ねかつちう。

お金や節約に敏感な20代30代のための物欲系雑記ブログ

【WP5.0対応】Wordpressの導入時の手順とセキュリティ対策(まとめ)

こんにちは、ちうぱんです。

標題のとおりですが、Wordpressを導入する際に、最低限必要と思われる点をまとめます。

1.サーバーとドメインの設定

自宅サーバーを運用中など一部の人を除いては、Wordpressの利用にはレンタルサーバーを契約する必要があります。また、SEO対策やSSL対応(セキュア認証)のためにも、独自ドメインの使用を推奨します。

レンタルサーバーはロリポップ推し

Wordpress導入にあたって、まず悩むのがサーバー選びだと思います。この点について、よほど強いこだわりがないかぎり、ロリポップのスタンダードプランを推奨しておきます。理由は以下の3点です。

  1. 信頼性。GMO傘下で昔からあるレンタルサーバー業者です。Xserverと同様、ほぼ悪い評判は無く、最新技術へのキャッチアップも早いです。
  2. 安い。月額500円で100GBと大手では最低水準の月額費用で、機能の種類は上位プラン(エンタープライズ)と同じくフルスペック。Wordpressを30個もインストールできるのでいろいろやりたい人にも安心(さくらインターネットは20個まで)
  3. 安定して速い。スピードについてXserverと悩む人も多いと思いますが、Xserverは土日夜間にロリポップより遅くなるというベンチマークもあります(1サーバーあたりの利用者数が多いせいと思われる)。また、Wordpressの表示速度はサーバーの違いよりもサイトの内容のほうが明らかに影響します。

また、ロリポップはバックアップ機能が有料(300円)ですが、バックアップデータからいつでも自由に復元できます。Xserverはバックアップ機能が基本料金(1,000円~)に含まれていますが、バックアップデータの提供には1回5,400~10,800円かかる点にご注意ください。

ロリポップは契約前に10日間のお試し使用が必須となっており、詳しくは下記リンクを参照のこと。

ちなみに、ロリポップは試用期間経過後の契約申込みの場合、初回契約期間が6ヶ月固定となってしまうのでご注意あれ。試用期間内(10日以内)の契約申込みの場合には、契約期間を1ヶ月から36ヶ月まで選択可能です。

Wordpressのインストールは「簡単インストール」を利用する

サーバーを契約したらWordpressをインストールしますが、レンタルサーバー各社が用意している「簡単インストール」機能の利用をおすすめします。

手動でインストールするとWordpress公式からダウンロードした必要ファイルをサーバーに上げるだけで5分かかりますが、「簡単インストール」なら一瞬で終わります。

さらに、「簡単インストール」のもう一つの重要なメリットは、各種ファイルに適切なパーミッション(権限)が自動で設定されるという点です。パーミッションはセキュリティに関する重要な設定なので、自信の無い人は迷わず「簡単インストール」を使ってください。

また、「簡単インストール」を設定する際、「ユーザー名」という項目の入力を求められます。このユーザー名は好きに決めて問題無いんですが、手動インストールの場合は「admin」がデフォルト値として設定されています。ですから、世の中には「admin」というユーザー名(=WordpressへのログインID)の人がたくさんいます。adminというユーザー名は絶対に避けましょう。

f:id:nekatsu:20180204035313p:plain
簡単インストールならユーザー名(ログインID)を「admin」にしてしまう大失敗を防げる

いちおう「簡単インストール」のデメリットにも触れておくと、データベーステーブルの「接頭辞」を設定できません。具体的にどうなるかというと、自動的に「wp1_」という接頭辞が設定されます(数字部分はWordpressをインストールするごとに増えていきます)。

こちらの接頭辞も「wp1_」のままではセキュリティ的によろしくないのですが、プラグインを使って簡単に(一瞬で)変更できるのでご安心ください。詳しくは後述します。

手動でWordpressをインストールしたい場合

上でも書いたとおり、Wordpressのインストールは「簡単インストール」を推奨しますが、特に理由があって手動インストールが必要な場合、下記リンク先の手順を参考にしてください。

lolipop.jp

Wordpressの手動インストールでは、「データベース設定」が重要なので補足します。

最も重要なのが「テーブル接頭辞」の項目で、ロリポップのマニュアルでは「wp_のままで構いません」となっていますが、セキュリティの面でよろしくありません。テーブル接頭辞は、任意の文字列に変更しましょう。なお、テーブル接頭辞の末尾はアンダーバー以外でも問題ありませんが、接頭辞と後続の文字列を区別できるようにしましょう。

f:id:nekatsu:20181208121305p:plain

上記①~③の項目については、レンタルサーバーの設定画面から転記します。ロリポップを使用している場合、ユーザー専用ページの「サーバーの管理・設定>データベース」で確認することができます。

f:id:nekatsu:20181208121319p:plain

FTPの設定

手動でファイルのバックアップをとったり、Wordpressをカスタマイズするために必要な設定です。FTPを設定することで、サーバー内のファイルをダウンロードしたり、サーバー側にファイルをアップロードしたりできます。

わたしはAdobeのDreamweaverのFTP機能を使っていますが、Windows用のフリーソフトでは「FFFTP」が圧倒的に知名度があります。Macなら「Cyberduck」ですかね。

FTPの設定項目と推奨FTPソフトについてはロリポップのヘルプを見てください。

lolipop.jp

なお、Wordpressでたまに使う程度の目的であれば、FTPは多機能なものより操作がシンプルなものをオススメします。

接頭辞の変更

セキュリティ対策です。上で書いたとおり、「簡単インストール」を利用した場合、データベーステーブルの接頭辞が自動的に設定されてしまうので、変更しておきましょう。

とはいえ難しいことは全く無く、プラグインで簡単かつ一瞬で変更可能です。わたしは定評のある「All In One WP Security & Firewall」を使用しています。

プラグインの具体的な使用方法としては、ダッシュボードの「WP Security」>「Database Security」を選択し、下記画面にてランダムまたは任意の接頭辞を設定できます。

f:id:nekatsu:20180204041020p:plain
ランダムの場合は上のチェックボックス、任意の接頭辞を設定するなら下のテキストボックスに入力

プラグインで接頭辞の変更にエラーが出る場合の対処

ちなみに、上記のプラグイン設定で以下のエラーが出る場合、Wordpressファイルの一つである「config.php」のパーミッション(権限)に問題があります。すなわち、権限が厳しすぎて、プラグインが設定変更を書き込みできないという問題です。

The plugin has detected that it cannot write to the wp-config.php file. This feature can only be used if the plugin can successfully write to the wp-config.php file.

日本語に翻訳すると、「wp-config.phpファイルに上書きできませんでした。この項目はwp-config.phpファイルに正常にアクセス可能な場合のみ機能します」となります。

f:id:nekatsu:20180314044058p:plain
気付きづらいエラー表示なので見落としに注意

この場合、FTPソフトでwp-config.phpのプロパティを確認し、書き込み権限を有効にしてください(接頭辞の変更後は元に戻すのを忘れずに)。なお、wp-config.phpを直接編集する場合、Windowsのメモ帳は推奨されていないのでご注意ください。

f:id:nekatsu:20180204041955p:plain
Dreamweaverのプロパティ画面

ちなみに、config.phpはログイン情報に関わる重要なファイルで、これが壊れるとWordpressにログインできなくなります。日常的にいじるファイルではないため、ロリポップの簡単インストールでは最も厳格なパーミッション(400番読み取り専用)が設定されています。

独自ドメインの取得・設定

はてな等のレンタルブログと違い、Wordpressの初期URLはパスむき出し(http://サーバ名 / フォルダ名 / ファイル名)なので、ほとんどの使用者が独自ドメインを設定していると思います。

また、作成したWordpressサイトをSSL対応(セキュア認証)させるためにも独自ドメインの取得は必要です。SSL対応については後述します。

さて、ドメインの取得はどこの会社でもOKですが、レンタルサーバーをロリポップにするなら、系列会社の「ムームードメイン」 にしておきましょう。ムームドメインで取得した独自ドメインをロリポップで使用する場合、ムームードメイン側の設定変更が不要なので楽チンです。

系列会社のサービスを使っていれば、不明点をサポートに問い合わせる場合でも、より具体的な回答を期待できると思います。

独自ドメインを取得したら、そのドメインをレンタルサーバー側にも登録します。ロリポップの場合の設定方法は下記リンクを参照あれ。(なお、設定項目のうち、「公開アップロードフォルダ」には、Wordpressをインストールしたフォルダ名を入力してください)

lolipop.jp

ちなみに、独自ドメインの「取得」と「管理」は別モノなので、たとえば「お名前.com」で取得した独自ドメインを、ムームードメインの管理に移すこともできます(その逆も可能です)。その場合、ドメインの種類により異なる移管費用(.comなら1,280円)が必要となります。

ムームードメインでのドメイン取得

レンタルサーバーにロリポップを使うなら、ドメイン取得後の設定や管理の観点から、ムームードメインで新規ドメインを取得しましょう。

MuuMuu Domain!

新規にドメインを取得する際には、「WHOIS公開情報」と「ネームサーバ」の指定が必要です。

下の画像はムームードメインでのドメイン取得画面です。個人ブログであれば、WHOIS公開情報は「代理公開」にしておかないと身バレして困ります。また、ネームサーバは使用するレンタルサーバーにあわせて設定するので、上でも推奨したロリポップを使用するなら「ムームーDNS」を、さくらインターネットやXserverを利用するなら「GMOペパボ以外のサービス」を選択してください。

f:id:nekatsu:20181208074635p:plain

なお、ムームーメールなどのオプションサービスの契約は不要です。Wordpressの設定はいろいろやることが多いので、まずは必要最低限の環境を整えることが大切です。

独自SSL設定

作成したWordpressサイトをSSL対応(セキュア認証)するための設定です。SSL対応することでセキュリティが向上するわけではありませんが、ネット検索で少しでも上位を目指すなら、やらないよりやったほうがいいと思います。

というのも、2017年10月からGoogleがウェブサイトのセキュリティをより重視するようになり、SSL対応の有無を検索アルゴリズムで評価し始めました。また、Chromeブラウザでは、SSL非対応のサイトに対して、アドレスバーに警告を出しています。

f:id:nekatsu:20180204052320p:plain
Chromeブラウザの警告表示

WordpressサイトのSSL設定はレンタルサーバーの設定画面で行います。ロリポップであれば手順は非常に簡単で、1クリックで設定完了となります(下記ヘルプ参照)。

なお、SSLによるセキュア認証には、主に企業向けの有料プランもあり、認証のレベルが上がるほど高額な手数料が必要となるだけでなく、サイトの安全性を審査する手続きも厳格になります。ただし、個人ブログでGoogleの警告を回避する程度の目的であれば、無料SSLで問題ありません。

lolipop.jp

独自SSLを設定すると、WordpressサイトのURLが「http://」から「https://」に変わるので、あわせてWordpressの設定も変更してください。これについては後述します。

以上でドメイン及びサーバー関係の設定は完了です。お疲れ様でした。

2.Wordpressの設定

レンタルサーバーとドメインの設定まで終えたら、Wordpressの設定を変更します。後述しますが、Wordpressの初期設定はいろいろとトラップがあるので、ここは手を抜かずに対応していきましょう。

なお、Wordpressをあれこれカスタマイズするには、PHPに関する基本的な知識が必須です。Wordpressユーザー用のPHP教本として、下記の書籍が非常にわかりやすいのでご紹介しておきます。

Wordpressのダッシュボード(設定画面)にアクセスする

Wordpressの設定を行うため、まずはダッシュボード(設定画面)にアクセスします。

この段階ではWordpressに独自ドメインの設定をしていないため、ダッシュボードのURLは以下のとおりとなります。

http://(レンタルサーバーのドメイン)/(Wordpressをインストールしたフォルダ名)/wp-login.php

ロリポップの場合、ユーザー専用ページにログインする際に、ドメイン名の入力が必要になっているはずです(下の写真の赤枠部分)。また、ユーザー専用ページの「基本情報」欄でもドメイン名を確認可能です。

f:id:nekatsu:20181209023837p:plain

ニックネームとブログ上の表示名を変更する

まずは、セキュリティ向上のための設定変更です。

Wordpressには「ニックネーム」「ブログ上の表示名」という設定項目があり、これらは投稿者名としてブログに表示されたり、クラス属性としてHTMLソース内に記述されたりします。

そして恐ろしいことに、Wordpressの初期設定では、ニックネームとブログ上の表示名として、ログインIDが登録されています。つまり、デフォルト設定のままでは、ログインIDが誰からも丸見えという状態です。

f:id:nekatsu:20180314060214p:plain
ログインIDがadminの場合、上記のようになっているはず

これらの設定はダッシュボードの「ユーザー」>「あなたのプロフィール」から変更可能なので、利用開始前に設定を変えておきましょう。この項目はいつでも変更でき、変更に伴うデメリットも無いので、適当にauthorとかにしておけばよいでしょう。

投稿スラッグを変更する

続いてもう一つ、ログインIDバレを防ぐための設定です。

Wordpressには投稿者別のアーカイブページ(ある投稿者が執筆した記事だけを一覧表示するページ)がデフォルトで用意されているのですが、そのページのURLに「投稿者スラッグ」が含まれます。具体的には以下のようなURLとなります。

例)https://hogehoge.com/author/(投稿スラッグ)

そして恐ろしいことに、Wordpressの初期設定では、投稿スラッグにはログインIDが登録されています。いやこれ、Wordpressトラップ多すぎでしょ(滝汗

そこで、Edit Author Slugというプラグインを使用し、投稿スラッグを任意の文字列に変更します。

プラグインをインストールしたら、ダッシュボードの「ユーザー」>「あなたのプロフィール」の中に、Edit Author Slugという設定項目ができています。その中の「カスタム」に変更後の投稿スラッグを入力すれば完了です。

f:id:nekatsu:20180314095257p:plain
最新版では日本語化されています

設定が終わったら、ダッシュボードの「ユーザー」>「ユーザー一覧」で投稿者スラッグが変更されているか確認できます。

Wordpressアドレスとサイトアドレスの変更

独自ドメインでWordpressにアクセスするための設定です。

ダッシュボードの「設定」>「一般」に以下のような設定項目があります。

WordPressアドレス(URL)
Wordpressをインストールした場所です

サイトアドレス(URL)
サイトを表示するURLです

Wordpressアドレスは、Wordpressをイントールした場所のURLです。これを独自ドメインに修正することにより、ダッシュボードのURLが独自ドメインに変わります。

サイトアドレスは、ブログの公開アドレスです。これを独自ドメインに修正することにより、ブログのURLが独自ドメインに変わります。

Wordpressをインストールした直後だと、以下のような設定になっているかと思います(hoge.moge.jpの部分はレンタルサーバーのドメイン名です)。

f:id:nekatsu:20180314091252p:plain

これを取得した独自ドメインに修正します。上で書いた手順でSSL対応済みであれば、httpsのsを忘れないように注意してください。

【重要】この設定をした直後に画面がホワイトアウトする場合がありますが、「https://(設定した独自ドメイン)/wp-admin」にアクセスすればダッシュボードが表示されるので焦る必要はありません。

f:id:nekatsu:20180314091245p:plain

なお、Wordpress歴がそこそこ長い方はご存じだと思いますが、WordPressアドレスの設定を誤るとダッシュボードにアクセスできなくなります。これはわりと知られたトラブルなので、復旧方法は「wordpressアドレス」で検索すればすぐ見つかります。

パーマリンクの設定

パーマリンクの設定は、ダッシュボードの「設定」>「パーマリンク設定」から変更します。

パーマリンク設定は、ブログ開始直後に判断すべき重要な設定です。

パーマリンク設定とは、トップページ以下のURL構造を設定するもので、URLの中にカテゴリーを含めたり、投稿日を含めたり、かなり自由に設定できます。

あまりに自由なので、むしろ何がベストなのか困ると思います(汗

SEO的には「記事ページのURLにカテゴリー名を含めるのが望ましい(検索エンジンがサイトの構造を理解しやすい)」という意見も多いですが、投稿後にカテゴリーを変更するとURLも変わってしまうという致命的なデメリットがあります。Wordpressには自動でリダイレクト(新しいURLに転送)する機能は無いため、当該ページへのサイト内リンクを修正する作業が面倒ですし、さらには、SEO的に重要な外部リンク評価も諦めなくてはなりません。

パーマリンク設定については、人により考え方が異なるので、どのような設定をするにせよメリット・デメリットがあることを踏まえて、自分で判断してください。

ちなみに自分は、パーマリンク設定を「投稿名」にしたうえで、記事ごとにアルファベットの「投稿スラッグ」を設定しています。

f:id:nekatsu:20181209035003p:plain

パーマリンク設定を「投稿名」にしたときのメリデメは以下のとおりです。

【メリット】パーマリンク設定を「投稿名」にしておけば、何らかの都合により記事をエクスポートした際、エクスポート先でURLがバッティングする可能性が少なく、また、リダイレクト設定(新しいURLへの転送)も比較的容易です。

【デメリット】パーマリンク設定を「投稿名」にした場合、記事ごとに、日本語の記事タイトルとは別に「投稿スラッグ」を設定する必要があります。「投稿スラッグ」とは、URLに含める記事タイトルのことで、デフォルトでは「記事タイトル=投稿スラッグ」ですが、記事タイトルが日本語の場合、投稿スラッグが文字化けします。

ちなみに、世の中には便利なプラグインを作ってくださる方もいらっしゃって、「Simple Slug Translate」というプラグインは、日本語の記事タイトルの英訳し、それを投稿スラッグに設定するまでの作業を、全自動で処理してくれます(自分は使っていないので推奨はしませんが、参考として紹介しておきます)。

テーマの設定

ダッシュボードの「外観」>「テーマ」から、使用したいテーマを選びます。

初期状態ではWordpress公式テーマが3つほど登録されています。「新規追加」から好みのテーマをダウンロードするのもいいでしょう。

テーマをカスタマイズして自分好みのデザインに育てたいなら、Wordpress公式のTwenty Twelveを推奨します。

f:id:nekatsu:20180318140854p:plain

Twenty Twelveは最もシンプルかつオーソドックスな2カラム構成のテーマであり、カスタマイズのベースとして使うには最適です。また、Wordpress公式のためネット上の情報量が多く、困ったときに解決策を検索しやすいのも大きな魅力です。

ちなみに、AFFINGERやSTORKなどの有料テーマが1~2万円程度で販売されていますが、機能満載っぽく見えても、大半は無料プラグインで同等のことが可能です。あえてメリットがあるなら、オリジナルのアイコンやバナーが使えることくらいだと思います。ブログカスタマイズには一切時間を使いたくない!という人は別として、あれこれカスタマイズしていくなら、結局はTwenty twelveに戻ってきてしまうような気がします。

子テーマの作成

使用するテーマを選んだら、即座に子テーマを作成します。

子テーマは手動でも作れますが、Child Theme Configuratorというプラグインを使用すれば一瞬で完了します。

プラグインのインストール後、ダッシュボードの「ツール」>「Child Themes」を開くと、小テーマの新規作成画面が現れるので、以下のとおり設定します。

f:id:nekatsu:20180318134010p:plain

(1)Select an action: CREATE a new Child ThemeのままでOK

(2)Select a Parent Theme: 親テーマを選びます

Analyzeボタンを押すと、続きの設定項目が現れます

f:id:nekatsu:20180318134423p:plain

(4)Name the new theme directory: 子テーマを作成するフォルダ名です。初期状態のまま(親テーマ名-child)でよいでしょう

(5)Select where to save new styles: 子テーマのスタイルの保存先を選びます。ここは基本的にPrimary Stylesheet(style.css)でOKです。なお、Separate Stylesheetを選択すると、子テーマの中にstyle.cssとは別にctc-style.cssというスタイルシートが作成されます。何らかの理由でスタイルシートを分けたいときに選んでください。

ここは少し複雑なので英文の説明を補足付きで和訳しておきます。

Primary Stylesheet(style.css)

Save new custom styles directly to the Child Theme primary stylesheet, replacing the existing values. The primary stylesheet will load in the order set by the theme.
新しいスタイルを子テーマのスタイルシート(style.css)に上書き保存します。子テーマのスタイルシートはテーマによって設定された順序でロードされます(スタイルシートは親テーマ→子テーマの順で読み込まれる設定になっています)。

Separate Stylesheet

Save new custom styles to a separate stylesheet and combine any existing child theme styles with the parent to form baseline. Select this option if you want to preserve the existing child theme styles instead of overwriting them. This option also allows you to customize stylesheets that load after the primary stylesheet.
新しいスタイルを(子テーマのstyle.cssとは)別のスタイルシート(ctc-style.css)に保存し、既存の子テーマスタイル(style.css)を親(テーマのスタイルシート)と組み合わせてベースラインを作成します。既存の子テーマスタイルを上書きするのではなく、保存する場合は、このオプションを選択します。このオプションでは、子テーマのstyle.cssの後にロードするスタイルシート(ctc-style.cssのこと)をカスタマイズすることもできます。

(6)Select Parent Theme stylesheet handling: スタイルシートの読み込み順序を指定します。基本的にUse the WordPress style queueのままでOKです(Wordpress標準の読み込み順序に従うという設定です)。

(7)Customize the Child Theme Name... 子テーマのテーマ名などの設定項目ですが、特にこだわりが無ければ変更する必要はありません

(8)Copy Menus, Widgets and other... 親テーマに適用されているメニューやウィジェットの設定を引き継ぐ設定です。子テーマを最初に設定するときのみチェックが必要という注意書きがあるので指示に従いましょう(なぜデフォルトでチェックが入っていないのか疑問ですが)

(9)すべての設定を終えたらCreate New Child Themeボタンを押します

3.リダイレクト(URL転送)

新たにWordpressサイトを立ち上げる場合には不要ですが、既存サイトからの引っ越しの場合、SEO対策のためリダイレクト(URL転送)を設定する必要があります。

レンタルブログからのリダイレクト設定

Wordpressサイト間での引っ越しの場合には、プラグインを使って簡単にリダイレクトを設定できますが、多くのブロガーさんの場合、レンタルブログからWordpressに乗り換えるケースがほとんどだと思います。

リダイレクトの方法にもいくつかありますが、恒久的なURLの移転の場合、「301リダイレクト」を設定するのがベストです。

しかしながら、301リダイレクトの設定には「.htaccess」というウェブ制御ファイルの書き換えが必要となるため、レンタルブログからの引っ越しでは301リダイレクトが使えません。

そこで、記事ごとにリダイレクトを設定する方法を下記ページにまとめています。リンク先の事例では、Seesaaブログから他のレンタルブログにリダイレクトする方法を掲載していますが、移転先がWordpressでも手順は同様かと思います。

www.nekatsu.com

上記の方法は、meta refreshとrel="canonical"による「疑似301リダイレクト」とも言うべき方法で、google検索による被リンク評価の引き継ぎに関して、301リダイレクトと同様の効果を持つものとされています。

こちら、記事ごとにリダイレクトを設定する方法ですので、記事数が多いほど手間がかかります。しかし、被リンク評価をゼロから再構築するより遥かに効率的なので、人気記事から優先して作業していきましょう。

自分も実際にこの方法を試してみましたが、リダイレクトを設定して数日後には、再び検索上位でヒットしました。リダイレクト前の2位から5位へと、若干順位を落としたものの、期待どおりの効果と考えてよいかと思います。

www.nekatsu.com

4.プラグイン

Wordpressは基本的に、テンプレートに「条件分岐」と「ループ」をコーディングして、カスタム3要素(ポスト、タクソノミー、フィールド)を使いこなせば、やりたいことの大部分はできてしまうと思います。

しかし、function.phpへの書き込みや、独自にデータベーステーブルを作成するような、ちょっと複雑な処理が必要な場合には、自力でやるとバグチェックだけで多くの時間を費やすことになります。(ダッシュボードをいじるようなWordpress本体のカスタマイズになると、素人レベルではまったく手に負えないと思います)

そこで以下では、どのようなWordpressサイトを作るにせよ、必須で入れておきたいプラグインを列挙していきます。

セキュリティ

Akismet Anti-Spam

【WP5.0対応】Wordpressに標準インストールされているスパム対策プラグイン。非営利使用なら無料。

All In One WP Security & Firewall

【WP5.0未検証】有名なセキュリティ対策プラグイン。セキュリティの強度を視覚的に確認できるのが長所。このプラグインを使えば接頭辞の変更も簡単です。使い方は上述のとおり。

Edit Author Slug

【WP5.0未検証】投稿者スラッグの変更が可能。ログインIDの漏洩に有効。使い方は上述のとおり。

エディタ

Disable Gutenberg

【WP5.0対応】新エディタ(グーテンベルク)を使いたくない人のためのプラグイン。

TinyMCE Advanced

【WP5.0非対応】最も有名なエディタ拡張プラグインだったが、新エディタ(グーテンベルク)の登場により役目を終えただろう。

ブロック(WP5.0以降)

Wordpress5.0で導入されたブロックエディタでは、美しくデザインされた「ブロック」がプラグインとして提供される。CSSでのカスタマイズに比べて格段に容易なため、Wordpressの強力な武器になるだろう。

 Atomic Blocks - Gutenberg Blocks Collection 
Stackable - Gutenberg Blocks

投稿・カテゴリー

Custom Post Type UI

【WP5.0未検証】カスタム投稿とカスタムタクソノミーを作成するプラグイン。なお、これに加えてカスタムフィールドの作成も可能なToolset Typesという高機能なプラグインもあるが、そのうち有料化をにおわせる表示があったり、やや動作の安定性に不安を感じることから使っていない。

Advanced Custom Fields

【WP5.0未検証】カスタムフィールドを作成するプラグイン。

Intuitive Custom Post Order

【WP5.0未検証】記事やカテゴリーをドラッグアンドドロップで並び替えできるようになる。カスタム投稿やカスタムタクソノミーにも対応。同種のプラグインでCategory Order and Taxonomy Terms Orderも有名だが、記事の並び替えに対応している点でIntuitive Custom Post Orderのほうが優秀。

ウィジェット

Enhanced Text Widget

【WP5.0未検証】テキストだけでなく、HTML、CSS、JavaScript、Flash、ショートコード、PHPを実行可能なウィジェット。

Black Studio TinyMCE Widget

【WP5.0対応】TinyMCEを使ってテキスト編集できるウィジェット。

List category posts

【WP5.0対応】特定のカテゴリーやタグの記事一覧を表示するウィジェット。また、ショートコードで記事中にカテゴリー記事一覧を表示させることも可能。

その他

WP Multibyte Patch

【WP5.0対応】Wordpressを日本語で使用するためのプラグイン。Wordpress5.0では標準インストールされないようだが必須。

Child Theme Configurator

【WP5.0未検証】子テーマを作成するためのプラグイン。使い方は上述のとおり。

【WP5.0対応】パーマリンク設定に関わらず、記事ごとにURLを自由に設定できる。標準投稿だけでなく、カスタム投稿にも対応している(カスタム投稿のURLからカスタム投稿スラッグを除きたい場合などに便利)。