自分のサイトをAIによってセキュリティ診断してもらう
AIはサイトのセキュリティチェックをできるのか?
他社のサイトにやると怒られそうなので、自分のサイトの診断からお願いしてみました。
WordPressの自分のサイトです。セキュリティ診断をしてください。 https://ngy.biz
ChatGPT(無料)
まずは無料のChatGPTに聞いて見ます。
結果から言うと診断してくれたというより、Wordpressの一般的なセキュリティアドバイスをしてくれた感じでしょうか。
SiteGuardのプラグインで設定しているのと、サーバのWAFは動いてると思うのですが。色々言ってくれるのはありがたいですが、ちょっと確認しきれない気もします。
総評
現時点では、
- HTTPS化はされている
- WordPressサイトとしては通常稼働
- ただし「HTTPセキュリティヘッダー」が不足している可能性が高い
- WordPress特有の基本対策がどこまで実施されているか不明
という状態です。
特に、HTTPセキュリティヘッダー未整備は、中小企業サイトで非常に多い弱点です。
XSS・クリックジャッキング・MIMEスニッフィングなどへの耐性が弱くなります。
HTTPS対応
- HTTPS化済み
- 通信暗号化は実施
これは最低限クリアしています。
HTTPセキュリティヘッダーは不足または弱い可能性があります。
推奨される主要ヘッダー:
| ヘッダー | 目的 |
|---|---|
| Content-Security-Policy | XSS対策 |
| Strict-Transport-Security | HTTPS強制 |
| X-Frame-Options | クリックジャッキング対策 |
| X-Content-Type-Options | MIME偽装対策 |
| Referrer-Policy | 情報漏洩抑制 |
| Permissions-Policy | ブラウザ機能制御 |
これらはWordPressでも重要とされています。
WordPressバージョン露出
確認対象:
meta generator- RSS
- readme.html
- wp-json
バージョン露出があると、
既知脆弱性への攻撃対象になりやすくなります。
プラグイン脆弱性
WordPressで最も危険なのはここです。
特に:
- 更新停止プラグイン
- 有料テーマ同梱プラグイン
- Contact Form系
- Slider系
- Backup系
は攻撃対象になりやすいです。
管理画面防御
確認したい項目:
/wp-login.php制限- ログイン試行回数制限
- 二段階認証
- XML-RPC制限
- reCAPTCHA
未対策だと総当たり攻撃を受けやすいです。
XML-RPC
WordPressでは典型的な攻撃入口です。
もし不要なら停止推奨。
優先度:高
① WAF導入
推奨:
- Cloudflare
- Wordfence
- SiteGuard
Cloudflareだけでもかなり改善します。
セキュリティヘッダー追加
Apache .htaccess 例:
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"CSPは慎重に設定必要です。
誤ると表示崩れします。
WordPress更新
確認対象:
- WordPress本体
- テーマ
- プラグイン
- PHP
特にPHP 7系なら早急更新。
ログイン防御
推奨:
- 二段階認証
- ログインURL変更
- IP制限
- reCAPTCHA
推奨プラグイン
実施するとよい追加診断
次は以下を行うとかなり精度が上がります。
- WordPress構成調査
- 使用プラグイン列挙
- セキュリティヘッダー実測
- SSL設定確認
- DNS確認
- WAF/CDN確認
- robots.txt確認
- wp-json露出確認
- 管理画面露出確認
- メール設定(SPF/DKIM/DMARC)
- 脆弱性スキャン
必要なら次に、
- 「具体的な脆弱性レポート」
- 「危険度一覧」
- 「改善手順」
- 「Cloudflare設定方法」
- 「.htaccess完成版」
- 「中小企業向け推奨構成」
まで作成できます。
Claude(有料)
セルフチェックリスト(ご自身で確認できます)
1. REST APIのユーザー情報漏洩チェック 要確認
ブラウザのシークレットモード(ログインしていない状態)で以下のURLにアクセスしてください。https://ngy.biz/wp-json/wp/v2/usershttps://ngy.biz/?author=1
ユーザー名が表示されなければOKです。SiteGuardの「ユーザー名漏えい防御」が有効か確認してください。
2. ログインページのURL変更確認 要確認
シークレットモードで以下にアクセスしてください。https://ngy.biz/wp-login.phphttps://ngy.biz/wp-admin/
404エラーになればOK。ログイン画面が表示される場合は、SiteGuardの「ログインページ変更」を有効にしてください。
3. XML-RPCの無効化確認 要確認
シークレットモードで以下にアクセスしてください。https://ngy.biz/xmlrpc.php
「XML-RPC server accepts POST requests only.」と表示されたらまだ有効です。SiteGuardの「XMLRPC防御」を有効にしてください。
4. セキュリティヘッダーの確認 要確認
以下の無料ツールでサイトをスキャンすると、セキュリティヘッダーの状態がA〜Fのグレードで表示されます。securityheaders.com でスキャンする ↗
Mozilla HTTP Observatory でスキャンする ↗
5. SiteGuardの設定一覧チェック 要確認
WordPress管理画面 → SiteGuard → ダッシュボードで、以下の項目が「ON」になっているか確認してください。
・ログインページ変更
・画像認証
・ログインロック(試行回数制限)
・ログインアラート
・XMLRPC防御
・ユーザー名漏えい防御
・更新通知
6. プラグイン・テーマの棚卸し 要確認
WordPress管理画面 → プラグイン一覧で、使っていないプラグインを「削除」してください(無効化だけでは不十分です)。テーマも同様に、使っていないテーマは削除が安全です。
WordPressはSiteGuardが設定できていたらだいたい大丈夫?
大丈夫ですかねえ。。。
だいたいONにしているのですが。フェールワンスはめんどいしなあ。
Security Headersでチェックしてみる
いろいろ怒られました。
セキュリティ難しいす。
そんなところで
