無料機能

REST API診断

28項目のREST APIセキュリティチェックでデータ漏洩を防止。
ユーザー列挙、設定の露出、認証なしアクセスなどを診断、
重要度(Critical〜Info)で分類。

今すぐ始める SentinelSecurityの概要
REST API Endpoint Scan
24 Total Endpoints
3 Exposed
21 Protected
GET /wp-json/wp/v2/users Exposed
GET /wp-json/wp/v2/posts OK
POST /wp-json/wp/v2/comments OK
Why REST API Security?

REST API:強力だがデータ漏洩の入口になり得る

WordPress REST APIは強力ですが、デフォルト設定では
ユーザー情報や投稿データが外部から取得可能です。
適切なアクセス制御が不可欠です。

90%
デフォルト設定で
運用中のサイト
28項目
セキュリティ項目
診断済み
即時
診断結果
表示時間
REST API Endpoints
GET /wp-json/wp/v2/users
GET /wp-json/wp/v2/posts
GET /wp-json/wp/v2/settings
GET /wp-json/wp/v2/comments
GET /wp-json/
要対策: 2/5 エンドポイントが公開状態
User Enum
Data Leak
The Hidden Risk

REST API
データ漏洩リスク

ユーザー列挙

/wp-json/wp/v2/usersへのアクセスでユーザー名やメールアドレスが露出する可能性があります。

認証なしアクセス

多くのエンドポイントがログインなしでアクセス可能で、外部からの情報収集を許します。

攻撃の偵察に利用

露出したプラグイン情報やサイト設定が標的型攻撃の足がかりに利用される可能性があります。

SentinelSecurityなら

公開されたエンドポイントを即座に検出し、適切な対策を提案します。

REST API Security

28項目のセキュリティを診断

Critical (3)、High (7)、Medium (8)、Low (2)、Info (8) — 重要度別に分類
包括的なREST APIセキュリティ評価のために。

Critical

即座に対応が必要な重大リスク(3項目)

User Enumeration Prevention

/wp-json/wp/v2/usersエンドポイントからユーザー名やメールアドレスが取得可能で、ブルートフォース攻撃のターゲットになります。

ブルートフォース ユーザー名漏洩

Settings Endpoint

/wp-json/wp/v2/settingsを通じてサイト設定が露出し、攻撃者がサイト構造を把握できます。

設定漏洩 不正アクセス

Media Upload

認証なしのメディアアップロードが可能な場合、マルウェアやバックドアがインストールされる可能性があります。

マルウェア ファイルアップロード攻撃
High

対処を強く推奨(7項目)

Authenticated User Info

/wp-json/wp/v2/users/meを通じてログインユーザー情報が露出するリスク。

Rate Limiting

APIリクエストのレート制限なしでは、サイトはDoSおよびブルートフォース攻撃に脆弱です。

Comment Posting Restriction

認証なしのコメント投稿が可能な場合、スパムや悪意あるコンテンツの温床になります。

Theme/Plugin Information

テーマ・プラグイン情報の露出は既知の脆弱性を通じて悪用される可能性があります。

Draft Posts

下書きまたは非公開投稿への認証なしアクセスは機密情報の漏洩につながる可能性があります。

Custom Endpoints

プラグインカスタムエンドポイントの不十分な権限チェックは権限昇格のリスクがあります。

Nonce Validation

REST APIのnonceトークン検証なしでは、CSRFおよびリプレイ攻撃のリスクがあります。

Medium

対処を推奨(8項目)

Basic Authentication

本番環境では無効にすべき。認証情報の露出リスク。

Anonymous Access

機密エンドポイントは認証を要求すべきです。

CORS Configuration

不適切なAccess-Control-Allow-Origin設定はクロスサイト攻撃につながる可能性があります。

Media Metadata

画像のEXIFデータ(GPS位置情報等)の露出は個人情報の漏洩につながる可能性があります。

Version Information

WordPressバージョンの露出は既知の脆弱性を使った攻撃を容易にします。

Search Endpoint

検索エンドポイントの悪用は情報収集や列挙攻撃につながる可能性があります。

Revision Information

投稿リビジョン(編集履歴)は削除されたと思われていた情報を露出させる可能性があります。

API Filters

クエリパラメータを通じた不正なデータ取得やSQLインジェクションのリスク。

Low

必要に応じて対処(2項目)

oEmbed Endpoint

埋め込みデータを通じてサイト情報が露出する可能性がありますが、影響は限定的。

XML-RPC

ブルートフォースやDDoS増幅攻撃に悪用される可能性。使用していない場合は無効化を推奨。

Info

システム情報と診断結果(8項目)

REST API Status

REST APIの有効/無効状態を確認。

REST API Discovery

HTMLヘッダーでのREST API URL露出を確認。

Application Passwords

アプリケーションパスワード機能の状態を確認(WordPress 5.6+)。

REST API Prefix

REST APIのURLプレフィックスを確認(通常 /wp-json/)。

Post Types

REST APIで公開されている投稿タイプを確認。

Taxonomies

REST APIで公開されているタクソノミーを確認。

JWT Authentication

JWT認証プラグインの状態を確認。

API Namespaces

REST APIで公開されているAPIネームスペースを確認。

Next Step

診断後はAPI保護で対策を

REST API診断で問題が見つかったら、API保護機能で対策。ユーザー列挙防止、レート制限など、データ漏洩を防止します。

API保護を見る
その他の機能

SentinelSecurityの他の機能も確認

ログインセキュリティ

ログインURL変更、IP制限、ブルートフォース保護

HTTPヘッダー診断

セキュリティヘッダー設定を診断

API保護

レート制限とユーザー列挙防止

脆弱性診断

本体・プラグイン・テーマの脆弱性をチェック

プロ版

ファイル整合性監視

ファイル変更を検知し、不正アクセスを発見

プロ版

セキュリティヘッダー設定

CSP、HSTS等のセキュリティヘッダーをGUIで管理

プロ版

メール通知設定

7種類のセキュリティ通知を自由にカスタマイズ

プロ版

データ漏洩リスクを把握しましょう
REST API診断で

すべてのREST API診断機能は無料版で利用可能です。

今すぐ始める 無料版をダウンロード 資料ダウンロード