WordPress Security ScannerはWordPressのセキュリティチェックを行うソフトウェア。

WordPress Security ScannerはWordPress用、Ruby製のオープンソース・ソフトウェア。WordPressは世界最大級のシェアを誇るブログエンジンだ。もはやブログエンジンとしてだけでなく、CMSとして世界中で利用されている。しかもオープンソースで使えるのが素晴らしい。

実行画面

オープンソースであることからも分かる通り、何らかのセキュリティホールがあった場合には狙われやすいのが欠点だ。本体以外でもプラグインのセキュリティホールを突いてきたりするクローラーがあったりもする。そんなWordPressの脆弱性を事前にチェックできるのがWordPress Security Scannerだ。

WordPress Security ScannerはRuby製のソフトウェアで、ターミナルで利用する。そしてWordPressのURLを指定して実行するとパスワードの特定をしようとする。辞書ファイルを利用することも可能だ。これによって簡単なパスワードを設定していないかチェックできるのだ。

ヘルプ

また、XMLファイルに定義されているWordPressのバージョンと、報告されている脆弱性のチェックをしてセキュリティチェックを行う。WordPressは有名だからこそ、クラッキングで狙われやすい。パスワードの設定やバージョン管理に注意してほしい。

[s2If current_user_can(access_s2member_level1)]

[/s2If]

MOONGIFTはこう見る

HTTPのログを見るとWordPress狙いのアタックは実に多い。特定のファイルへアクセスし、そのファイルがあれば脆弱性をついてくるといったやり方だ。WordPressコアのセキュリティホールは減っているが、プラグインを使ったアタックもあるので気を抜けない。

オープンソースであるが故に脆弱性は公開され、かつ随時修正される。その脆弱性を使ってクローラーが攻めて来る。最新版の適用であったり、不要なプラグインを削除（無効にしてもセキュリティホールがあるとあまり意味がない場合も多い）するなど、運用に気を配りたい。WordPress Security Scannerはセキュアな運営を行うためのノウハウをソフトウェアとして提供してくれるはずだ。

wpscan - WordPress Security Scanner - Google Project Hosting