脆弱性診断

脆弱性を、
攻撃者より先に見つける。

7カテゴリ・20項目にWordPress環境をスキャン。 設定・パーミッション・ソフトウェアバージョン・EOL状態をワンクリックで確認します。

今すぐ始める SentinelSecurityの概要
脆弱性スキャン結果

なぜ脆弱性スキャンが必要なのか?

古いプラグインとテーマが、
侵入の主な入り口。

WordPressの侵害の多くは、古いプラグイン・放置されたテーマ・設定ミスがきっかけです。 攻撃者より先に見つけることが、最も実賭的なセキュリティ対策です。

20
7カテゴリ・20項目のセキュリティチェック
A–F
スキャン完了後に即座に算出されるリスクグレード
< 30s
ワンクリックで完了するフルスキャン
Vulnerability Scan Results
WordPress 6.4.2
Plugin A アップデートあり
Plugin B 3.2.1
Theme Outdated
PHP 8.2.0
スキャン完了: 2件の脆弱性を検出
Critical
High
Hidden Risks

見えない脆弱性が、サイトのリスクになります。

プラグインの脆弱性

WordPress攻撃の56%はプラグイン経由です。古いまたは放棄されたプラグインが標的になります。

アップデートの遅れがリスクに

古いプラグインやテーマは、サイトへの侵入の主な原因です。定期的なバージョン確認で先手を打てます。

無効化プラグイン

未使用のプラグインも攻撃対象になり得ます。無効化されていても脆弱性は悪用される可能性があります。

SentinelSecurityなら

設定リスクと古いコンポーネントをワンクリックで確認。セキュリティの知識は不要です。

診断対象

すべてのチェックを、現実のリスクにひもづけて診断。

SentinelSecurityはWordPress環境に対して20の脆弱性チェックを実行します。フラットな一覧ではなく「実際に何が起こりうるか」でグループ化。だから「何を」ではなく「なぜ」が分かります。

20項目/4つのリスク領域別に診断

01

基盤をパッチする:古いPHP・WordPress・データベース

サポート終了PHPや未パッチのWordPressコアでの運用は、WordPressサイト侵害の最大要因です。すべてのコンポーネントを公開CVEデータベースとEOLスケジュールに照合します。

  • PHP · CVE & EOL

    PHP 7.4以前、および既知CVEを持つ現行バージョンを検出。最優先のパッチ対象です。

  • WordPress core · CVE & EOL

    コアバージョンを公開済みセキュリティリリースと照合し、修正提供が終了したものを警告します。

  • jQuery · CVE

    テーマ同梱の古いjQueryを検出。多くのDOM-XSS問題の原因となります。

  • MySQL / MariaDB · EOL

    セキュリティパッチ提供が終了したDBバージョン(MySQL 5.7以前/MariaDB 10.3以前)を検出します。

02

ファイル・アカウント・データベースを固める

成功する攻撃の多くは、地味な基本を突いてきます:誤ったファイルパーミッション、ユーザー名そのものが「admin」の管理者アカウント、データベースに残された忘れ去られたバックアップテーブル。基本6項目を確認します。

  • wp-config.php · permissions

    DB認証情報がサーバー上で誰からも読める状態になっていないかを確認します。

  • .htaccess · permissions

    攻撃者がリダイレクトやバックドア設置のために書き換え可能な.htaccessを検出します。

  • Suspicious database tables

    backup・tmp・oldなどの名前のテーブルを警告。放置されたダンプや悪意ある投入の典型的な痕跡です。

  • Default “admin” user

    ユーザー名が「admin」のアカウントが残存している場合に警告。ブルートフォース攻撃の半分の労力を相手に与えてしまいます。

  • Administrator count

    完全な管理権限保持者が5名を超える場合に強調表示。権限拡散の兆候です。

  • User enumeration

    ?author=1やREST APIが、誰にでもユーザー名を返してしまわないかをテストします。

03

WordPress組み込み設定を引き締める

WordPressに同梱され、一般的な攻撃の成否を静かに左右する6つの設定値。修正に開発者は不要です。

  • WP_DEBUG

    本番環境でデバッグ出力がオフになっているか確認。エラーメッセージは攻撃者にとって宝の山です。

  • DISALLOW_FILE_EDIT

    ダッシュボードからのPHPファイル編集を無効化。Cookie1つの盗難が、即座に任意コード実行に直結する状態を防ぎます。

  • Database table prefix

    デフォルトの「wp_」プレフィックスを検出。汎用SQLインジェクションのペイロードが効きやすくなります。

  • Authentication keys & salts

    wp-config.php内の8つのシークレットがすべて存在し、十分にランダムであることを検証します。

  • FORCE_SSL_ADMIN

    管理者セッションが常にHTTPSで提供され、平文HTTPに落ちないことを確認します。

  • XML-RPC

    XML-RPCを検出。現在はもっぱら増幅型ブルートフォースで利用されるレガシーインターフェイスです。

04

プラグインとテーマを整理する:侵害経路第1位

Patchstackによれば、WordPress脆弱性の97%はプラグインとテーマに存在します。無効化したまま削除し忘れたものも含みます。休眠中または古いコンポーネントをすべて表面化します。

  • Inactive plugins

    無効化済みのコードもディスク上に存在し、依然として悪用可能です。削除対象として警告します。

  • Outdated plugins

    最新リリースから遅れたすべてのプラグインを、変更履歴へのリンク付きで一覧表示します。

  • Outdated themes

    テーマについても同様。子テーマの背後にある親テーマも含めて検査します。

  • Unused themes

    未使用テーマが3つを超えてインストールされている場合に警告。それぞれが攻撃面となります。

関連機能

ファイル変更監視と組み合わせてより強力な保護を

脆弱性診断で問題を発見した後は、ファイル変更監視で不正な変更を即座に検出。侵害が発生しても迅速に対応できます。

ファイル変更監視を見る

その他の機能

SentinelSecurityの他の機能も確認

SentinelSecurityは、脆弱性スキャンからファイル監視、メール通知まで、WordPressサイトのあらゆるセキュリティをカバーします。

ログインセキュリティ

WordPressログインを多層で守る。IPロックアウト・2FA・CAPTCHAで攻撃者を入口で阻止。

詳しく見る

HTTPヘッダー診断

セキュリティヘッダーの設定を診断し、不足・誤設定を修正するための具体的な提案を提供します。

詳しく見る

REST API診断

WordPress REST APIのセキュリティを18項目でチェック。攻撃者に発見される前に情報漏洩リスクを特定します。

詳しく見る

API保護

REST APIのレート制限とユーザー列挙対策で、API経由の情報漏洩と不正利用をブロック。

詳しく見る

ファイル変更監視

WordPressの各ディレクトリにおけるファイルの追加・変更・削除を検知。不正な改ざんをすぐにアラートでお知らせします。

詳しく見る

セキュリティヘッダー設定

CSP、HSTS等のセキュリティヘッダーをGUIで簡単設定。スマートスキャンで最適設定を自動生成。

詳しく見る

メール通知設定

ログイン・ファイル変更・脆弱性検知など、7種類のセキュリティ通知を完全カスタマイズ。ホワイトラベル対応。

詳しく見る
SentinelSecurityの全機能を見る

脆弱性に
先手を打ちましょう。

SentinelSecurityの包括的なセキュリティ機能でWordPressサイトを守りましょう。

プランを見る