脆弱性診断
公開: 2025.09.01
更新: 2026.05.09
v1.5.29 時点の記事
脆弱性診断
脆弱性診断は、WordPress サイトの設定・ファイルパーミッション・ソフトウェアバージョンをセキュリティのベストプラクティスと照合してチェックします。問題のある設定や古いコンポーネントを検出し、リスクスコアと対処法を表示します。
この機能は外部の CVE データベースへの問い合わせは行いません。すべてのチェックはサイト内で完結します。
なぜ脆弱性診断が重要なのか
WordPress への侵害の多くは、防げたはずの問題が原因です。設定ミス・古いソフトウェア・過剰なファイルアクセス権限など、攻撃者より先に見つけることが最も実践的なセキュリティ対策です。
- 古いプラグインやテーマは攻撃の主な入り口
- デバッグモード有効・ファイル編集許可・デフォルトプレフィックスなどの設定ミスは積極的に狙われる
- EOL(サポート終了)のPHP・MySQL・WordPressコアはセキュリティパッチが提供されない
脆弱性診断により、
設定の問題・古いコンポーネント・パーミッションの問題をセキュリティの知識がなくても一元的に把握できます。
診断カテゴリ(7分類・20項目)
1. WordPress設定(6項目)
| チェック項目 | CWE参照 | 説明 |
|---|
| デバッグモード | CWE-215 | 本番環境で WP_DEBUG が有効 |
| ファイル編集 | CWE-732 | 管理画面からのプラグイン・テーマ編集が有効 |
| テーブルプレフィックス | CWE-89 | デフォルトの wp_ プレフィックスを使用中 |
| セキュリティキー | CWE-330 | wp-config.php の秘密鍵が弱い・未設定 |
| HTTPS強制 | CWE-319 | 管理画面で HTTPS が強制されていない |
| XML-RPC | CWE-799 | XML-RPC エンドポイントが有効 |
2. ファイルパーミッション(2項目)
| チェック項目 | CWE参照 | 説明 |
|---|
| wp-config.php パーミッション | CWE-732 | 設定ファイルへのアクセス権限が過剰 |
| .htaccess パーミッション | CWE-732 | .htaccess が誰でも書き込み可能 |
3. データベース(1項目)
| チェック項目 | CWE参照 | 説明 |
|---|
| 不審なテーブル | CWE-459 | バックアップ・一時テーブルの残存(backup_, tmp_, old_ など) |
4. ユーザーセキュリティ(3項目)
| チェック項目 | CWE参照 | 説明 |
|---|
| 管理者ユーザー名 | CWE-798 | デフォルトの「admin」ユーザー名を使用中 |
| 管理者アカウント数 | CWE-250 | 管理者アカウントが多すぎる |
| ユーザー列挙 | CWE-200 | /?author=N URL でユーザー名が公開されている |
5. プラグイン(2項目)
| チェック項目 | CWE参照 | 説明 |
|---|
| プラグイン更新 | CWE-1104 | アップデートが利用可能なプラグイン |
| 非アクティブプラグイン | CWE-1059 | 無効化されているが削除されていないプラグイン |
6. テーマ(2項目)
| チェック項目 | CWE参照 | 説明 |
|---|
| テーマ更新 | CWE-1104 | アップデートが利用可能なテーマ |
| 未使用テーマ | CWE-1059 | 使用していないが削除されていないテーマ |
7. サーバー環境(4項目)
| チェック項目 | CWE参照 | 説明 |
|---|
| WordPressコア | CWE-1104 | WordPress のバージョンが古い |
| PHPバージョン | CWE-1104 | EOL(サポート終了)の PHP バージョンを使用中 |
| jQueryバージョン | CWE-1104 | WordPress に同梱の jQuery が古い |
| MySQL/MariaDB | CWE-1104 | EOL(サポート終了)のデータベースバージョンを使用中 |
スコア計算
100点満点からの減点方式です。各項目のリスクレベルに応じた重みで減点されます。
| リスクレベル | 減点 | 色 |
|---|
| 致命的 | -15〜-20点 | 🔴 赤 |
| 高 | -8〜-12点 | 🟠 橙 |
| 中 | -4〜-6点 | 🟡 黄 |
| 低 | -1〜-3点 | 🟢 緑 |
診断の実行方法
- SentinelSecurity → 脆弱性診断 を開きます
- 今すぐ診断 ボタンをクリックします
- 各カテゴリの結果がアコーディオン形式で表示されます
各チェック項目には以下が表示されます。
- ステータスアイコン: ✅ 安全 / ⚠️ 注意 / ❌ 危険
- 概要: 検出された状態の説明
- 影響: このリスクが悪用された場合の被害
- 対策: 具体的な修正手順
優先度に基づいた対策
すべての問題を一度に修正する必要はありません。以下の優先順位で対策してください。
- 🔴 致命的: 今すぐ対処(WordPressコア・PHP・MySQLのバージョン更新、デバッグモード無効化)
- 🟠 高: 1週間以内(プラグイン更新、ファイル編集を無効化、セキュリティキー更新)
- 🟡 中: 1ヶ月以内(テーブルプレフィックス変更、非アクティブプラグイン・未使用テーマ削除)
- 🟢 低: 次回メンテナンス時
定期診断のすすめ
以下のタイミングで再診断することを推奨します。
- WordPress コアのアップデート後
- プラグイン・テーマの追加や更新後
- サーバー環境の変更後
- 月に1回の定期チェック