WordPress脆弱性診断ツールを完全解説【無料・有料10選】
本ページはプロモーションが含まれています。
「WordPressの脆弱性診断で何がわかる?」「サイトを不正改ざんから守るにはどうすればいい?」と悩んでいる方も多いと思います。
WordPressは世界で一番利用ユーザーの多いCMSです。ですが、利用ユーザーが多くなると同時に悪意のあるハッカーから攻撃対象にされやすく、加えて、いざ脆弱性を突かれ、サイトの改ざんの被害にあってもプログラムに詳しい人でないと気づかないことが多いです。
WordPressのサイト構築を100サイト以上の実績があり、実際に不正改ざんの被害にあって、復旧の対応した経験のある管理人が、WordPress脆弱性診断の目的とオススメの脆弱性診断を解説・紹介します。脆弱性診断を正しく活用すれば、ご自身のサイトを不正改ざんから守ることができます。
WordPressはいつも攻撃対象になる
WordPressの脆弱性はいたちごっこ
WordPressはCMSのシェア拡大に伴って、攻撃対象になりやすいCMSです。WordPressの本体だけでなく、配布されているプラグインやテーマに存在する脆弱性を狙われ、不正アクセスやサイト改ざん被害も年々増え続けています。サーバー会社が調べた調査によると、100サイト以上のWordPressサイトを診断した結果、83%のサイトでセキュリティホール(脆弱性)が発見されたとの報告もあります(カゴヤ・ジャパン株式会社調査結果)。この脆弱性をそのまま放置しておくと、サイトが改ざんされたり、他サイトへ攻撃するための踏み台にされるリスクがあります。
WordPressセキュリティ対策の必要性
WordPressのセキュリティ対策が必要な理由は「WordPressで管理している個人情報や顧客情報」や「サイトに悪意ある第三者からの不正アクセスを防ぐため」です。たとえば、WordPressの脆弱性がある古いバージョンを使用していると、悪意あるユーザーはいとも簡単に不正アクセスを労せずでき、サイト内部に侵入できてしまいます。そのため、WordPressは脆弱性の穴(セキュリティホール)を塞ぐために、定期的なアップデートや不正アクセスされたログないかのセキュリティチェックを行う必要性があります。
WordPressのセキュリティを確保するには?
WordPress脆弱性診断
WordPress脆弱性診断とは、WordPressに使用しているファイルに改ざんがないか確認し、セキュリティの安全を確保するためのツールです。WordPress脆弱性診断で確認できることは、既知のマルウェア・ウイルス・ブラックリスト照合・WordPressバージョン・悪意のあるコード・SSL期限切れなどを診断することができます。
脆弱性診断の種類と無料・有料の違い
脆弱性診断には「ブラウザ」「Wordpressプラグイン」「代行サービス」で脆弱性診断ができます。無料で使用できるのはブラウザ上で行える診断ツールで、WordPress本体のみの診断しかできず、テーマ・プラグイン・コンテンツに悪意あるコードがあっても検出できなかったり、マルウェアのパターン更新が遅く、検出できない場合もあります。有料の診断ツールは、「WordPressプラグイン」「代行サービス」で、WordPress本体だけでなく、テーマ・プラグインも対象にしてマルウェアの検知、不正改ざんの監視を行います。サービスによっては、マルウェアの検知ができて時点で対象ファイルの削除や復旧を行ってくれるサービスもあります。
有料のWordPress脆弱性診断3選
SiteLock
SiteLockは国内外の1200万以上の診断データを照合しより早期にマルウェア検出やサイト改ざんの危険性検知し自動で対処できます。SiteLockの診断方法は、WEBサイト内のリンクを辿る「リモート診断」、FTPと連携してデータを取得し、SiteLockのサーバー上で診断を行う「SMART診断」の2種類です。さらに、WordPressの他、幅広い種類のアプリを診断します。緊急性の高い脆弱性が検知された場合はアドバイザリー機能により、セキュリティのアドバイスを受けることができます。
\ 月350円~でセキュリティ対策ができる! /
世界800万件の利用実績、精度の高いセキュリティ診断
カゴヤ WordPress脆弱性診断
カゴヤのWordPress脆弱性診断は、1回のスポットなら4,400円、月1回定期診断(1年)なら39,600円でWordPress脆弱性診断ができます。診断内容は「WordPressの本体、プラグイン、テーマの脆弱性」をレポートでお届けします。診断もサイトのURLがあれば、すぐに診断を行うことができ、スポット診断なら希望タイミングで24時間いつでも実施できます。無料のサポートを用意されているので診断結果に疑問・不明点がでたら気軽に問い合わせできます。
\ 24時間いつでも脆弱性診断できる! /
無料サポートも用意!
WP保守工房プラス
WP保守工房プラスは月1,500円~でWordPressの脆弱性診断ができます。加えて、WordPressのセキュリティ・サーバー・コンテンツ管理を一挙に引き受ける「WP保守工房プラス」のサービス提供しています。「定期的な脆弱性診断」「不正アクセス拒否」「適切なアップデート対応」といったセキュリティ対策の計画・実施、サイトを24時間365日体制で監視し、コンテンツ保守まで管理することでWordPressサイトの「安心」を守ります。
\ 他社制作サイトでもOK! /
WordPressサイト管理のメンドクサイをプロにお任せ
無料のWordPress脆弱性診断7選
Sitecheck
SitecheckはSucuri社が提供している脆弱性診断サービスです。フォームにURLを入力するだけで脆弱性診断ができます。入力されたURLをMinimal~Criticalの5段階で診断・評価されます。ブラックリストのステータスやマルウェアなどの検知結果をリストで表示できます。
KYUBI
KYUBIはWordPress本体とプラグイン・テーマに対して脆弱性診断ができるサービスです。無料プランは、KYUBIのサイトにてアカウント作成すれば、毎月1回診断ができ、オンライン上で診断結果の確認ができます。また、定期的に診断をしてくれる定期診断や診断結果のレポーティング、最短5分の診断などのサービスを有料にて提供しています。
ワードプレス・ドクター
ワードプレス・ドクターは検出精度の高い国産マルウェア(改ざんやウィルス)チェックができるWordPressプラグインです。700パターンに及ぶマルウェアコードのパターンを活用して95%以上のウイルスや改ざんなどのマルウェア検出ができます。また、ワードプレス・ドクターでは、オンライン版もあり、こちらはURLを入力するだけで、簡単に脆弱性診断ができます。診断内容はプラグインよりも簡易的です。いずれも無料で利用できます。
WPSEC
WPSECは、対象サイトのURLを入力するだけで脆弱性診断できます。無料のセキュリティレポートの「インスタント診断機能」、アカウント登録すれば、定期的にすべてのWEBサイトを自動追跡できる「自動追跡機能」、WEBサイトのセキュリティチェック・メンテナンスなどを簡単に行える「ダッシュボード機能」など豊富な機能が備わっています。
WP Scan
WP ScanはWordPress本体とプラグイン・テーマに対して脆弱性診断ができるサービスです。データベースに登録されている脆弱性を検知するとユーザーに通知する機能に加え、WEBサイトがどの程度の危険に晒されているかを一目で確認できるダッシュボードを提供しています。
Wordfence Security
Wordfence SecurityはWordPressプラグインの脆弱性診断ツールです。WordPress本体・プラグイン・テーマ・不正なURL・マルウェア・SEOスパム・バックドアなどに対しての脆弱性診断ができます。さらに、ファイアウォール導入、ログイン強化、アクセス監視・制限といったセキュリティ対策も同時に行えるため、セキュリティに全般の対策にオススメなプラグインです。