無料で使えるWordPresssの脆弱性スキャン・対策まとめ

WordPress(ワードプレス)やプラグイン、テーマには結構な頻度で脆弱性が発見されています。

脆弱性はそのまま放置しておくと、大事に運営しているサイトがウイルスやマルウェアに感染してしまったり、乗っ取られてしまったりします。

そのため基本的にWordPressはプラグイン、テーマ含め最新版を維持する事が大切とされていますが、初心者や素人の方は未だにきちんと管理しないまま、かなり危険な状態でサイトを公開しているケースが目立ちます。

そこで無料で誰でもできる脆弱性対策をまとめました。

WordPressプラグインを使った脆弱性スキャン

WPScan

WPScanという無料プラグインがあります。これを使うとインストールされているプラグインやテーマ、WordPressバージョンで脆弱性があるかどうかを判別してくれます。

実際の様子は上記スクリーンショットを参考にしてください。通知設定を行うと脆弱性が見つかった場合にメールを自動送信する事もできます。

WPScan
Scans your system for vulnerabilities listed in the WPScan Vulnerability Database.

ただしスキャンが目的で脆弱性があった場合に対処される訳ではないので、Wordfence等のセキュリティプラグインと併用して使用してください。

オンラインによる脆弱性スキャン

最も簡単なのは上記のWordPressプラグインを利用する事ですが、こういったスキャンツールは常時サーバー負荷を生む可能性が高いので人によってはプラグインを使用したくないという場合があります。

そういった方向けにはオンラインスキャンという選択肢もあります。

WPScan.io

上記で紹介したWordPressプラグインのオンラインスキャンバージョン。

  • 1つのウェブサイト
  • 1日6回までのスキャン
  • スケジュールスキャン(1回)
  • マニュアルスキャン(5回)
  • メールアラート
  • 有料プランの1日体験

以上の条件であれば無料プランで利用できます。

WPScans.com

Wordcampヨーロッパ等のスポンサーになる等、積極的にPRもしているWordPress向けオンラインスキャンサービス。

  • 1つのウェブサイト
  • スキャンリポート(上限20)
  • 自動的な毎週スキャン
  • 操作しやすいダッシュボード
  • 基本的なリポート

以上が無料プランで利用できます。

有料プランは月々19ユーロで全機能が使えるほか、スキャン対象サイトも無制限。月々295ユーロのプランでは自分のブランドでサービスを展開できます(ホワイトレーベル)。

脆弱性データベース&メールアラート

WPScan Vulnerability Database

一番最初に紹介したWordPressプラグインが利用しているデータベース。直近のWordPress本体、プラグイン、テーマの脆弱性を確認できます。

WPScan Vulnerability Database
A Vulnerability Database for WordPress, its Plugins and Themes.

CVE Details

WPScanに比べると読みづらい(簡素な作り)かもしれませんが、WordPressのこれまでの脆弱性等も調べたりすることができます。

Wordpress : Security vulnerabilities
Security vulnerabilities related to Wordpress : List of vulnerabilities related to any product of this vendor. Cvss scores, vulnerability details and links t...

初心者におすすめな方法はプラグイン式

ここまで3つの脆弱性チェック方法をお伝えしましたが、オンラインサービスは英語かつアカウント登録が必要なため多くの日本人には向かないかもしれません。

WordPressプラグインであれば表示言語は英語ですが、インストールするだけで使用しているプラグインに対する脆弱性が見つかった場合に分かりやすく問題点が表示されるので初心者にもおすすめできます。

コメント