ウェブ制作業界では嫌われがちなWPScanですが、使い方によっては非常に便利なツールになります。
弊社が調査していて気になるのは、多くのウェブサイトでWordPressに限らずCMSのアップデートが適切になされていないことです。特にWordPressを使っているサイトは多くの脆弱性が放置されたままになっているのを見かけます。
ちなみに弊社で調査する際にはWPScanは使っていません。ソースを見れば脆弱性のあるバージョンの本体やプラグインの存在が明らかになりますし、他所様のサイトに無断で使うことは憚られますので。
参考までに書いておくと、WPScan自体はソース等から本体やプラグイン、テーマのバージョンを取得して脆弱性データベースとの照合を行っているだけなので不正アクセスにはなりません。たまに騒ぐ方がいらっしゃいますので念の為記しておきます。
さて、CMSのアップデートが放置される理由の1つに「デザインが崩れる可能性がある」とか「表示が一切されなくなる可能性がある」事を恐れているというのがあります。
実際、弊社のサイト(ここです!)が某有名プラグインを最新にしたときに表示が一切されなくなってロールバックしたことがあります。そういう事が起こりうるんですね。
しかも、プラグインを入れれば入れるほどその恐怖が増しますし、そもそも毎日最新版が出ていないかチェックするのが面倒です。
でも、御社でWPScanを導入し一日一回管理しているサイトを全スキャンしてログをチェックする作業はどうでしょうか?そのチェックも自動化出来るとしたら?
WPScanが吐き出す情報の中で「!」をチェックすれば脆弱性があるバージョンなのかどうかが判ります。要するにログの中に「!」さえなければ脆弱性はないのでアップデートをパスすることが可能なのです。
たったそれだけでバージョンアップの要・不要が判断出来るなら楽勝ではないですか?脆弱性のあるバージョンが見つかった時のみテスト環境で最新版のチェックをして、問題なければ本番環境に適用すれば良いだけです。
これで改竄被害や情報漏洩被害の遭遇確率を減らせるのですから、総合的に判断しても楽々運用が出来ますよね?
改竄被害や情報漏洩被害に遭ったら、それこそ復旧作業に膨大な時間が掛かったり、場合によっては損害賠償を請求されることもあるでしょう。損害賠償ともなれば御社の経営が傾きかねません。
「転ばぬ先の杖」としてWPScanを使ってみませんか?