WordPressセキュリティチェッカー
任意のWordPressサイトで一般的なセキュリティの問題をチェックします:露出したファイル、古いバージョンの兆候、ログインページの公開、XML-RPC、およびユーザー列挙。
WordPressセキュリティチェッカーの使い方
- 1WordPressサイトのURLを入力してください。
- 2当社のスキャナーが一般的なWordPressセキュリティの設定ミスと露出したエンドポイントをチェックします。
- 3各検出結果をその重大度レベルと推奨される修正で確認してください。
- 4推奨されるハードニング手順を適用して、攻撃面を削減してください。
Zenovayアナリティクス
関連ツール
よくある質問
この WordPress セキュリティ チェッカーは何をテストしますか?▾
12 の一般的な WordPress セキュリティの問題をチェックします: 露出されたバージョン情報、アクセス可能な readme.html と license.txt、XML-RPC エンドポイント、ログイン ページ保護、REST API ユーザー列挙、wp-cron 露出、インストール スクリプト アクセス、wp-config バックアップ、HTTPS、セキュリティ ヘッダー。
自分の WordPress サイトをスキャンするのは安全ですか?▾
はい。このツールは、公開されているページに対して標準的な HTTP リクエストを行うのみです。これは、Web ブラウザーまたは検索エンジン クローラーが行うリクエストと同じです。認証、ブルート フォース試行、またはエクスプロイト ペイロードは使用されません。
XML-RPC がセキュリティ リスクなのはなぜですか?▾
XML-RPC は WordPress のレガシー リモート プロシージャ コール API です。単一の XML-RPC リクエスト (multicall) ごとに最大 500 回のログイン試行を許可し、ブルート フォース攻撃がレート制限をバイパスできます。DDoS ピングバック増幅攻撃でも使用されます。具体的に必要でない限り、無効にしてください。
ユーザー列挙とは何で、それがリスクなのはなぜですか?▾
/wp-json/wp/v2/users の WordPress REST API は、ユーザー名を公開します。攻撃者はすべての管理者ユーザー名を取得し、対象を絞ったブルート フォース または認証情報詰め込み攻撃で使用できます。このエンドポイントをブロックすると、1 つの攻撃ベクトルが削除されます。
WordPress バージョンを非表示にするにはどうすればよいですか?▾
テーマの functions.php に `remove_action("wp_head", "wp_generator");` を追加します。また、WordPress ルート ディレクトリから readme.html と license.txt を削除します。Wordfence、iThemes Security、Solid Security などのセキュリティ プラグインを使用して、自動的にセキュリティを強化します。
ログイン ページが問題としてフラグが付けられるのはなぜですか?▾
wp-login.php ページは管理者アクセスのために存在する必要がありますが、ブルート フォース攻撃の一般的なターゲットです。推奨事項は、レート制限を追加 (ほとんどのセキュリティ プラグインはこれを実行)、二要素認証を有効にする、または wp-admin アクセスに IP ホワイト リストを使用することです。
このツールは脆弱なプラグインやテーマをチェックしますか?▾
いいえ。プラグインとテーマの脆弱性チェックには、WordPress 管理ダッシュボードまたは wp-cli への認証されたアクセスが必要です。プラグインの脆弱性スキャンに WPScan、Patchstack、または Wordfence を使用します。このツールは、公開されているセキュリティ設定ミスに焦点を当てています。