SEブログ

【WordPress】WPScansでWordPressの脆弱性診断をしてみた

 

こんにちは!SE ブログの相馬です。

 

 

 

今回は、WordPress の脆弱性診断について、WPScans の無料サービスを使って診断してみました。(ちなみに診断したのは当サイトではなく、別サイトになります。)

 

 

AUTOMATED WORDPRESS SCANS | WPScans

 

 

 

スポンサーリンク

脆弱性診断とは

 

 

簡単に言いますと、システムがセキュリティの欠陥を持っているかどうかを診断する事を指します。

 

 

Windows や Linux などの OS は、仮想化とかを除き、ハードウェア上で動作しています。また、OS そのものも様々な機能、ソフトウェアなどを実装しております。

 

 

これらのハードウェアやソフトウェアはセキュリティ的には完全ではありませんので、常に欠陥などがあったりするわけです。そういったところを悪意あるハッカーが攻撃をしかけると企業や個人は損害を受けます。企業となると、例えばインターネットで商品を購入するような EC サイトであれば非常に大きな損害になる場合もあります。

 

 

一方、企業の社内システムは欠陥があっても大丈夫かというとそういう訳にはいきません。社内のコンピューターが乗っ取られて、ありったけの情報を吸い取られてしまい、大規模な情報漏洩になってニュースに取り上げられている事も、数年前によく見かけました。

 

 

このように、攻撃される前にシステムのどこに欠陥があるかプロアクティブに診断する事を脆弱性診断と言います。

 

 

 

スポンサーリンク

WordPress の脆弱性

 

 

WordPress は頻繁にバージョンをアップデートしておりますが、テーマやプラグインも同様です。他にも WordPress の Web アプリを動かしているミドルウェアやデータベースも脆弱性の対象になります。

 

 

WordPress の脆弱性を調べるならこのサイトを見ると良いでしょう。SUCURI の WPScan Vulnerability Database です。2019 年 1 月 20 日時点では、なんと 13,442 個の脆弱性が見つかっているようです。これは数だけで言えばかなり多い数ですよね。

 

WPScan Vulnerability Database | SUCURI

 

 

 

 

という事でここでは WPScans と言うサービスを使って、脆弱性診断をしてみました。

 

 

 

WPScans とは

 

 

WPScans は WordPress 専用の脆弱性診断サービスで、高い実績があります。何と言っても Web 上で URL を入力してボタンを押せば勝手に診断が始まるのでとても楽で手間いらずなサービスなのです。

 

 

補足しておきますが、WPScans はセキュリティーの為にサーバーをスキャンしませんし、ログインパスワードも同様スキャンしません。

 

 

 

スポンサーリンク

WPScans の脆弱性診断の方法

 

 

それでは、脆弱性診断をしてみます。まずは WPScans のサイトにアクセスしましょう。

 

 

1. 以下の URL にアクセスします。

 

AUTOMATED WORDPRESS SCANS | WPScans

 

 

2. 以下の画面が表示されましたら、脆弱性診断をする WordPress サイトの URL を入力します。

 

 

 

3. すると、脆弱性診断の簡易的なレポートが表示されますので少し待ちます。

 

 

 

4. 簡易的な脆弱性診断のレポートが表示されました。詳細なレポートを確認したい方は有料になります。

 

 

 

5. WordPress のプラグインやテーマの脆弱性診断結果を見る事ができます。

 

 

 

6. INFORMATION LEAKAGE (情報漏えい) と書いてありますが、 びっくりしないで大丈夫です。ただし、WordPress が乗っ取られないよう、表示された項目はレビューされる事をお勧めします。

 

 

 

 

スポンサーリンク

まとめ

 

 

以上となります。いかがでしょうか。WordPress は脆弱性がとても多いので、プラグインやテーマも含めアップデートして最新の状態にしておくとともに、深刻な脆弱性が無いかたまには確認しておくと良いかもしれませんね。

 

 

それでは最後までお読みいただきありがとうございました!