最近、WP PORTAL っていうサービスを知ったので使ってみた話。
WP PORTAL? なんぞ?
「WP PORTALは、
WordPressを使用するWebサイトに対する最新の攻撃情報を提供する、
WordPressサイト構築/運用者向けのセキュリティ対策支援ポータルサイトです。」
これを使うと、自分の wordpress サイトのセキュリティチェックをさくっとやってもらえる。
そういうサービスです。
提供している会社は、
Kobe Digital Labo 神戸デジタル・ラボ 。
主にITコンサルティングサービスやシステム開発、Webサイトプロデュースサービス、情報セキュリティサービス、システム運用・保守サービスなどを行なっている日本の企業です。
やり方
① まずは WP PORTAL にてアカウント作成
② サインアップ後のダッシュボード画面を確認
表示されている情報は下記の通り
左サイドバー
- WoardPress 攻撃情報
アカウント攻撃情報
プラグイン攻撃情報
テーマ攻撃情報
- セキュリティチェック
サービス内容
セキュリティチェック
真ん中のメインコンテンツ
- Word press の最新バージョン
- 全世界で起きている Word Press への攻撃回数
- 攻撃されているアカウント、プラグイン、テーマの数
- 攻撃元 IP アドレス、国の一覧
などが表示されています。
おそロシア。。。
気になる情報も多々ありますが、今回は、
左サイドバーの [セキュリティチェック] をクリックします。
③ チェック対象のサイトを登録
この画面で以下の情報を入力します。
・サイトの名前
・チェック対象のサイト URL
[サイトの名前] に入力する文字列は通常、サイト名を登録しておけばいいかな。
複数のサイトをチェックしたい場合には、
WP PORTAL 内で一意に識別できればなんでも良さそうです。
④ 確認タグを取得
上記手順 3 でサイト登録を完了させると以下の画面に。
この画面で表示される <div> タグをメモっておきます。
⑤ 自分の wordpress サイトに確認タグを追記
手順 4 でメモった確認タグを、自身サイトの <body> タグのどこかに入れておきます。
この作業をすることによって、自分がサイト管理者であることを証明します。
⑥ チェックを依頼する
WP PORTAL に戻って、「セキュリティチェック」を押す。
コレだけ。
後は診断結果が返ってくるの待つのみ。
WP PORTAL アカウントに登録したメールアドレスに飛んできます。
本サイトの結果
ジェンパニが一晩でやってくれました。
結果レポートがコチラ。
うん。問題は見つかりませんでした。
たいしたカスタマイズもしていないので当然ですね。。
見た感じ、こんなことをやってくれているのかな。
a) 攻撃されやすい管理者の ID/PW でログインできちゃうかチェック
b) 使用しているテーマとプラグインが
脆弱性のあるテーマ/プラグインのリストに含まれるかチェック
なお、
「より専門的なセキュリティ診断やセキュリティ対策をご希望の方は、弊社サービスをご検討ください。」
まぁ、当然ですよねー。
無料ですからねー。
まとめ
・無料版はチェックできる範囲が限定的
細かいチェックはできないけど、
一度設定してしまえば後はクリックひとつで継続的にチェック可能になる。
・有効に活用できそうだなって思ったところ
脆弱性のあるテーマ/プラグインは、日々刻々と変化して増減している。
それを常日頃チェックするのは面倒。
人間のやる仕事じゃなく機械にやらせる仕事。
以上のことから、個人的には、
上記 (b) を確認する目的で定期的にチェックして行こうかなと思いました。
