ドキュメント / Sentinel Security / 機能

脆弱性診断

公開: 2025.09.01 更新: 2026.03.20 v1.5.29 時点の記事

脆弱性診断

脆弱性診断は、WordPress サイトの設定やバージョンを包括的にチェックし、既知のセキュリティリスクを検出してスコアリングする機能です。

なぜ脆弱性診断が重要なのか

WordPress サイトは、コア・プラグイン・テーマの3つのレイヤーで構成されています。それぞれにバージョン更新で修正されるセキュリティ脆弱性が日々発見されています。

WordPress コアの脆弱性は年間30〜50件報告
人気プラグインの脆弱性は月に数十件単位で発見
古いバージョンのままのサイトは自動化された攻撃の標的

脆弱性診断により、メジャーアップデートの適用漏れ、危険な設定、不要なファイルの存在を一元的に把握できます。

診断カテゴリ（7分類・20項目）

1. WordPress コア（3項目）

チェック項目	CWE参照	説明
コアバージョン	CWE-1104	最新版との差分チェック
データベーステーブルプレフィックス	CWE-200	デフォルト `wp_` の使用
デバッグモード	CWE-209	`WP_DEBUG` の有効状態

2. 認証・ログイン（4項目）

チェック項目	CWE参照	説明
デフォルト管理者ユーザー名	CWE-798	「admin」アカウントの存在
弱いパスワードポリシー	CWE-521	パスワード強度設定
ユーザー列挙	CWE-200	Author ID列挙の可否
ログイン試行制限	CWE-307	ブルートフォース保護の有無

3. ファイルシステム（3項目）

チェック項目	CWE参照	説明
ファイルパーミッション	CWE-732	wp-config.php等のパーミッション
ディレクトリリスティング	CWE-548	ディレクトリ一覧表示の有効状態
不要ファイルの存在	CWE-538	readme.html, license.txt 等

4. データベース（2項目）

チェック項目	CWE参照	説明
データベース接続暗号化	CWE-319	MySQL接続のSSL/TLS設定
データベースユーザー権限	CWE-250	過剰な権限の付与

5. 通信セキュリティ（3項目）

チェック項目	CWE参照	説明
SSL/TLS証明書	CWE-295	証明書の有効性と有効期限
HTTPS強制	CWE-319	非HTTPSでのアクセス
Mixed Content	CWE-319	HTTPS内のHTTPリソース

6. プラグイン・テーマ（3項目）

チェック項目	CWE参照	説明
プラグインバージョン	CWE-1104	既知の脆弱性を持つバージョン
テーマバージョン	CWE-1104	テーマの更新状況
非アクティブプラグイン	CWE-1104	無効化されているが残存するプラグイン

7. PHP環境（2項目）

チェック項目	CWE参照	説明
PHPバージョン	CWE-1104	サポート終了版のPHP使用
危険なPHP関数	CWE-78	exec/system等の許可状態

スコア計算

100点満点からの減点方式です。各項目のリスクレベルに応じた重みで減点されます。

リスクレベル	減点	色
致命的	-15〜-20点	🔴 赤
高	-8〜-12点	🟠 橙
中	-4〜-6点	🟡 黄
低	-1〜-3点	🟢 緑

診断の実行方法

SentinelSecurity → 脆弱性診断 を開きます
今すぐ診断 ボタンをクリックします
各カテゴリの結果がアコーディオン形式で表示されます

各チェック項目には以下が表示されます。

ステータスアイコン: ✅ 安全 / ⚠️ 注意 / ❌ 危険
概要: 検出された状態の説明
影響: このリスクが悪用された場合の被害
対策: 具体的な修正手順

優先度に基づいた対策

すべての問題を一度に修正する必要はありません。以下の優先順位で対策してください。

🔴 致命的: 今すぐ対処（コアアップデート、デバッグモード無効化）
🟠 高: 1週間以内（プラグイン更新、パスワード変更）
🟡 中: 1ヶ月以内（テーブルプレフィックス変更、不要ファイル削除）
🟢 低: 次回メンテナンス時

定期診断のすすめ

以下のタイミングで再診断することを推奨します。

WordPress コアのアップデート後
プラグイン・テーマの追加や更新後
サーバー環境の変更後
月に1回の定期チェック