WPScanは、定期的にサイトの脆弱性をチェックしてくれるWordPressプラグインです。
WordPress本体・プラグイン・テーマ・その他セキュリティのチェックが行なえます。
なお、WPScanを利用するには、メールアドレスによるユーザー登録が必要です。無料ユーザーの場合は、1日に75リクエストまでという制限もありますのでご注意ください。
WPScanのインストール
インストール手順は以下の通りです。
ファイルをFTPでアップロードしてインストール
- WPScanをダウンロードします。
- ダウンロードしたファイルを展開し wp-content/plugins にアップロードします。
- 管理画面の[プラグイン]ページで、WPScanを有効化します。
WordPress管理画面でインストール
- [プラグイン] – [新規追加]にアクセスします。
- 「WPScan」で検索します。
- [今すぐインストール]をクリックして、WPScanをインストールします。
- [有効化]をクリックしてプラグインを有効化します。
WPScanの設定
プラグインを有効化したら、まずは[WPScan] – [設定]にアクセスして各種設定を行います。
| WPScan API Token | APIトークン |
| Automated Scanning | スキャンする間隔 |
| Scanning Time | スキャンする時間 |
| セキュリティチェックを無効化 | セキュリティチェックの無効化 |
| Ignore Items | スキャンから除外する項目 |
「WPScan API Token」の[新規登録]からユーザー登録することで、APIトークンを取得できます。ユーザー登録してWPScanの公式サイトからログインするとAPIトークンが表示されますので、コピーして設定しましょう。
脆弱性チェックのレポート確認
[WPScan] – [レポート]を開くと、脆弱性チェックのレポートを確認できます。
まだスキャンが実行されていない場合は、[Run All]で即時スキャンが実行されます。また、「通知設定」をしておけば、脆弱性が見つかった際にメールで通知してくれます。
上記画像の場合、「HTTPSになっていないよ」とか「ユーザーのパスワード強度が弱いよ」などを教えてくれていますね。
あとがき
リクエスト数に制限はあるものの、無料で使えるのはありがたいですね。
サイトのセキュリティ対策は非常に重要です。WPScanのスキャンで脆弱性を指摘された場合は、素早く対処しておきましょう。