WordPressの脆弱性を総合的にチェックするプログラムとして、WPScanといものがあります。オープンソースソフトウェアの為、簡単に導入する事が可能です。
弊社でもバックアップサーバーに導入しており、そこから弊社管理の全サイトのチェックを日々実施しています。
ところが、WPScanによる脆弱性チェックを阻害するプラグインがあり、それを導入して安心しているウェブ制作会社様もいらっしゃるようです。
弊社から言わせると「ソレダメ!」です。
攻撃者は始めからターゲットを絞って攻撃をしてくる事はありません。無差別に攻撃コードを投げてきます。その為、WPScanを使って脆弱性を探索しなくても効率的に脆弱性があるサイトを発見できます。従って、攻撃者からの攻撃を守る手段としては無効です。
また、WPScanを阻害してしまうと自らチェックする手段も失う可能性があります。弊社としては是非ともWPScanを外部に導入して御社が管理しているサイトの脆弱性をいち早く見つける手段として活用して欲しいと願っています。
WPScanで使っている脆弱性データには日本で報告されていない脆弱性も多数掲載されていますので、日本では話題にならない脆弱性もチェックする事が可能です。
但し、特にテーマやプラグインを自社制作した場合にはWPScanでチェック不可能ですので、それらについては個別に脆弱性診断を受けるべきです。