がうまくいっていて、どの機能がうまくいっていないのかがわかります。
さらに、WordPress業界で頻繁に起こる、プラグインの更新が他の人気プラグインとの競合につながらないように、クロスプラグインとテーマの互換性を向上させるために集約されたデータを収集しています。
繰り返しますが、これはすべて一般的で集計されたデータであり、あなたやあなたの特定のサイトに結びつくものではありません。
お客様のサイトの訪問者、カスタマイザー、その他個人を特定できる情報を収集することはありません。
WordPressプラグインによるサイトからのデータ収集を許可すべきか?
利用データを共有することがプラグイン開発者にとって有益であることがお分かりいただけたところで、プラグインがWordPressサイトからデータを収集することを許可すべきかどうかという疑問にお答えします。この判断はケースバイケースで行う必要があります。以下にガイドラインを示します。
匿名利用トラッキング
評判の良いプラグインがあなたのサイトから匿名でデータを収集する場合、通常、使用データを開発者と共有しても安全です。
投稿者の評判を調べることができる。人気のあるプラグインであれば、責任を持ってデータを収集し、使用してくれると確信できます。作者に連絡を取り、収集したデータをどのように使用しているか尋ねてみるのもいいだろう。
また、あなたのサイトに必要な機能を追加するためにプラグインに依存している場合、匿名の使用データを共有することで、開発者がプラグインを改善し、機能を追加するのを助けることができます。
サイトやメールアドレスに紐づくデータ
しかし、すべてのデータが匿名で収集されるわけではありません。例えば、あなたの利用活動を特定のサイトや個々のメール・アドレスに結びつけるプラグインがあるかもしれません。
このような場合は注意が必要です。通常、サイトに関するこのような詳細な情報をサードパーティのサービスと自由に共有するのは良い考えとは言えません。
さらに詳しく知りたい方は、WordPressセキュリティのベストプラクティスに関するガイドをご覧ください。
無効または海賊版プラグイン
また、サイトを安全に保ちたいのであれば、無効化されたテーマやプラグイン、プレミアムWordPress製品の海賊版は決して使用すべきではありません。
それは、それらがどのように変更されたかを知る方法がないからです。権限なしにあなたのサイトに関する機密情報を収集するかもしれません。ユーザーにマルウェアをばらまいたり、ハッカーにサイトにアクセスさせたりする可能性もあります。
無効化されたプラグインや海賊版プラグインは深刻なセキュリティリスクをもたらします。そのため、無効化または海賊版のプラグインやテーマからのデータ収集を決して許可しないことをお勧めします。詳しくは、無効化されたWordPressテーマやプラグインを避けなければならない理由についてのガイドをご覧ください。
このチュートリアルで、プラグインがサイトからデータを収集する権限を与えるべきかどうかを学んでいただけたと思います。また、古い WordPress プラグインを使用しても安全かどうかや、マルウェアを検出するために最適な WordPress セキュリティスキャナのエキスパートセレクションもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Mrteesurez
Thanks for the explanation.
I just learnt the reasons behind collecting user’s data and the benefits therein for the developer and users. I see it beneficial and appropriate to share it with only the premium plugins or with developers you have know for too long in the industries, we should not us our personal preferences to forfeit their growth potential and benefits it has for we users.
Moinuddin Waheed
As long as the data the plugin is asking doesn’t affect the business and its operations and the collected is used for improving the product, I think we should give the consent to collect the data.
It should be noted that we should allow collection of data to only those plugins that are industry standards and we are sure that they are not going to misuse our data.
Dennis Muthomi
personally, I lean towards not allowing any plugins to collect usage data from my sites, even if it’s anonymous…call me paranoid, but I just feel better keeping things completely self-contained, you know?
that said, you make a fair point about sticking to industry leaders if allowing data collection. Shady or sketchy plugins are definitely not worth the risk.
At the end of the day, it’s a personal preference thing based on how comfortable you are with sharing any kind of data.