このメルマガでも何度か取り上げているWPScanですが、特にウェブ制作会社さんからは本当に毛嫌いされているようで「WPScanを弾くプラグイン」が入っているサイトなんて言うのもたまに見かけます。まあ、でも攻撃者はWPScanで脆弱なサイトを見つけているわけではないんですよね。ログを見れば判るのですが。脆弱性が見つかったら総当たりで攻撃コードをばらまいているだけです。それでヒットすれば儲けものって感じですね。なので、セキュリティ対策的には「WPScanを弾く」事に何の意味も無いのです。
さて、セキュリティ対策としてのWPScanですが実は大きな意味がありまして、本メルマガでも「CMSの脆弱性情報」っていう記事がありますので見て頂いている皆様は御存知かと思いますが、毎月何らかのCMS(テーマ、プラグイン含む)で脆弱性が見つかっています。しかしながら、実はあそこに掲載されているのはIPAとかJPCERT/CCに報告があった、極一部の情報であって全ての脆弱性が掲載されているわけではありません。あそこに掲載されていないものでもWPScanで「脆弱性」を指摘されるものは多くあります。
もうお判りですね?
実はWPScanをかけることによって日本の脆弱性情報サイトに掲載されていないWordPressに関する脆弱性を発見することができるのです。そして、毎日WPScanをかけてレポートをチェックすることでアップデートのタイミングを計ることができるのです。弊社の例だと、弊社管理6サイトをWPScanでチェックしていて、そのレポートで脆弱性によるアップデートが出ていることが判ったら「即座に」アップデートを実施するようにしています。逆に言うと所謂メンテナンスアップデートに関しては放置することが多いです。
今月の1本目の記事で「月イチのセキュリティアップデートとかバカじゃね?」という内容を書きましたけど、情報がなければ毎日アップデートしないと不安ですよね?でも、毎日アップデートって面倒だし、現実問題として無理じゃないですか?しかも日本の脆弱性情報サイトだけ見ていても判らない脆弱性もあるとかなると、どこを調べれば良いのかという問題も発生します。大変ですね。でも、WPScanがタイミングを教えてくれるとなれば「これほど便利なことはない」わけです。しかも日本の脆弱性情報サイトにも出ていない情報を教えてくれるし。最近はWordPressで構築されたサイトが多いですから、そうなってくるとWPScanを有効活用した方が適切なタイミングで適切にアップデートをかけられるので、手間も減りますし、楽ちんですよね?特に、ウェブサイトの保守管理を請け負っているウェブ制作会社さんは「絶対に」活用すべきだと考えます。何も知らないのに毛嫌いするなんて勿体ない!
WPScanをブロックしても攻撃からは守れない。でも、WPScanのブロックを止めて自らWPScanをかければセキュリティアップデートのタイミングが判る。ならばWPScanを活用しない手はないですよね?ちなみに、WPScanは別に攻撃を仕掛けてチェックしているわけではなくて、バージョン情報をデータベースと照合してレポートしてくれるだけのツールです。ここら辺も勘違いしている業者が多いのかなあと思ったりしています。だから毛嫌いされているのかと。そう言った意味では「バージョン情報を隠すプラグイン」もウェブ制作会社さんには人気なのですが、それも「百害あって一利なし」なので即刻削除しましょう。一時期、何でもかんでも「バージョン情報を隠せ」というバッドノウハウが言われていましたが、先にも書いた通り「攻撃者は無差別に攻撃コードを投げる」ので、全く意味ないですからね。
古き因習に囚われず、今の時代に即したセキュリティ対策が必要なのだという事を理解して、実行していきましょう。