WordPressの設定及びインストールされているプラグインやテーマなどの脆弱性を診断し、診断結果レポートをお届けするサービスを提供しております。
WordPress内に潜む問題点を診断・指摘
情報攻撃が急速に広がっている近年、個人や企業のホームページなどWordPressで作成されたWebページに対する攻撃が日々進化しています。昨年の報告では、世界中のWordPressで作成されているWebページに対する攻撃が約30億回を超えていると発表されました。 特にプラグインやテーマの脆弱性を標的とし、中でもWordPressの特徴である「ファイルとディレクトリ構造」を狙った攻撃は、全体の約43%を占めています。個々で使用しているWordPressの設定、プラグインやテーマなどに脆弱性が含まれている可能性があるため、セキュリティ診断を施し、守る必要があります。
背景
一般的に、WordPressは会社や個人によって作り方が異なり、ダウンロードや使用も自由であるため内在する脆弱性もさまざまです。そのため、市販の脆弱性診断ツールで診断を行っていても、脆弱性を見落としてしまう可能性があります。脆弱性を漏れなく発見するためには、個々のWordPressの仕組みや特性を考慮した上で、サードパーティのプラグインやテーマの安全性を検証するきめ細かな診断が必要です。
- 誰でも無料に使えるオープンソース、そしてソースコードが公開されているため、自由かつ自在にプログラムを改変することが可能であります。
- ユーザーは、HTML/CSSなどWebの知識がなくても簡単にホームページを作れるので、セキュリティ対策に無頓着になりやすい傾向があります。
- 全世界に存在するWebページの約40%以上がWordPressで占められており、もし脆弱性が見つかった場合、攻撃者はその脆弱性に関連する多くのサイトを攻撃の標的にしかねません。
診断内容
● WordPress設定の診断
● インストールされているテーマの診断
● インストールされているプラグインの診断
検出される脆弱性の一例
| No | 診断項目 |
| 1 | インストールされているWordPressのバージョンと関連する脆弱性 |
| 2 | インストールされているプラグインと関連する脆弱性 |
| 3 | インストールされているテーマと関連する脆弱性 |
| 4 | ユーザー名の列挙(Username enumeration) |
| 5 | パスワードブルートフォーシングによる弱いパスワードを持つユーザー |
| 6 | バックアップされ、公的にアクセス可能な wp-config.phpファイル |
| 7 | 公的にアクセス可能なデータベースダンプ |
| 8 | エラーログがプラグインによって公開 |
| 9 | メディアファイルの列挙 |
| 10 | 脆弱なTimthumbファイル |
| 11 | WordPressのreadmeファイルの存在 |
| 12 | WP-Cronの有効化 |
| 13 | ユーザー登録の有効化 |
| 14 | フルパス開示(Full Path Disclose) |
| 15 | ディレクトリリストのアップロード |
診断レポート
● レポート形式(WordまたはPDF)
● 総合評価(A~Eの5段階)
● 脆弱性の概要と詳細
● 脆弱性が与える影響度や深刻度
● 脆弱性への対策方法
サービスフロー
オプションサービス
- 再診断
03-6206-2066