WPScanでセキュリティリスクをチェックする方法について、macOS向けに解説します。
WPScanとは
WPScanはWordPress用に開発されているセキュリティスキャナーです。
UIは用意されておらずコマンドラインツールからの操作が必要ですが、個人利用であれば無料で簡単にWordPressサイトのセキュリティリスクをチェックできます。
定期的に利用して、自分のWordPressサイトに脆弱性がないか確認しておくと良いでしょう。WPScanの公式サイトでは1週間に1回のスキャンが推奨されています。
WPScanにできること
WPScanには以下の機能が用意されています。
- WordPressコア(本体)の脆弱性検出
- テーマやプラグインの脆弱性検出
- ユーザー名列挙
- メディアファイルの列挙
- read meファイルのチェック
- WP-Cronの状態チェック
- ユーザー登録の可否チェック
- ディレクトリリストの確認
- セキュリティリスクの高いパスワードを設定しているユーザー
- バックアップおよび公開されているwp-config.phpファイル
など。
脆弱性に関わるさまざまな項目を総合的に確認して脆弱性を検出してくれます。
WPScanの使い方
1. 公式サイトから登録してAPIキーを取得
まずはWPScan公式サイトから無料で登録して、APIキーを取得します。Freeのプランを選んで、名前とメールアドレスを入力すれば登録できます。
登録完了するとProfileページにAPI Tokenが表示されたら完了。API Tokenは実際にスキャンする際に使用します。
2. 必要なパッケージをインストール
macOSでHomebrewを使用している場合を想定しています。
ターミナルで下記のコードを打ち込むと、WPScanの使用に必要なパッケージが自動でインストールされます。
brew install ruby cur※ちなみにUbuntuの場合は下記のコードです
sudo apt update && sudo apt install ruby-full curl -yいろいろなファイルがダウンロードされますので、数分待ちましょう。
3. WPScanをインストール
パッケージのインストールが完了したら、WPScan本体をインストールします。下記のコードをターミナルに打ち込みます。
sudo gem install wpscanPCのパスワードを求められますので、入力するとインストールが始まります。
4. インストール確認
インストールが完了したら、最後に下記のコードを打ち込んで正常に終わったかチェックしておきましょう。
wpscan --versionWPScanのバージョンが表示されたら準備完了です。
5. 基本的なスキャンコマンドでスキャン
下記のコードを打ち込めば、スキャンが走ります。
https://example.com の部分は、スキャンしたい自サイトのURLを。YOUR_API_KEYの部分は、手順1で取得したAPI Tokenを入力します。
wpscan --url https://example.com --api-token YOUR_API_KEYするとスキャンが始まって結果が表示されます。
6. 結果を元に対応
診断結果を元に、対応していく必要があります。
ただかなり長文の文字列が返ってきますから、慣れるまではChat GPTなどに読ませて整理させると分かりやすいかと思います。
とくにXSSや列挙攻撃などに対する脆弱性が指摘されたら、優先的に対応していきましょう。
WPScanは全WordPressユーザーが使うべき
普通にWordPressサイトを運営しているだけでも、それがWeb上で自由に閲覧できる以上、常にリスクに晒されます。
定期的に脆弱性をチェックして、できるだけリスクがないようにしていきましょう。
