WordPress 脆弱性診断できるサービス10選【無料+有料】

WordPress脆弱性診断アイキャッチ
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

WordPressをお使いのみなさん、WordPressの脆弱性診断を行っていますでしょうか。

今回は、脆弱性診断するためのサービス10選を紹介をします。
運営しているサイトがどうなっているのかよくわからない、セキュリティの状態を知りたいといった方向けに書いていますので参考になれば幸いです。

弊社では、WordPressの保守やセキュリティ対策サービスを行っていますので参考にしてみてください。
WordPressの保守やセキュリティ対策を考えている方はこちら

WordPress脆弱性診断の必要性

WordPressのセキュリティが弱い・脆弱性があるというのはわかっているけれど、自分のサイトはハッキングされないだろう、脆弱性を狙われないだろうと思っている方がいるようです。

しかし、WordPressのこれまでのセキュリティや脆弱性の歴史をみてみても、ハッキングされないと100%言い切ることはできません。

WordPressに限った話ではありませんが、単純なログイン名やパスワードを使用していると、総当たり攻撃等で簡単に割り出されてしまいますし、WordPress本体やテーマ・プラグインのアップデートを怠っていると脆弱性を突かれる危険性が高くなります。

とはいえ、色々とカスタマイズしたサイトは、ひとつのプラグインをアップデートするのも、どんな影響があるかわからず、なかなか手がつけられない、ということも多いですよね。

そんな時は、まず脆弱性診断ツールで自分のサイトの問題点を洗い出すのがおすすめ。
脆弱性診断の結果を見れば、対処するべき点がはっきりしますし、逆に自分では気づかなかったリスクに気づくことが出来るかもしれません。
特にWordPressサイトの保守サービスなどを契約していない場合は、定期的に診断を行うことをオススメします。

ログイン名やパスワードが容易である場合、WordPress本体・テーマ・プラグインのアップデートを行なっていない場合は脆弱性を突かれる可能性も高くなってしまいます。

「ログイン名やパスワードは簡単に設定できても、毎回アップデートするのって大変…」という方もいらっしゃると思います。
アップデートが大変になり放置されてしまいがちなのは、テーマやプラグインの数が多すぎるといったことがあげられます。

可能な限りテーマやプラグインを減らすことで、アップデートの大変さを軽減することができます。
実際には使用しているテーマ以外は使っていませんし、プラグインは機能が被ってしまっているもの、今は使っていないものなどあるかと思います。

使用していないテーマやプラグインを消すことで、サイト自体が軽くなりプラグインの競合による不具合がなくなり、セキュリティの向上も見込むことができるので、この機会にテーマ・プラグインの整理も検討してみてはいかがでしょうか。

小さなことを行うだけでも、脆弱性を突かれる可能性を減らすことができるので実践してみてください。

脆弱性を利用した攻撃方法について

WordPressの脆弱性を利用した攻撃は、管理画面にログインされてしまったり、WordPress内に勝手なコードを仕掛けられてしまったりといった攻撃が行われています。

自分だけでなく、他者にまで被害が及んでしまう場合がありますので万全な対策が必要です。

WordPressの脆弱性を使用した攻撃の中から、代表的なものをあげてみました。

WordPressの脆弱性診断サービスで出来ること

脆弱性診断サービスでわかる内容は各サービスによって違いますが、既知のマルウェア・ウィルス・ブラックリスト登録状態・古いバージョン・悪意のあるコード・SSL期限切れなど診断することが可能です。

しかし、無料では限界があります。
WordPress本体のみの診断しかすることができず、テーマやプラグイン、コンテンツに悪意あるコードが埋め込まれていた場合に検出することができなかったり、脆弱性データベースにはまだ存在していないマルウェアなどは見つけることができないものもあります。

また、サーバー環境や使っている言語、データベースなど隈無く行うことができません。
無料のサービスを利用する場合は、そのサービスがチェックしてくれる範囲をしっかり確認した上で利用しましょう。

有料のサービスは人の手とコンピュータによる2重の診断を行うので、より広範囲・より深い階層まで、正確に調べることができます。
特に、WordPressを大幅にカスタマイズしている場合など、無料では診断が難しい部分までチェックしたい時には、有料の診断サービスを利用すると良いでしょう。

サービスによっては脆弱性診断は無料で行われ、対策は有料としているものもありますので一度診断してみるとよいでしょう。

WordPress 無料の脆弱性診断

ここからは、脆弱性を診断できるサービスの紹介をしていきます。

診断サービスの選定基準は無料は簡単、定期的に行うことができるということに重きを置いて、有料はセキュリティ企業が提供している安いものという基準で今回は行なっていきます。

Sitecheck

セキュリティ企業Sucuri社が提供している、URLを入力するだけで診断できるサービスです。

入力したサイトの危険性をMinimalからCriticalの5段階で評価を表示し、マルウェアやブラックリストスタッツなどもリストとして表示してくれます。

セキュリティ企業が作っているサイトですので、一度試してみるのもいいかもしれません。
Sucuri社は他にも有料の診断ソフトも扱っていますので、そちらも参考にしてみてください。

SucuriのSitecheckを行う

Sucuriの他のプランをみてみる

SOUND BOARD

セキュリティチームが診断してくれるサービスです。
診断にかかる期間は1週間ほどで、脆弱性やセキュリティに欠陥があった場合には、有料ですが対策に当たってもらうことが可能です。

WordPress本体だけでなく、サーバーやコーディング部分、データベースまで診断してもらえるのも手厚いです。
セキュリティチームが行っているので、深い階層までみてもらうことが可能です。

SOUND BOARDで診断する

KYUBI

KYUBIはメールアドレスと名前を登録することで、毎月診断を行うことができます。

WordPress本体とテーマ・プラグインに対して脆弱性診断を行うサービスです。

無料プランだと毎月一度の診断・サイトの継続的監視を行うことができますが、有料プランへ加入すると月5回や無制限に診断回数をアップグレードすることも可能ですので検討してみてください。

初めは試しに無料プランを使い、必要に応じてプランのグレードアップを検討してみるのもいいかもしれません。

KYUBIで診断する

ワードプレス・ドクター

ワードプレス・ドクターはSitecheckと同様に対象サイトのURLをフォームに入れるだけで簡単に診断することができます。

ワードプレス・ドクターで診断する

しかし、免責事項にも書いてあるように診断結果については正確性を保証するものではないと記載があります。

より正確な診断を行いたい場合やセキュリティ対策を行う場合は、ワードプレス:マルウェアスキャン&セキュリティープラグインで行うことができできます。

プラグインでは、WordPress内部をスキャンし改ざんされたファイルがないか検出することができます。
改ざんされている部分や乗っ取られてしまった位置を表示することが可能です。

WPSEC

Sitecheckとワードプレス・ドクターと同様で、URLを入力することで脆弱性診断を行うことができます。

本サイトでどれくらいの脆弱性が見つかり、どのサービス部分に脆弱性が多いか数値が出ているので対策する際の参考にしてみてください。

無料の会員登録することでより詳細なデータを閲覧することも可能ですので、対策に活かすことができます。

WPSECで診断する

WP Scan

WordPress本体・プラグイン・テーマの3種類をスキャンすることが可能です。

WPScanデータベースに登録されている脆弱性を発見すると通知をしてくれる機能や管理画面に脆弱性の個数が表示されるので、どれだけサイトが危険に晒されているかも一目で確認することができます。

WPScan Teamの開発ログもみることもできるので、プラグインの更新頻度など参考にしてみてください。

WP Scanで診断する

Wordfence Security

WordPress本体・テーマ・プラグイン・マルウェア・不正なURL・バックドア・SEOスパムなど多岐にわたってスキャンすることが可能です。

メールアドレスを登録することで、ダッシュボードやスキャンといった画面にアクセスすることができるようになり、詳細な診断結果を見ることができます。

プラグインも定期的に更新されており、利用者や評価も高いので利用してみる価値はあります。

Wordfenceで診断する

他にも多くのサービスがありますが、プラグインを利用する場合は最終更新日や評価、利用者人数を参考にして使用してみてください。

WordPress有料の脆弱性診断

WordPressの有料診断サービスは、セキュリティのプロが行っているサービスからWordPressを熟知したプロが行っていたりと様々です。

表面上の診断ではなくWordPressの中の部分まで診断することができるので、より正確な診断を行うことができます。

WP保守工房

WP保守工房の脆弱性診断は月額1500円で診断を行うことができ、診断結果はプラグインを導入することで管理画面から簡単に確認することができます。

テーマやプラグインだけでなく、ミドルウェアやネットワークの脆弱性診断も行うことが可能です。

エントリープランのオプション機能をつけることで脆弱性対策を行ってもらうこともできます。

一般的に検出されるマルウェアや脆弱性だけでなく、通常の診断でわからない部分も検出することができるので、より明確な対策を行うことができるので安心感がありますね。

WP保守工房で診断する

Roadmap

Roadmapは1つのWordPressにつき5000円で診断を行うことが可能です。

診断方法は実績のある専門のエンジニアが、ツールと手動の両方で確認を行うので、ツールで見逃してしまった脆弱性など、深い階層は手動で見つけてもらうことができるのではないでしょうか。

診断した中から重要な上位3つを指摘してもらうことができるというもので、指摘後は自分自身で対策を行うか、別途オプションにて対策してもらうことができます。

Roadmapで診断する

GlobalSign

GlobalSignの診断は、マルウェア・脆弱性・不正改ざん・SSL有効期限切れなど多岐に渡った診断を行っています。

プランはエントリープラン年間4,200円からエンタープライズプラン99,600円の計4プランと幅広く取り扱っているため、サイトの運営状態をみてプランを選ぶと良いでしょう。

診断結果で安全であれば、安全シールをサイトにつけることができるので訪れるユーザーに安心して閲覧してもらうことができます。

GlobalSignで診断する

WordPressを診断したら必ず対策を

WordPressの脆弱性を診断できるサービスを紹介していきました。

冒頭でもあるように、自分のサイトはハッキングや脆弱性の被害に合わないだろうと思っている方でも、100%の確率で被害に合わないとは言えません。
ハッキングや脆弱性被害についてはこちらの記事を参考にしてください。

いつハッキングや脆弱性被害に陥るかわからないため、今回ご紹介したような診断と対策が必要になります。
診断結果によっては、早急に対策を行わなければならない状態かもしれません。

また、対策を自身で行えない場合はWordPressの保守やセキュリティ対策を行っている会社に問い合わせてみましょう。

弊社では、WordPressの保守やセキュリティ対策サービスを行っていますので参考にしてみてください。
WordPressの保守やセキュリティ対策を検討する

WordPressは便利なツールですが、管理やメンテナンスが非常に重要です。
定期的に脆弱性診断を行って、クリーンなサイト運営を行いましょう。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.makeを "いいね!"
Facebookで更新情報をお届け。

WordPressのプロフェッショナル集団 | wp.make