WPScanプラグインを使用してWordPressWebサイトの脆弱性を見つける
公開: 2021-09-15WordPress Webサイトのセキュリティの管理には、さまざまなタスクが含まれます。 タスクの1つは、Webサイトで使用しているプラグイン、テーマ、およびWordPressのバージョンに既知の脆弱性がないことを確認することです。 幸い、このタスクは、無料のWordPressプラグインであるWPScanを使用して自動化できます。
WPScanプラグインは、定期的なスキャンを実行することにより、実行しているソフトウェアに脆弱性があるかどうかを確認できます。 結果を脆弱性の専用の最新データベースと照合し、SQLインジェクションなどの脆弱性がWebサイトにあるかどうかを通知します。 SQLインジェクションとは何かがわからない場合は、WordPressのセキュリティ用語と単語の用語集を読むことができます。この用語集では、ゲームのトップを維持するのに役立つ簡潔な説明が提供されています。
この記事では、WPScanプラグインをインストールしてセットアップし、WordPressWebサイトの脆弱性をスキャンする方法について説明します。 この前に、WPScanがWebサイトのセキュリティに不可欠である理由を説明します。
WPScanの紹介
まず、WPScanとは何かを説明しましょう。 WPScanは、WordPressのコア、テーマ、プラグインをスキャンして、既知の脆弱性とセキュリティの問題を検出できるWordPress脆弱性スキャナーです。
オープンソースソフトウェア、WordPressプラグイン、有料オンラインサービスとして利用できます。 この記事では、無料のWPScanWordPressプラグインを設定して使用する方法に焦点を当てていることに注意してください。 オープンソーススキャナーの詳細については、WPScanスキャナーの使用を開始するをお読みください。
WPScanプラグインはどのように機能しますか?
プラグインは、Webサイトで使用しているプラグイン、テーマ、およびWordPressコアバージョンを検出すると、使用しているソフトウェアに脆弱性があるかどうかを確認します。 WPScanチームによって維持されている脆弱性データベースにリクエストを送信することでこれをチェックします。
このデータベースには、何千もの既知のWordPressの脆弱性が含まれています。 脆弱性がデータベースに追加される前に、専門家によって精査されます。 これは、各エントリが人間の目で取得され、検証され、データベースに追加されることを意味します。
さらに、データベースの新しい脆弱性を見つけるための一定のサイクルがあります。 たとえば、2021年5月に、70を超える新しい脆弱性がデータベースに侵入しました。
Webサイトのスキャンが完了すると、スキャンの結果に関する電子メール通知が届きます。 PDFレポートを受け取り、ダウンロードしてチームと共有することもできます。
無料のWPScanプラグインは、平均的なWebサイトを毎日スキャンするのに十分です。 ただし、1日に複数のWebサイトをスキャンする必要がある場合は、プレミアムWPScanプランが必要です。 価格とプランの詳細については、WPScanのWebサイトにアクセスしてください。
WPScanがWebサイトの保護にどのように役立つか
WPScanは、Webサイト上の脆弱なソフトウェアを特定するプロセスを自動化することで役立ちます。 プラグインを構成して、毎日または1時間ごとのスキャンを実行し、問題が特定されたらスキャン結果を記載した電子メール通知を送信することができます。
これは、WordPressセキュリティプログラムで心配する必要のあることの1つであり、ビジネスに集中する時間を増やすことができます。
WPScanWordPressプラグインを使用する利点
これで、WPScanがサイトに対して何ができるかがわかりました。 WebサイトでWPScanプラグインを実行する利点は次のとおりです。
- WPScanチームはWordPressセキュリティコミュニティ内の備品であるため、セキュリティ研究者は脆弱性をデータベースに送信することを選択します。 これにより、リストが最新の状態に保たれます。つまり、Webサイトで既知の最新の脅威が常にチェックされます。
- WPScn脆弱性データベース自体は非常に価値があります。 現在、20,000を超えるエントリがあり、すべて専門家チームによって精査され、追加されています。 このようなWordPressの脆弱性のコレクションは他にありません。
- WordPressのコア、プラグイン、またはテーマの脆弱性について最初に知ることができます。 多くの場合、あなたとWPScanは悪意のあるユーザーを打ち負かします。 つまり、脆弱性が実際に悪用される前にWebサイトを保護します。
もちろん、注意が必要な問題がある場合は通知を受け取ることもできます。 ただし、データベースを使用して、インストールするプラグインの脆弱性を確認することもできます。
積極的な方法でサイトを保護できるため、これは非常に貴重です。 さらに、脆弱性がサイトに影響を与えるのを可能な限り最善の方法で防ぐことができます。安全に使用できることがわかるまで、テーマまたはプラグインを手の届くところに置いてください。
また、データベースを表示してスキャンを実行するための柔軟な方法もあります。 WordPressプラグインは、最もアクセスしやすい作業方法を提供します。
WPScanプラグインの使用を開始する
一言で言えば、WPScanのWordPressプラグインは、脆弱性データベースの一種の基本的な「ラッパー」です。 それでも、それが提供する経験のためにそれを使用することをお勧めします。
ステップ1:プラグインをインストールする
インストールプロセスは、他のすべての無料のWordPressプラグインとまったく同じです。 WordPressの[プラグイン]ページに移動し、WPScanデータベースを検索して、[インストール]をクリックします。 プラグインがインストールされたら、それをアクティブにします。
有効にすると、APIトークンを取得するための通知が表示されます。
これは、プラグインがAPIリクエストを脆弱性データベースに送信するために必要です。 1日あたり最大25のAPIリクエストを無料で送信できます。 平均的なWebサイトに約20個のプラグインがあることを考えると、大多数のWebサイトではこれで十分です。
ステップ2:APIトークンを取得する
APIトークンを取得するには、通知に記載されているリンクをクリックするか、WPScan Webサイトにアクセスして、[無料のAPIトークンを取得]をクリックします。
フォームを送信したら、メールアドレスで確認してから、アカウントにログインする必要があります。 WPScanダッシュボードにログインすると、APIトークンが最初の情報として表示されます。
ステップ3:APIキーをアクティブ化する
WordPress内のWPScanプラグイン設定ページに戻り、APIトークンを関連フィールドに貼り付けます。
ステップ4:自動スキャン設定を設定する
[設定]で、スキャンの頻度と実行する時間を構成できます。
スキャンは、毎日、1日2回、または時間単位で設定できます。 無料のAPIキーを使用すると、1日あたりのスキャンしか実行できません。これは、最初から十分です。
設定から、セキュリティチェックを無効にし、脆弱性スキャンからプラグインまたはテーマを除外することもできますが、これはお勧めしません。
以上です。 設定を保存すると、スケジュールされたときに脆弱性スキャンが実行されます。
WordPressWebサイトの脆弱性スキャン結果
[レポート]画面には、プラグインがWebサイトで何を識別したか、およびどのような問題が発生する可能性があるかについての洞察が表示されます。 たとえば、現在のWordPressバージョン、およびインストールしたすべてのプラグインとテーマを確認できます。
ここで、スキャンによってサイトで検出されたすべての脆弱性を確認できます。 画面の上隅を確認すると、[すべて実行]ボタンが表示されます。 これにより、Webサイトのフルスキャンが実行されます。
電子メール通知を受け取りたい場合は、右側の[通知]メタボックスから行うことができます。
また、サイトで実行できるチェックは他にもたくさんあります。 実際、それぞれを個別に実行できる便利なリストがあります。
準備ができたら、ここからPDFレポートをダウンロードすることもできます。 これは、セキュリティの証明として、またはサイトを改善する方法に関する行動計画として、チームまたはクライアントと共有するのに適しています。
脆弱性のないWordPressWebサイトを実行する
WordPressWebサイトを保護するために実行できるすべてのアクションは非常に重要です。 サイト自体またはユーザーが危険にさらされているかどうかにかかわらず、使用するソフトウェアの最も安全なバージョンを実行するためにあらゆる機会を利用することが重要です。
これを行うための最良の方法の1つは、WPScanプラグインを使用することです。これは、数分以内にセットアップでき、自動スキャンを実行できるフル機能の脆弱性スキャンプラグインであるため、心配する必要が1つ少なくなります。