WordPress

【WordPress】WPScansでWordPressの脆弱性診断をしてみた


Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

こんにちは!SE ブログの相馬です。

 

 

 

今回は、WordPress の脆弱性診断について、WPScans の無料サービスを使って診断してみました。(ちなみに診断したのは当サイトではなく、別サイトになります。)

 

 

AUTOMATED WORDPRESS SCANS | WPScans

 

 

 

脆弱性診断とは

 

 

簡単に言いますと、システムがセキュリティの欠陥を持っているかどうかを診断する事を指します。

 

 

Windows や Linux などの OS は、仮想化とかを除き、ハードウェア上で動作しています。また、OS そのものも様々な機能、ソフトウェアなどを実装しております。

 

 

これらのハードウェアやソフトウェアはセキュリティ的には完全ではありませんので、常に欠陥などがあったりするわけです。そういったところを悪意あるハッカーが攻撃をしかけると企業や個人は損害を受けます。企業となると、例えばインターネットで商品を購入するような EC サイトであれば非常に大きな損害になる場合もあります。

 

 

一方、企業の社内システムは欠陥があっても大丈夫かというとそういう訳にはいきません。社内のコンピューターが乗っ取られて、ありったけの情報を吸い取られてしまい、大規模な情報漏洩になってニュースに取り上げられている事も、数年前によく見かけました。

 

 

このように、攻撃される前にシステムのどこに欠陥があるかプロアクティブに診断する事を脆弱性診断と言います。

 

 

 

WordPress の脆弱性

 

 

WordPress は頻繁にバージョンをアップデートしておりますが、テーマやプラグインも同様です。他にも WordPress の Web アプリを動かしているミドルウェアやデータベースも脆弱性の対象になります。

 

 

WordPress の脆弱性を調べるならこのサイトを見ると良いでしょう。SUCURI の WPScan Vulnerability Database です。2019 年 1 月 20 日時点では、なんと 13,442 個の脆弱性が見つかっているようです。これは数だけで言えばかなり多い数ですよね。

 

WPScan Vulnerability Database | SUCURI

 

 

 

 

という事でここでは WPScans と言うサービスを使って、脆弱性診断をしてみました。

 

 

 

WPScans とは

 

 

WPScans は WordPress 専用の脆弱性診断サービスで、高い実績があります。何と言っても Web 上で URL を入力してボタンを押せば勝手に診断が始まるのでとても楽で手間いらずなサービスなのです。

 

 

補足しておきますが、WPScans はセキュリティーの為にサーバーをスキャンしませんし、ログインパスワードも同様スキャンしません。

 

 

 

WPScans の脆弱性診断の方法

 

 

それでは、脆弱性診断をしてみます。まずは WPScans のサイトにアクセスしましょう。

 

 

1. 以下の URL にアクセスします。

 

AUTOMATED WORDPRESS SCANS | WPScans

 

 

2. 以下の画面が表示されましたら、脆弱性診断をする WordPress サイトの URL を入力します。

 

 

 

3. すると、脆弱性診断の簡易的なレポートが表示されますので少し待ちます。

 

 

 

4. 簡易的な脆弱性診断のレポートが表示されました。詳細なレポートを確認したい方は有料になります。

 

 

 

5. WordPress のプラグインやテーマの脆弱性診断結果を見る事ができます。

 

 

 

6. INFORMATION LEAKAGE (情報漏えい) と書いてありますが、 びっくりしないで大丈夫です。ただし、WordPress が乗っ取られないよう、表示された項目はレビューされる事をお勧めします。

 

 

 

 

まとめ

 

 

以上となります。いかがでしょうか。WordPress は脆弱性がとても多いので、プラグインやテーマも含めアップデートして最新の状態にしておくとともに、深刻な脆弱性が無いかたまには確認しておくと良いかもしれませんね。

 

 

それでは最後までお読みいただきありがとうございました!

 

 

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-WordPress
-


Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637