WordPress、及びホームページの脆弱性診断サービス

「セキュリティ診断(脆弱性診断)」とは、クラッカー(以下:攻撃者)の視点で疑似的な攻撃をおこない、ホームページの安全性を調査するものです。調査の結果はレポートにまとめます。

レポートには、現時点での脆弱性と、その対策を具体的に記載しているので、セキュリティ対策を検討する際の材料としてお使いいただけます。

この記事では、脆弱性診断の概要と、私が出品しているサービスについて紹介いたします。サービスを購入する上でのお願いごとを記載しておりますので、目を通していただいてから、ぜひ購入をご検討ください。

 

目次

 

1. WordPress、及びホームページのセキュリティ診断サービスとは

WordPress、及びホームページのセキュリティ診断サービスについて説明いたします。

脆弱性診断とは

脆弱性診断とは、攻撃者の視点で疑似的な攻撃をおこない、ホームページの安全性を調査するものです。調査したあとは、その内容をレポートにまとめ、提出いたします。

レポートには、現時点での脆弱性と、その対策を具体的に記載しております。

WordPressセキュリティ診断のレポート

対策をおこなうことで、さまざまな攻撃による被害を未然に防ぐことが可能です。一般的な診断の手法として、以下の項目がございます。

  1. 脆弱性スキャンツールを使った診断
  2. エンジニアによる手動診断(ペネトレーション診断)
  3. 上記を併用した診断

 

2. pamdaor033の脆弱性診断サービス

私がおこなう脆弱性診断について説明いたします。広範囲のチェックをおこない、その中から致命的な脆弱性を検出するサービスとなっております。

こちらで検出した情報をもとに対策をおこなうと、ホームページ全体の「70%」ほど、脆弱性を解決することが可能です。

部分的なチェックを網羅的におこない、対策をしたとしても、「100%」脆弱性を解決することはできません。

攻撃者のスキルが上がったり、情報が更新されていることに気付かず、古い情報のままホームページを運用したり、といったことが予想されるからです。

私の診断・被害対応の経験から、自信を持って提供できる、理想的な診断です。コストはかかりませんし、効果的なサービスだと自負しております。

機密保持

現在、『coconala』というサービスを使っております。個々のやりとりは、『coconala』の中でおこなう規則です。脆弱性診断をおこなう際に知り得た情報は、口外いたしません。

しかし、NDAの締結などはおこなわれません。基本的に、URLの情報だけ教えていただきます。ログイン情報などは必要ございません。最小限の情報で診断いたします。

診断対象

本診断サービスでは、ホームページ、およびWordPressを対象にした診断プランを提供いたします。

WordPressが置かれているホームページを全体的にチェックし、脆弱性を指摘いたします。攻撃者の視点で、WordPressコンテンツだけでなく、「プラットフォーム」「ネットワーク(NW)」「Web」と、広範囲にチェックいたします。

「お客さま情報の流出の可能性」「ホームページの改ざん」「乗っ取りにつながる脆弱性」だけでなく、お客さまの情報が外部流出していないか、併せて外部流出している部分もチェックいたします。

また、検出された脆弱性を対策するかどうかは、お客さまに判断していただきます。

診断方法

①ホームページの運用に影響があるような、以下の操作はおこないません。

  • ログイン操作
  • メール送信
  • データベースに影響のある操作など、攻撃性の強いもの
  • その他、ホームページの運用を妨げるような操作

②『WordPressのセキュリティ診断』をおこなうにあたり、ツールを使う場合がございます。ホームページの運用を妨げるような操作はおこないません。

  • クロールツール(Webページやサイト構成などを情報収集する)
  • WPScan(WordPressの脆弱性情報を検出する)

③ホームページ内の、「攻撃に使われやすいWebページ」を選択し、診断をおこないます。その際に検出された脆弱性のみを指摘するもので、網羅性を保証するものではありません。

サービス内容・検出能力

攻撃者の視点で、WordPressコンテンツだけでなく、「プラットフォーム」「ネットワーク(NW)」「Web」と、広範囲にチェックいたします。手法としては以下を駆使いたします。

  • ツールスキャン(WPScan、自作のクロールツール)
  • 目視調査(ツールで見つからない脆弱性のチェック)
  • 流入元調査(アクセス元の表示状態のチェック)

①コンテンツ

WPScanで、「WordPressの設定」「WordPress本体」「有名プラグイン」の脆弱性をチェックいたします。自作など、無名のプラグインは手動でチェックいたします。

本番環境を想定しておりますので、運用中のホームページに影響を与えるようなチェックはいたしません。価格の目安として、普段おこなっている診断は、ひとつのURLに対し、数万円かかります。

お得なサービスとなっておりますので、ぜひ脆弱性診断をご活用ください。

②プラットフォーム

「OS」「PHP」「Apache」「Nginx」「IIS」の設定、脆弱性情報をチェックいたします。こちらはリスクの高い脆弱性を指摘いたします。

③ネットワーク(NW)

SSLの設定や、解放しているポートのサービスをチェックいたします。たとえば、FTPのユーザー認証がないユーザーが公開されているなど、リスクの高い脆弱性を指摘いたします。

④Web

過去に被害対応をおこなった際、Web検索から流入していることが多かったため、「Googleなどの検索エンジンの表示状態」を目視で確かめます。

「SEOポイズニング攻撃の形跡」「ブラックリスト情報」などをチェック項目として確かめ、被害につながるおそれのあるものを指摘いたします。

実績

中小企業をメインに、300社以上のホームページを診断してきました。

  • 実際に関わったWebサイトの診断:337サイト(2018年6月現在)
  • セキュリティ被害対応:13件(うち10件がWordPress関連のもの)

検出経験や、被害調査で得た知見を活かして診断いたします。今までにサービスを使っていただいたお客さまからは、以下のような感想をいただいております。

  • 自分では気付けなかった脆弱性を指摘されたので、助かった。
  • 自分で気付いていた脆弱性もしっかり指摘してもらえたので、信用できた。
  • 脆弱性を指摘してもらうことで、セキュリティに対する意識が変わった。
  • WAF機能では防げない部分をあることを知った。
  • 自分には脆弱性に関する知識がないので、詳しい人のチェックを受けてよかった。
  • 脆弱性を放置したままにすると、どんな危険なことが起こるのかを認識した。

営業時間

対応は「平日(10:00~19:00)のみ」です。質問などをいただいた際は、1日以内にレスポンスいたします。

レポートの活用方法

プラグインで解決できる脆弱性は少ないです。しかし、解決できるものもあります。プラグインの候補をレポートに記載いたします。

まずは、「ホームページを制作している(社内、または社外の)担当者に相談してから、脆弱性の対策をおこないたい」というご要望があるかと思います。

レポートに記載されている対策方法につきましては、制作担当者さまにとって、わかりやすい内容となっております。

レポートが手元に届きましたら、概要を読んでいただき、そのまま制作担当者さまにお渡しすると、スムーズに脆弱性を対策できるかと思います。

もちろん、ご質問への回答など、お客さまが納得していただけるまで、丁寧にアフターサポートいたします。

価格とお試し版

500~30000円と、個人でもサービスを利用できる価格設定となっております。

「どのようなサービスかわからない」

「まずはコストのかからない診断を試してみて、それをもとにセキュリティ対策をおこないたい。それから、しっかりと診断することを考えている」

上記のようなお客さまは、『500円:WordPressセキュリティ診断します』がおすすめです。

『WordPressセキュリティ診断します』のお試し版として出品したサービスですが、致命的なところを優先的に指摘いたしますので、有益な情報が得られるかと思います。

①500円:WordPressセキュリティ診断します

WordPressで構築したコンテンツを対象に、脆弱性を3つまで指摘いたします。こちらのサービスは、『WordPressセキュリティ診断します』のお試し版としてお使いいただけます。

②5000円:制作担当にわたしやすいWP脆弱性対策仕様書作ります

WordPressで構築したコンテンツを対象に、リスクの高い脆弱性のみを指摘いたします。脆弱性対策は負担のかかる作業ですので、その負担を抑えたい方向けのサービスです。

脆弱性には、【高】【中】【低】のランクが振り分けられております(IPAの基準)。その中でも、脆弱性ランク【高】【中】のものを指摘いたします。

③10000円:WordPressセキュリティ診断します

WordPressで構築したコンテンツを対象に、すべての脆弱性を指摘いたします。このサービスを使っていただくと、WordPressから新たな脆弱性が公開されるまで、コンテンツのセキュリティ面については安心かと思います。

④30000円:ホームページのセキュリティ診断します

ホームページのドメイン全体のコンテンツを対象に、すべての脆弱性を指摘いたします。

アフターサポート

アフターサポートもしっかり対応いたしますので、ご不明な点がございましたら、お気軽にご相談ください。

レポートについて

脆弱性を対策するには、ある程度のリテラシーが必要です。制作担当者さまにレポートをお渡しいただくと、スムーズに脆弱性を対策できます。

「レポートに記載してあること以外のアドバイスをもらいたい」「改善方法を詳しく教えてほしい」などのご要望がございましたら、お客さまに納得していただけるまで、丁寧にアフターサポートいたします。

再診断

前回のホームページの状態を考慮して、適切なプランを提案いたします。

対策実施時、検証環境構築のアドバイス

  1. 「ホームページに動作不良が起きないよう、対策をおこないたい」
  2. 「セキュリティ強化を自力でおこなった上で相談したい」
  3. 「検証環境の構築のサポートをしてほしい」

など、お客さまが対策を実施される際、アドバイスいたします。

対策の見積もり

対策の見積もりも可能です。ただし、私の方で対策をおこなう場合、サーバーへの接続情報が必要になります。機密保持の条件をご考慮ください。

 

3. サービスについての捕捉

私が出品しているサービスについて、もう少し詳しく説明いたします。

『WordPressセキュリティ診断』についての捕捉

本サービスは、WordPressを取り入れた、ホームページ用の脆弱性診断です。本番環境(すでに公開されているホームページ)を想定し、ツールと手動の両方で脆弱性を診断いたします。

ホームページの運用に影響のない範囲で診断いたしますので、安心して本サービスをお使いいただけます。それに加えて、「流入元調査」をおこないます。

「流入元調査」とは、攻撃者に使われるかもしれない情報が、Web上に公開されているかどうかを調査することです。

攻撃者は、標的となるホームページを見つけるとき、公開されている情報を把握するところからはじめます。ですので、攻撃者の視点で流入元調査をおこないます。

たとえば、以下のような項目を調査いたします。

  • 通信時に表示されるソフトウェアの情報
  • 検索エンジンの表示
  • ブラックリスト など

また、本サービスではツールを使います(「WPScan」と、自作のクロールツール)。マイナーなプラグインなどは、ツールで脆弱性を検出できません。

ですので、ツールに加え、手動で診断をおこないます。ただし、本サービスでは本番環境を想定しておりますので、「SQLインジェクション」など、ホームページの運用に影響を与えかねない操作はおこないません。

その代わり、流入元調査を含めて、より広範囲に調査をおこないます。

私は、WordPressのセキュリティ被害について、実際に原因調査をおこなってきました。中でも、「検索エンジンに特定の情報が表示されている状態」が流入元となっているケースが多いです。

「その流入元をGoogleサーチコンソールで削除していれば、被害に遭わなかったかもしれない」というケースもありました。

「ネットにつながなければ攻撃されようがない」のと同じように、「攻撃者に見つかりにくければ、攻撃を受けにくい」という考え方で、脆弱性診断をおこなっております。

WordPressのセキュリティ診断します 300件以上のホームページを診断してきたエンジニアにおまかせ

『制作担当にわたしやすいWP脆弱性対策仕様書』についての捕捉

本サービスは、診断結果を「PDF形式のレポート(※1)」にして、お客さまに提出しております。このレポートは、セキュリティ対策の第1歩という位置づけで、お客さまにホームページの脆弱性を認識・セキュリティ対策を検討していただくためのものです。

お客さまがこのレポートを効率的にお使いになる場合、「レポートを、ホームページ制作担当者さまに渡していただく」だけで、致命的な脆弱性がすばやく対策できる場合がございます(社内、社外は問いません)。

「致命的少数」「軽微な多数」――パレートの原則という、品質管理の用語がございます。致命的な脆弱性は、もちろん早急に対策する必要がございます。

「致命的な脆弱性」は、おそらく数としては少なく、対策をおこなう手間が少ないかと思います。「軽微な脆弱性」は、数が多いことが予想されます。

リスクの低い脆弱性とはうらはらに、対策をおこなう手間が多く、コストがかかってしまいます。

脆弱性のリスクには、【高】【中】【低】とランクを振り分けております(IPA基準)。脆弱性のリスクが【高】【中】の場合、その脆弱性の内容を指摘するとともに、対策方法をレポートに記載いたします。

脆弱性のリスクが【低】のものは、脆弱性の内容・対策方法をレポートに記載いたしません。

「レポートに書かれた対策方法」を読んで、その意味がすぐにわかる制作担当者さまに、本サービスのレポートを渡し、対策していただくことをおすすめいたします。

「致命的な脆弱性だけを対策して、効率的にコストを抑えたい」――そんな方に最適なサービスです。

なお、事前に「セキュリティ面で不安なところ」をお客さまからヒヤリングし、その内容をもとに、重点的に調査いたします。

※1 本記事では「レポート」と表記しておりますが、『coconala』では、文字数制限の関係で、「仕様書」と表記しております。

制作担当にわたしやすいWP脆弱性対策仕様書作ります 300件以上のホームページを診断してきたエンジニアにおまかせ

『ホームページのセキュリティ診断』についての捕捉

本サービスは、ホームページのドメイン全体のコンテンツを対象にした、脆弱性診断です。WordPressを使っていないホームページもご利用いただけます。

セキュリティ対策の第1歩という位置づけで、対象ホームページの脆弱性を認識していただくための診断です。

本番環境(すでに公開されているホームページ)を想定し、ツールと手動の両方で脆弱性を診断いたします。診断結果は、セキュリティ対策の検討材料としてお使いいただけます。

ホームページの運用に影響のない範囲で診断いたしますので、安心して本サービスをお使いいただけます。それに加えて、「流入元調査」をおこないます。

「流入元調査」とは、攻撃者に使われるかもしれない情報が、Web上に公開されているかどうかを調査することです。

攻撃者は、標的となるホームページを見つけるとき、公開されている情報を把握するところからはじめます。

ですので、攻撃者の視点で流入元調査をおこないます。たとえば、以下のような項目を調査いたします。

  • 通信時に表示されるソフトウェアの情報
  • 検索エンジンの表示
  • ブラックリスト など

本サービスでは本番環境を想定しておりますので、「SQLインジェクション」など、ホームページの運用に影響を与えかねない操作はおこないません。

その代わり、Webコンテンツだけではなく、プラットフォーム、さらに流入元調査を含めて、より広範囲に調査をおこないます。

また、1リクエストを網羅的にチェックするのではなく、全体的な脆弱性を大まかに把握していただきます。

本サービスで指摘した脆弱性を対策すれば、全体の脆弱性のうち、7割ほどは解決が可能です。

「費用を抑えたい」「全体的に調査してほしい」――そう思っているあなたにとって、最適なサービスとなっております。

ホームページのセキュリティ診断します 300件以上のホームページを診断してきたエンジニアにおまかせ

 

4. すべてのサービスにおいてお願いしたいこと

本サービスを使っていただく上で、ご承知おきいただきたいことを記載いたします。

対応できる時間

対応は「平日(10:00~19:00)のみ」です。質問などをいただいた際は、1日以内にレスポンスいたします。

お申込みからレポート提出まで、最大で14日ほどかかる場合がございます。通常のペースですと、5営業日以内にはレポートを提出しております。

 

5. WordPressに関連したサービスでお願いしたいこと

WordPressに関連したサービスを購入するにあたり、お願いしたいことを記載いたします。

WordPressセキュリティ診断でおこなうこと、おこなわないこと

①以下の操作はおこないません。

  • ログイン操作
  • メール送信
  • データベースに影響のある操作など、攻撃性の強いもの
  • その他、ホームページの運用を妨げるような操作

②『WordPressのセキュリティ診断』をおこなうにあたり、ツールを使う場合がございます。ホームページの運用を妨げるような操作はおこないません。

  • クロールツール(Webページやサイト構成などを情報収集する)
  • WPScan(WordPressの脆弱性情報を検出する)

③ホームページ内の「攻撃に使われやすいWebページ」を選択し、診断をおこないます。その際に検出された脆弱性のみを指摘するもので、網羅性を保証するものではありません。

商品を購入していただいたあと

『WordPressのセキュリティ診断』をお使いいただく場合、以下の情報をいただきます。

※所有確認がおこなえない場合、キャンセルいたします。

 

6. 500円:WordPressセキュリティ診断:お願い

『500円:WordPressセキュリティ診断』サービスを購入するにあたり、お願いしたいことを記載いたします。

商品を購入する前に

①本サービスは、WordPress1つにつき、500円のサービスです。複数のWordPressを診断する場合、「有料オプション」をお使いいただきます。

②脆弱性の指摘は、「3点まで」とさせていただきます。

③音信不通の状態が3日間続いた場合、「依頼の完了処理」または「キャンセル」させていただきます。

④診断結果のレポートは、「PDF形式」で提出いたします。

500円:WordPressセキュリティ診断します 300件以上のホームページを診断してきたエンジニアにおまかせ

 

7. 制作担当にわたしやすいWP脆弱性対策仕様書:お願い

『制作担当にわたしやすいWP脆弱性対策仕様書』サービスを購入するにあたり、お願いしたいことを記載いたします。

商品を購入する前に

①本サービスは、WordPress1つにつき、5000円のサービスです。複数のWordPressを診断する場合、「有料オプション」をお使いいただきます。

②脆弱性の指摘、および対策方法の記載については、ランク【高】【中】の脆弱性リスクのみとさせていただきます。

③音信不通の状態が3日間続いた場合、「依頼の完了処理」または「キャンセル」とさせていただきます。

④診断結果のレポートは、「PDF形式」で提出いたします。

制作担当にわたしやすいWP脆弱性対策仕様書作ります 300件以上のホームページを診断してきたエンジニアにおまかせ

 

8. WordPressのセキュリティ診断:お願い

『WordPressのセキュリティ診断』サービスを購入するにあたり、お願いしたいことを記載いたします。

商品を購入する前に

①本サービスは、WordPress1つにつき、10000円のサービスです。複数のWordPressを診断する場合、「有料オプション」をお使いいただきます。

②音信不通の状態が3日間続いた場合、「依頼の完了処理」または「キャンセル」とさせていただきます。

③診断結果のレポートは、「PDF形式」で提出いたします。

WordPressのセキュリティ診断します 300件以上のホームページを診断してきたエンジニアにおまかせ

 

9. ホームページのセキュリティ診断:お願い

『ホームページのセキュリティ診断』サービスを購入するにあたり、お願いしたいことを記載いたします。

商品を購入する前に

①本サービスは、ドメイン1つにつき、30000円のサービスです。複数のドメインを診断する場合、「有料オプション」をお使いいただきます。

②音信不通の状態が3日間続いた場合、「依頼の完了処理」または「キャンセル」とさせていただきます。

③診断結果のレポートは、「PDF形式」で提出いたします。

ホームページのセキュリティ診断します 300件以上のホームページを診断してきたエンジニアにおまかせ

 

最後に

ホームページの診断や被害対応を、ここ数年でおこなっております。特にWordPressに関連する被害が7割以上あり、「WordPressのセキュリティ被害を減らしたい」と思うようになりました。

私は、「WordPressに焦点を絞り、セキュリティ対策をおこなうだけでも、多くの企業がリスクを回避できるのではないか」と考えます。

その第1歩として、『coconala』で、「セキュリティ診断」サービスを出品することにしました。WordPressに特化した脆弱性診断と、ホームページ全体の脆弱性診断をおこないます。

サービスのフォローと、WordPressのセキュリティ啓もうをおこなってまいります。もしご不安な点がありましたら、まずは『500円:WordPressセキュリティ診断します』からご利用ください。

 

サービスの掲載先、『coconala』へのリンク

『coconala』でサービスを販売しております。ぜひご活用ください。

500円:WordPressセキュリティ診断します 300件以上のホームページを診断してきたエンジニアにおまかせ

制作担当にわたしやすいWP脆弱性対策仕様書作ります 300件以上のホームページを診断してきたエンジニアにおまかせ

WordPressのセキュリティ診断します 300件以上のホームページを診断してきたエンジニアにおまかせ

ホームページのセキュリティ診断します 300件以上のホームページを診断してきたエンジニアにおまかせ