サイトセキュリティ新常識
「対策しているつもり」で、実は穴だらけ
なぜそんなことになるのかというと・・・
WordPressにはたくさんのプラグインがありますが、セキュリティプラグインも多くあります。
そのセキュリティプラグインの診断を行っても問題は無いと表示されるし、具体的な脆弱性が可視化できていないので現実味がないからです。
セキュリティプラグインでの診断では、コード内の脆弱性をみつける診断は行っていないことがほとんどです。
また、URLを入力するだけの簡易スキャンでは、具体的に「どこが危険なのか」はわからないんです。
しかしWordPressの脆弱性の多くは、テーマやプラグインのコード内部に潜んでいます。
表面的なチェックだけでは、脆弱性を見抜くのはかなり難しいので、多くのサイトは、「安全に見えて危険な状態」で運用されているのです。
\今だけ!脆弱性診断が半額!/
通常価格 19,800円 → 9,900円(税込)
この機会をお見逃しなく!
セキュリティ診断を半額で受けられるのは今だけ!
⚠️いろんなセキュリティ対策をしても
コードが脆弱なら危険なままです。
WordPressサイトだけでなく、すべてのサイト運営者がセキュリティ対策に取り組んでいます。確かに重要なのですが、それ以前に重要なのが「コード自体の安全性」です。
というのも、攻撃者はログインを試みる前に、まずコードの脆弱性を探しています。テーマやプラグイン内で、外部入力の無防備な出力や、エスケープ不足、nonceの欠如、未対策のSQLなど、見落とされがちな穴を狙ってきます。
WAF(Webアプリケーションファイアウォール)も有効な防御策ですが、すべての攻撃を防げるわけではありません。独自処理や巧妙なリクエストはWAFをすり抜けてしまうこともあります。
だからこそ、本当に重要なのは「コード自体の安全性」です。表面をどれだけ固めても、内側に脆弱性があれば攻撃は成立してしまいます。構造的な安全を確保することこそ、WordPressサイトを守る最も確実な方法です。
ではどうすればよいか?
ぜひこれをきっかけにちゃんとしたセキュリティに取り組んでいただきたいのですが、まずは、テーマやプラグインの脆弱性を把握することがスタート地点です。
地図を開いて目的地に行くのに現在地を確認しない人はいません。
脆弱性を可視化するのは重要!
だけど脆弱性のコード診断はとても高い!
- WordPressテーマ1つの診断 約5万円〜15万円程度
- テーマ+複数プラグインの診断 約15万円〜50万円程度
- セキュリティ会社の診断 30万円〜100万円
- 自動化されたSaaS診断 月額3万円〜10万円(1サイト)
「表面チェック(WAF診断・URL診断)」は 無料または安価(0円〜5,000円) でも提供されていることがありますが、コード内部まで見ないため、本質的な脆弱性は見つからない場合が多いです。
専門家による目視の静的コード解析は人件費が高く、1件あたり数万円~数十万円が普通です。
安く、脆弱性を可視化できる
コード診断の実現に向けて
私たち開発チームもお客様のサイトやプラグインを作成するたびに脆弱性が無いように気をつけてきましたが、ずっと不安がありました。
- どこかに脆弱性があるんではないか?
- 本当に安全なのか?
- URL診断では安全と出たけど・・・
- セキュリティプラグインで本当に守れているのかわからない
- どこが危ないのか自信を持って説明できない
- コード診断は、めちゃ高い!
そんな不安感から逃れるためにWordPress専用のコード診断プログラムを開発しました。
WP Security Linterの誕生
PhpParser × 独自解析 × AI
WP Security Linter は、PHPの構文解析ライブラリとして世界的に信頼されている PhpParser をベースに開発されています。
この PhpParser は、PHP本体の開発にも関わった Nikita Popov 氏 によって作られた、PHPコードの内部構造を読み解く“脳”のようなライブラリです。
そこに、私たちがこれまでに蓄積してきた数百件以上のWordPress診断データをもとにした独自の脆弱性解析ロジックを組み合わせ、さらに AIによる修正支援機能まで統合。
すべてがWordPress専用に最適化された“コード内の危険”を見抜く、これまでにないセキュリティ診断プラグインです。
「無料プラン+有料プラン」
当初は、一般的な多くのプラグインと同じように、無料プランと有料プランを設定してリリースしようとしていましたが、断念しました。その理由は、実際に使用してみて多くのサイトを診断してみると、予想をはるかに上回る量の脆弱性が見つかったのです。
- 公式プラグインであっても、脆弱性だらけのケースが多数
- テーマにおいても、クロスサイトスクリプティング(XSS)やCSRFの未対策が頻出
- 何年も稼働しているサイトが、実は重大なリスクを抱えたまま運用されていた
この診断ツールはあまりにも「本質的な危険を明らかにしてしまう」ため、
もし攻撃者が利用すれば、極めて悪質な攻撃に使われかねないとすら感じました。
「正しく使える人だけに、安全に提供する方法」を模索すべきだと考え、いったん無料版の一般配布は保留しています。
本当に必要としている方に、安全に届けたい。
そのための仕組みとルールを、今まさに再設計しています。
その前段階として脆弱性診断サービスをさせていただきます。
低コストのWordPress
脆弱性診断サービス
WordPressサイトのコードレベルのセキュリティ診断を依頼すると、通常は30万円以上の費用がかかることも珍しくありません。
- ツール+人手による診断
- セキュリティ専門家による目視チェック
- 脆弱性ごとの詳細レポート作成
といった工程が発生するため、コストは高くなりがちです。しかもWordPress特有のセキュリティリスクもあるため業者選びの判断も難しいです。
WP Security Linterを使用した
脆弱性診断サービスなら
約10分の1のコストで。
1回あたり 19,800円(税込)
しかも一つのテーマやプラグインの診断料金ではありません。
現在使用中の主要テーマと主要プラグインをすべて診断します。
1テーマあたりの診断料金ではないので、かなり安いですが、診断の結果は具体的に把握できます。
この脆弱性診断の特徴を3つご紹介します!
特徴1
XSS・CSRF・SQLiなど、8項目を一括診断
WP Security Linter は、WordPressサイト内の すべてのPHPファイルを対象にスキャンを実行し、以下の8項目に沿って、コード内部から脆弱性を検出します。
| 分類 | 内容例 |
|---|---|
| 🛡 XSS | $_GET['param'] など |
| 🔐 CSRF | nonce未使用のPOST処理 |
| 💣 SQLi | $wpdb->query() に未加工入力 |
| ⚠️ PHP8非推奨 | 非推奨関数や構文 |
| 🧠 JS DOM操作 | innerHTML 等 |
| 🕳 バックドア | eval(), system() 等 |
| 📦 デシリアライズ | unserialize() への入力 |
| 📌 その他 | extract(), header() など |
ファイル名・行番号・脆弱内容をすべてレポート化。
診断結果はPDFで提出させていただきます。社内報告にもそのまま使えます。
下記はプラグイン名やテーマ名は変えていますが実際の診断結果のPDFです。15ページありますがだいたい一つのサイトでこれくらいのページ数になります。
ご確認いただくとわかるのですが、脆弱性のある個所がどれくらいあるか把握できるようになっていますが、修正はエクセルの詳細を見ながらの作業になります。
あるお客様は、この資料を見ながら対応した脆弱性にチェックを入れたりメモをしたりして上司に提出したとのことです。
最初の3つだけ拡大が可能です。
コードに脆弱性がなく100点の場合、下記のようにグリーンバッジが表示されます。
特徴2
AIによる修正提案+専門スタッフによるチェック
検出された脆弱性に対して、まず AIがコードを解析。そして修正コードの提案を提示してリスト化します。
セキュリティ専門スタッフが人の目でチェック・補足し、実用的なコード修正案をエクセルで開けるTSVファイルをお届けします。
「なぜ危険か」「どう直せばよいか」をわかりやすく可視化し、安心して対処が可能です。
TSVファイルイメージ
TSVファイル内の各脆弱性の修正参考例の内容
すべての検出されたコードに対して修正例が記載されています。
特徴3
状態に応じたアドバイスと脆弱性修正対応も可能
診断だけで終わりではありません。
お客様のサイト状態に応じた個別アドバイスや、具体的な対策サポートも行っています。
- 脆弱性修正:1箇所 1,000円(税込)
例)20箇所の修正でも2万円で完結 - 状況に応じたセキュリティ設定や最適化アドバイス
- ご希望に応じて月額保守・継続管理も対応可能
「診断して終わり」ではなく、実際に安全な状態に導くところまでサポートが可能です。
脆弱性診断サービスの
お申し込みの流れ
-
- 1お申し込み(所要時間:1分)
お申し込みフォームにご記入をお願いします。
入力されたデータはAES-256(データ保存暗号化)にて安全に保存されます。安心してご利用ください。
-
- 2決済(安全なStripe決済)
お申し込みフォームの入力が完了すると、決済ページが表示されます。
決済には、世界中で利用されているStripe(ストライプ)決済システムを採用しています。
🔒 カード情報は当サイト側では一切保持せず、Stripeのセキュアな環境でのみ処理されます
🔐 通信はすべてSSL暗号化されており、安全に決済が行われます
✅ Visa/Mastercard/AMEXなど各種クレジットカードに対応
-
- 3メールの受信とアンケートのご記入(所要時間:3〜5分)
決済が完了すると、すぐにご登録いただいたメールアドレス宛に確認メールが届きます。
そのメール内には、簡単なアンケートフォーム(テキスト形式)が記載されています。以下の内容についてご記入のうえ、メールに返信してください
📝 ご記入いただく内容
✅ 診断をご希望のテーマ名とプラグイン名
✅ 診断対象ファイルの共有方法(どちらかをお選びください)
・WordPressの管理画面ログイン情報(ID・パスワード)を共有
・対象のテーマ・プラグインをZIPファイルで送付
✅ その他ご要望や、注意点・特記事項など
-
- 4脆弱性診断の実施
受領したテーマ・プラグインファイルに対して以下を実行します
✅ PhpParserによる構文解析(AST)
✅ 脆弱性8カテゴリの自動スキャン(XSS、CSRF、SQLi など)
✅ AIによる修正案の生成
✅ セキュリティ専門スタッフによるレビュー&仕分け
-
- 5診断レポートの納品(PDF+TSV)
完了後、下記の形式でレポートを納品いたします
✅ 診断レポート(PDF):検出件数・説明
✅ 修正一覧(TSVファイル):行番号・該当コード・修正案付き
✅ (オプション)修正作業の見積もり
-
- 6必要に応じて修正・保守サポート
診断結果をご確認のうえ、以下の対応も承ります
✅ 脆弱性の個別修正(1箇所1,000円~)
✅ まとめて対応したい方向けの一括プランなど
✅ 今後のセキュリティ対策
Our Services
サイトセキュリティを本格的に高めるために3つのプランをご用意しました。
SERVICE 1
脆弱性診断
通常価格
19,800円
PDFとエクセルにて
診断結果を提出
決済後、約2営業日以内に
提出をします。
SERVICE 2
脆弱性診断+修正セット
通常価格
39,800円
SERVICE 1に加えて
診断結果の修正を行います
決済後、約2営業日以内に資料提出、修正期間は作業量によって変動あり
SERVICE 3
脆弱性診断+修正+動作保証
通常価格
120,000円
SERVICE 2に加えて
動作保証をします。
修正したテーマやプラグインをしっかりと動作保証まで。1年保証します。