最近、ある読者から、あなたのサイトのセキュリティ、ハッキング、脆弱性を簡単にスキャンする方法はないかという質問があった。
もしあなたのサイトがハッキングされている可能性があるのなら、WordPressのセキュリティ・スキャンを試してみるのがよいでしょう。さらに、無料で利用できるWordPressセキュリティスキャナーもたくさんあります。
この投稿では、迅速なセキュリティチェックに役立つWordPressセキュリティスキャナーを厳選しました。
WordPressのセキュリティとマルウェアスキャナーは何ができるか?
オンライン脆弱性スキャナやマルウェアスキャナを使えば、あなたのサイトによくあるセキュリティリスクをチェックすることができます。例えば、悪意のあるコード、不審なリンク、不審なリダイレクト、WordPressのバージョンなどを調べることができます。
しかし、WordPressのデータベース、ユーザーアカウント、WordPressの設定、プラグインなどのテストを実行することができないため、かなり制限されています。
ハッカーは悪意のあるコードを簡単に偽装することができ、このような基本的なセキュリティチェックでは気づかれません。そのため、SucuriのWebアプリケーションファイアウォールを使用することをお勧めします。SucuriのWebアプリケーションファイアウォールは、悪意のあるコードがサイトに到達する前に検知し、無効化する完全なWebサイトセキュリティサービスです。
WordPress サイトのセキュリティを強化するには、WordPress セキュリティガイドを参照してください。
とはいえ、WordPressの脆弱性スキャナーを試してみるのもよいだろう。
1.Sucuri SiteCheck
SiteCheckは、最高のWordPressファイアウォールとセキュリティサービスであるSucuriによるオンラインツールです。悪意のあるコード、スパムインジェクション、サイトの改ざんなどがないか、サイトを徹底的にチェックします。
また、Googleセーフブラウジングを含む複数のドメイン名ブラックリストツールでサイトをチェックします。SucuriのSiteCheckツールは、入力したURLをスキャンするだけでなく、そのURLからリンクされている他のページもクロールし、徹底的かつ高速にスキャンします。
関連サイトを保護するWordPressセキュリティプラグインのリストをご覧ください。
2.IsItWPセキュリティスキャナ
IsItWP Security Scannerを使用すると、WordPressサイトにマルウェアやその他のセキュリティ脆弱性がないか素早くチェックできます。Sucuriによって提供され、WordPressのセキュリティを強化するためのステップバイステップの手順で素早くサイトをチェックすることができます。
また、Googleセーフブラウジングやその他のマルウェアブラックリストであなたのサイトをチェックし、ドメインがクリーンであることを確認します。
3.Googleセーフブラウジング
Googleセーフブラウジングツールを使用すると、Googleによって安全でないとマークされたURLを確認することができます。Googleは何十億ものURLを監視しており、もしそのサイトがマルウェアを配布していると疑われる場合、訪問するのは危険であるとマークします。
これにより、Google検索やGoogle Chromeからあなたのサイトにアクセスしたユーザーに警告ページが表示され、あなたのサイトの評判が落ちる可能性があります。Google Search Consoleを使用している場合、サイトが安全でないと判定されると警告が表示され、警告を解除するための手順が表示されます。
4.WPSec
WPSecは、既知の脆弱性や疑わしいコードに対してあなたのサイトをチェックします。WPSecは、システムによって検出された脆弱性のインデックスを管理し、あなたのサイトのセキュリティ漏れをチェックします。
WordPressのバージョン、インストールされているプラグイン、robots.txtファイルの検出も試みます。スキャン後、結果は各項目の説明とともにわかりやすい形式で表示されます。
5.スキャンWP
ScanWPは非常に基本的なWordPressの脆弱性スキャナです。WordPressのバージョンを検出し、最新バージョンを使用しているかどうかを確認します。また、WordPressのジェネレータタグを検出し、サイトがジェネレータタグを表示しているかどうかを確認します。
ジェネレータタグは、使用しているWordPressのバージョンを表示します。一部のセキュリティ専門家は、これはハッカーが効果的にサイトを標的にするのに役立つと考え、WordPressジェネレータタグを削除することを推奨しています。
6.WordPressセキュリティスキャン
WordPress Security Scanは、WordPressプラグイン、ユーザー名、WordPressのバージョン、アクティブなテーマなどの検出を試み、徹底的なテストを実行します。また、Googleセーフブラウジングインデックスでウェブサイトをチェックし、ブラックリストに登録されていないことを確認します。
各項目の簡単な説明とともに、サイト状態の詳細なレポートを提供します。これらの項目は、WordPress の最新バージョンの使用やプラグインの更新など、WordPress のセキュリティに関する一般的なベストプラクティスです。
7. プレコン
wpreconも基本的なWordPress脆弱性スキャナーツールです。更新が必要かどうかを確認するためにWordPressのバージョンを検出し、Googleセーフブラウジングインデックスをチェックし、インストールされているWordPressプラグインを検出しようとします。
また、ディレクトリインデックス、テーマパス検出、外部リンク、iframe、JavaScriptのスキャンも行います。結果は、スキャンされた各項目について適切な説明とともに、美しいフォーマットで表示されます。
8.クテラ
Qutteraは便利なオンライン脆弱性スキャナーツールを提供する。このツールは、あなたのサイトをクロールし、不審なファイル、悪意のあるコード、iframe埋め込み、リダイレクト、外部リンクを検索するディープテストを実行する。
また、Google Safe Browsing、Malware Domain List、PhishTankなどのブラックリストに登録されたドメインデータベースの中からあなたのドメインをチェックします。詳細レポートは各項目に分かれており、各項目をクリックしてスキャン状態を表示することができます。
9.ウェブインスペクター
Web Inspectorオンライン・ウェブサイト・セキュリティ・スキャナーも、WordPress サイトのテストに使用できる便利なツールです。まず、GoogleセーフブラウジングとComodoアナリストインデックスでサイトをチェックします。
その後、マルウェアのダウンロード、ドライブバイマルウェア、WordPressのバックドアに似た不審なコード、ワーム、トロイの木馬、iframe、不審なスクリプトやファイルをスキャンします。
10.WordPress脆弱性スキャナー
WordPress Vulnerability Scannerは、WordPressサイトの一般的な脆弱性を検査します。WordPressのバージョン、インストールされているプラグイン、テーマをスキャンし、既知の脆弱性を持つプラグインをチェックします。
このサイトでは、セキュリティが侵害されたウェブサイトを検出するのに役立つ、上級ユーザー向けのその他のスキャンツールもいくつか提供している。
11.アップガード・クラウド・スキャナー
UpGuard Cloud ScannerもWordPressサイトのセキュリティリスクをスキャンするオンラインユーティリティです。まず、ドメインのレコード、DNS、オープンポート、メール設定をチェックします。ドメインやサーバーベースのハッキングは、ドメイン名を乗っ取ったり、スパムやマルウェアの送信に悪用したりする可能性があります。
その後、既知の悪意のあるコード、マルウェアのパターン、不審なリンク、フィッシングの試みがないかどうかを調べます。スキャン結果はわかりやすいフォーマットで表示されます。
12. urlquery URLスキャナー
ハッカーやマルウェアがよく使うテクニックは、ウェブサイト訪問者をスパムサイトにリダイレクトさせることです。このようなハッキングは、ログイン中でないユーザーをリダイレクトさせるだけなので、長い間気づかれずに済みます。
urlquery URLスキャナは、指定されたURLをチェックするだけで、ユーザーへのリダイレクト、マルウェアのダウンロード開始、Cookieの設定などを検出します。この情報は、あなたのサイトのセキュリティ状態をさらに分析するために使用することができます。
13.ウイルストータル
VirusTotalは、セキュリティの脆弱性やマルウェアのURLを素早くスキャンするもう一つの方法です。数十のマルウェアデータベースであなたのサイトのURLをチェックし、詳細なレポートを表示します。また、リダイレクトやサイトヘッダ内の不審なコードもスキャンします。
14.ノートンセーフウェブ
ノートンセーフウェブは、WordPressサイトのセキュリティ脅威をスキャンするもう一つの便利なツールです。シマンテックの高度な検出技術を使用して、一般的なマルウェア、フィッシング、スパムのパターンを探します。
その結果、コンピューターの脅威、脅威の特定、迷惑要因が表示される。クリーンなサイトであれば、3つのスキャンすべてにおいて「0」となります。あなたのサイトが安全でない場合、検出された脅威が表示され、さらに調査して問題を解決するのに役立ちます。
この投稿が、オンラインで最高のWordPress脆弱性スキャナーを見つけるのに役立てば幸いです。また、ハッキングされたWordPressサイトを修復するための初心者ガイド、またはWordPressのための最高の分析ソリューションのエキスパートピックもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Jiří Vaněk
Thank you for the great list. Personally, I have only used VirusTotal so far, either for detecting URLs (e.g., when suspicious of phishing) or for detecting files themselves, such as from FTP, when I wasn’t sure if they were compromised. However, in this list, I found new tools that I have bookmarked and that I wasn’t aware of. Thank you very much.
Pablo
Hi Team, is there a plugin which scans your WordPress Intranet site (Offline solutions)?
Thanks.
Dan
Thank you for the post about security scanners. At first, I thought you were referencing online security scanning for individual FILES. Perhaps you could investigate that as well and post your findings ? I operate a business which enables customers to upload their art files to my website…and use a gravity form with drop box feed….but I still have to open the files, and would want to scan them first before opening on my computer….better then safe then sorry.
Thank you
Gautam Roy
Thanks for this helpful tip, but tell me is additional security required on Wordpress.
Many people say that Wordpress is very secure CMS.
What is your opinion on that?
WPBeginner Support
Hi Gautam,
WordPress is secure but you still need to follow the security best practices like using strong passwords, installing a backup plugin, adding a security plugin, and more.
管理者
Robin Eyre
A useful run down of tools. Thank you.