Cross&Crown LLCでは、実際にWordPress用のハッキングツールを使い、お客様サイトのセキュリティをチェックしています。

ハッキングツールとはいうものの、こうしたツールは元来ペネトレーションテスト（通称ペンテスト、セキュリティテストのこと）に用いられるものであり、むしろこちらが本来の使い方になります。

今回使用したのは、WPScanと呼ばれるツールです。

今回調べるもの

ユーザーIDとパスワードは複雑なもののほうが良い。

これは当然ですが、実際にはツールを使うとユーザー情報は見えてしまいます。

そこで今回は以下の情報を取り出してみましょう。

1.使用されているWordPressのバージョン情報

2.そのバージョンでのセキュリティホール

3.使用されているプラグイン

4.ユーザーID

これらをたった18秒で調べることが可能です。

動画でご覧下さい

 

教訓

1.ユーザーIDはツールから簡単に調べだすことが出来る。

2.WordPress本体やプラグインのアップデートをしないでいると、簡単にそのバージョンの脆弱性が分かってしまい破られてしまう。

3.WordPress本体やプラグインのアップデートはきちんと行わなければならない。

4.最後に身を守ってくれるのはパスワード、パスワードは複雑に。