セキュリティ 2019.10.24 2023.07.26
WordPressの脆弱性診断サービス10選【無料+有料】
この記事を書いた人
土井 純也
WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO
1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。
【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make」
■WordPress保守/運用サービス「wp.support」
■WordPressハッキング/緊急復旧対応サービス「wp.rescue」
■WordPressバージョンアップ代行サービス「wp.versionup」
WordPressをお使いのみなさん、WordPressの脆弱性診断を行っていますでしょうか。
「まさか、自分のサイトはハッキングされないだろう」と思っていませんか。
ドキッとした方におすすめしたいのが、今回紹介する脆弱性診断サービスです。
弊社では、ハッキングを受けた方のWordPressサイトの復旧サービスを運営していますが、相談される方の多くが「自分のサイトが被害に遭うとは思っていなかった」と仰います。
建築の現場などで「注意一秒、怪我一生」という言葉がありますが、サイト運営にも同じことが言えます。
事前に行うべきセキュリティ対策をせずにハッキングを許せば、復旧までのトラブルだけでなく、ユーザーの信頼を失ってサイトそのものを閉じなくてはいけない事態にもなりかねません。
そこで今回は、現在のWordPressの脆弱性を診断するためのサービス10選を無料・有料に分けてご紹介します。
各サービスの特徴やどんな項目を診断してくれるのかを解説しますので、運営しているサイトがどうなっているのかよくわからない、セキュリティの状態を知りたいといった方は、ぜひ参考にしてみてください。
目次
WordPress脆弱性診断の必要性
WordPressを運用する上で、脆弱性の診断は定期的に行うことを推奨します。
WordPressやプラグインのバージョンが古い、長期間アップデートされていないテーマやプラグインを使用しているといった場合、いつハッキングを受けてもおかしくない状態になっていることがあります。
定期的に脆弱性診断を行うことで、ハッキングの足がかりとなる可能性のあるポイント(=脆弱性)を見つけ出し、対策を行うことができます。また、サービスによっては、既にサイトに加えられている不正な改ざんや過去に仕掛けられたバックドアなど、管理者が気づいていない問題が見つかることもあります。
これまで全く脆弱性診断を行っていないという方は、無料サービスから試してみることをお勧めします。
脆弱性を利用した攻撃方法について
WordPressの脆弱性を利用した攻撃は、管理画面にログインされてしまったり、WordPress内に勝手なコードを仕掛けられてしまったりといった攻撃が行われています。
自分だけでなく、他者にまで被害が及んでしまう場合がありますので万全な対策が必要です。
WordPressの脆弱性を使用した攻撃の中から、代表的なものをあげてみました。
WordPressの脆弱性診断サービスで出来ること
脆弱性診断サービスでわかる内容は各サービスによって違いますが、既知のマルウェア・ウィルス・ブラックリスト登録状態・古いバージョン・悪意のあるコード・SSL期限切れなど診断することが可能です。
しかし、無料では限界があります。
WordPress本体のみの診断しかすることができず、テーマやプラグイン、コンテンツに悪意あるコードが埋め込まれていた場合に検出することができなかったり、脆弱性データベースにはまだ存在していないマルウェアなどは見つけることができないものもあります。
また、サーバー環境や使っている言語、データベースなど隈無く行うことができません。
無料のサービスを利用する場合は、そのサービスがチェックしてくれる範囲をしっかり確認した上で利用しましょう。
有料のサービスは人の手とコンピュータによる2重の診断を行うので、より広範囲・より深い階層まで、正確に調べることができます。
特に、WordPressを大幅にカスタマイズしている場合など、無料では診断が難しい部分までチェックしたい時には、有料の診断サービスを利用すると良いでしょう。
サービスによっては脆弱性診断は無料で行われ、対策は有料としているものもありますので一度診断してみるとよいでしょう。
無料のWordPress脆弱性診断サービス6選
ここからは、脆弱性を診断できるサービスの紹介をしていきます。
診断サービスの選定基準は無料は簡単、定期的に行うことができるということに重きを置いて、有料はセキュリティ企業が提供している安いものという基準で今回は行なっていきます。
Sitecheck
セキュリティ企業Sucuri社が提供している、URLを入力するだけで診断できるサービスです。
入力したサイトの危険性をMinimalからCriticalの5段階で評価を表示し、マルウェアやブラックリストスタッツなどもリストとして表示してくれます。
セキュリティ企業が作っているサイトですので、一度試してみるのもいいかもしれません。
Sucuri社は他にも有料の診断ソフトも扱っていますので、そちらも参考にしてみてください。
KYUBI
KYUBIはメールアドレスと名前を登録することで、毎月診断を行うことができます。
WordPress本体とテーマ・プラグインに対して脆弱性診断を行うサービスです。
無料プランだと毎月一度の診断・サイトの継続的監視を行うことができますが、有料プランへ加入すると月5回や無制限に診断回数をアップグレードすることも可能ですので検討してみてください。
初めは試しに無料プランを使い、必要に応じてプランのグレードアップを検討してみるのもいいかもしれません。
ワードプレス・ドクター
ワードプレス・ドクターはSitecheckと同様に対象サイトのURLをフォームに入れるだけで簡単に診断することができます。
しかし、免責事項にも書いてあるように診断結果については正確性を保証するものではないと記載があります。
より正確な診断を行いたい場合やセキュリティ対策を行う場合は、ワードプレス:マルウェアスキャン&セキュリティープラグインで行うことができできます。
プラグインでは、WordPress内部をスキャンし改ざんされたファイルがないか検出することができます。
不正に改ざんされているファイルを特定することが可能です。
WPSEC
Sitecheckとワードプレス・ドクターと同様で、URLを入力することで脆弱性診断を行うことができます。
対象のサイトでどれくらいの脆弱性が見つかり、どの部分に脆弱性が多いか数値が出ているので、対策する際の参考になります。
無料の会員登録を行うことでより詳細なデータを閲覧することも可能です。
WP Scan
WordPress本体・プラグイン・テーマの3種類をスキャンすることが可能です。
WP Scanのデータベースに登録されている脆弱性を発見すると通知をしてくれる機能や管理画面に脆弱性の個数が表示されるので、どれだけサイトが危険に晒されているかも一目で確認することができます。
WP Scanチームの開発ログもみることもできるので、プラグインの更新頻度など参考にしてみてください。
Wordfence Security
WordPress本体・テーマ・プラグイン・マルウェア・不正なURL・バックドア・SEOスパムなど多岐にわたってスキャンすることが可能です。
メールアドレスを登録することで、ダッシュボードやスキャンといった画面にアクセスすることができるようになり、詳細な診断結果を見ることができます。
日本語対応していないことが難点ではありますが、定期的に更新されており、利用者も多く評価も高いので利用してみる価値はあります。
他にも多くのサービスがありますが、プラグイン系の脆弱性診断ツールを利用する場合は、最終更新日やユーザー評価、利用者人数を参考にして使用してみてください。
有料のWordPress脆弱性診断サービス4選
WordPressの有料診断サービスでは、無料のサービスと比べ、セキュリティのプロが手動で調査を行ってくれることが多く、また、診断結果で問題があった箇所の対策をしてくれるサービスもあります。
ツールで脆弱性が見つかった場合や自分では脆弱性への対策が難しいと思われる場合には、こうした有料サービスを活用すると良いでしょう。
WP保守工房
WP保守工房の脆弱性診断は月額1500円で診断を行うことができ、診断結果はプラグインを導入することで管理画面から簡単に確認することができます。
テーマやプラグインだけでなく、ミドルウェアやネットワークの脆弱性診断も行うことが可能です。
エントリープランのオプション機能をつけることで脆弱性対策を行ってもらうこともできます。
一般的に検出されるマルウェアや脆弱性だけでなく、通常の診断でわからない部分も検出することができるので、より明確な対策を行うことができるので安心感がありますね。
GlobalSign
GlobalSignの診断は、マルウェア・脆弱性・不正改ざん・SSL有効期限切れなど多岐に渡った診断を行っています。
プランはエントリープラン年間4,200円からエンタープライズプラン99,600円の計4プランと幅広く取り扱っているため、サイトの運営状態をみてプランを選ぶと良いでしょう。
診断結果で安全であれば、安全シールをサイトにつけることができるので訪れるユーザーに安心して閲覧してもらうことができます。
Roadmap
Roadmapの『ホームページ健康診断』ではWordPressサイトだけでなく、サイト全般の診断に対応しています。
診断方法は実績のある専門のエンジニアが、確認してくれる他、解説付きのレポートを提出してくれるので、改善点もわかりやすいです。
ただし、診断料金は1サイトにつき500,000円(税別)とかなり高額。
大規模なサイトや個人情報を扱っていたりするセキュリティが特に重要なサイトなら、検討する価値はあるかもしれません。
wp.rescue
本記事を執筆している『wp.make』が運営するWordPressサイト復旧サービスです。
WordPressに対するハッキングや不具合への対応が主な対象ですが、診断のみでも対応可能です。
料金は1回につき50,000円からで、サイトの規模やチェック範囲等によって変わります。
数多くのWordPressサイトの復旧を手掛けており、WordPress保守サービスで大手上場企業の保守も行っているベテランのエンジニアが診断します。
脆弱性診断で発見された問題の解決方法の提案や、実際の対策の代行にも対応可能です。
WordPressを診断したら必ず対策を
WordPressの脆弱性を診断できるサービスを紹介していきました。
冒頭でも言いましたが、自分のサイトはハッキングに合わないだろう、とは考えないでください。
交通事故と同じで、いつ自分のサイトが被害に遭うかわかりません。
そして、被害に遭ってから後悔しても遅いことを十分に理解し、事前の対策を行っておくことが重要です。
ハッキングや脆弱性被害について、さらに詳しく知りたい方はこちらの記事を参考にしてください。
今回ご紹介した脆弱性診断サービスの診断結果によっては、早急に対策を行わなければならない状態かもしれません。
対策を自身で行えない場合はWordPressの保守やセキュリティ対策を行っている会社に問い合わせてみましょう。
WordPressは便利なツールですが、管理やメンテナンスが非常に重要です。
定期的に脆弱性診断を行って、クリーンなサイト運営を行いましょう。
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!