WordPressの脆弱性診断とは、サイトの弱点(古いバージョン、設定不備、公開してはいけない情報の露出など)を洗い出す点検です。URLを入れるだけの無料ツールなら、専門知識がなくても数十秒で現状のスコアがわかります。この記事では、無料でできるセルフ診断の手順と、無料では分からない限界、そして問題が見つかったときの直し方までを、運営者が自社サイトを実際に診断した実例つきで解説します。
WordPressの脆弱性診断とは
WordPressの脆弱性診断とは、外部(攻撃者と同じ視点)から見えるサイトの弱点を洗い出す点検のことです。人間の健康診断と同じで、症状が出る前に「どこが危ないか」を可視化します。なお、脆弱性そのものの意味や放置リスクはWordPressの脆弱性とは?で詳しく解説しています。
WordPressは世界のサイトの約4割(2026年7月時点)を占める人気CMSであるぶん、攻撃者にとっても格好の標的です。攻撃の多くは特定の会社を狙い撃ちするのではなく、脆弱なサイトを機械的に探して回る「無差別型」です。つまり知名度や規模に関係なく、穴が開いていれば見つかった順に狙われます。中小企業や個人事業のサイトが「うちは小さいから大丈夫」とは言えない理由がここにあります。
診断でチェックするのは、主に次の3種類の弱点です。
- 古さ:WordPress本体・テーマ・プラグインが古く、既知の脆弱性が残っている
- 設定不備:XML-RPCが有効、セキュリティヘッダがない、といった設定の緩さ
- 情報の露出:バージョン番号やログイン名など、攻撃の下調べに使える情報が外から見える
診断しないと何が起きる?放置される3つのリスク
診断を怠ると、被害に「気づけない」まま進行するのが最大の問題です。放置で起きやすいリスクは次の3つです。
- 改ざん・乗っ取り:トップページを書き換えられたり、閲覧者を怪しいサイトへ飛ばす踏み台にされる
- 情報漏えい:お問い合わせ内容や会員情報が抜き取られ、信用問題に発展する
- 加害者化:知らないうちにスパムメールの送信元や、他サイトへの攻撃の踏み台にされる
いずれも、復旧には数万円〜数十万円の費用と、業務停止による機会損失がかかります。被害が出てから動くより、無料で現状を知っておくほうがはるかに安上がりです。改ざんされた場合の具体的な復旧手順はWordPressがハッキングされた時の復旧手順で解説しています。
【本題】無料で今すぐできるセルフ診断のやり方

無料のセルフ診断は、「URLを入れるだけの自動診断」→「自分で目視チェック」の2段階で進めるのが最短です。順番に見ていきます。
ステップ1:URLを入れるだけの自動診断(数十秒)
まずは、サイトのURLを入力するだけで外部から点検してくれる無料ツールで、全体像をつかみます。ログインもインストールも不要で、危険度がスコアで表示されるので、最初の一歩に最適です。
当サイトでも、無料WordPress脆弱性診断を公開しています。URLを入れるだけで17項目を点検し、危険度スコアと各項目の判定をその場で表示します。メール登録は不要で、契約前提でもありません。
ステップ2:自分で目視チェックする項目
自動診断と並行して、次の4つはブラウザのアドレスバーにURLを打つだけで自分でも確認できます。いずれも「外から余計な情報が見えていないか」のチェックです。
| 確認するURL(例) | 見えたら危険なもの | 意味 |
|---|---|---|
| あなたのサイト/readme.html | WordPressのバージョン番号 | 古いと既知の攻撃の標的にされる |
| あなたのサイト/xmlrpc.php | 「XML-RPC server accepts POST requests only」等の応答 | 総当たり攻撃の入口として悪用されうる |
| あなたのサイト/?author=1 | /author/ログイン名/ へ転送される | ログイン名が推測され、パスワード攻撃の的になる |
| あなたのサイト/wp-json/wp/v2/users | ユーザー一覧のJSON | 同上(ログイン名の露出) |
ひとつでも当てはまれば、対策の余地があります。自動診断ツールは、こうした項目をまとめて自動でチェックしてくれるものだと考えてください。
セルフ診断でチェックすべき17項目
当サイトの無料診断が点検している17項目は次のとおりです。「外から見える危険」という観点で、危険度の高いものから並べています。自分のサイトでどれが当てはまるか、チェックリストとして使ってください。
| 点検項目 | 何を見ているか | 危険度 |
|---|---|---|
| wp-config.phpのバックアップ露出 | DB接続情報が漏れる設定ファイルの残骸が公開されていないか | 重大 |
| .git/configの露出 | ソースコードの復元につながる情報が公開されていないか | 重大 |
| debug.logの露出 | 内部パスやエラー内容が書かれたログが公開されていないか | 高 |
| REST APIでのユーザー名列挙 | ログイン名が一覧で取得できないか | 高 |
| readme.htmlの公開 | WordPressのバージョンが推定できないか | 中 |
| XML-RPCの有効化 | 総当たり攻撃・DDoSの踏み台にされないか | 中 |
| セキュリティヘッダの不足 | クリックジャッキング等を防ぐ設定が抜けていないか | 中 |
| authorアーカイブでのユーザー名露出 | ?author=1 でログイン名が推測できないか | 中 |
| HTTPS強制の不備 | 暗号化されない通信の口が残っていないか | 中 |
| ディレクトリ一覧の表示 | フォルダ内のファイルが丸見えになっていないか | 中 |
| .envの露出 | 環境変数(機密情報)ファイルが公開されていないか | 中 |
| license.txtの公開 | WordPress同梱ファイルが露出していないか | 低 |
| バージョン情報の露出 | HTMLのgenerator等からバージョンが見えないか | 低〜情報 |
| サーバ情報の露出 | Serverヘッダ等から構成情報が漏れていないか | 情報 |
| テーマ名の露出 | 使用テーマが公開HTMLから推測できないか | 情報 |
| プラグイン名の露出 | 使用プラグインが推測でき、既知脆弱性の特定に繋がらないか | 情報 |
| WordPress使用の検出 | そもそもWordPressであることが判別できるか | 情報 |
「情報」レベルの項目(テーマ名・プラグイン名・WordPress検出など)は、ほぼすべてのWordPressサイトで見えてしまう性質のもので、それ自体は減点対象になりません。まず直すべきは「重大・高・中」の項目です。対策の全体像はホームページのセキュリティ対策チェックリストもあわせてご覧ください。
無料の脆弱性診断ツールの種類
無料ツールは、使い方の手軽さで大きく3タイプに分かれます。目的に応じて使い分けます。
| タイプ | 特徴 | 向いている人 |
|---|---|---|
| URL入力型 | URLを入れるだけ。ログイン不要で外部からの見え方を即チェック | まず現状を知りたい人・非エンジニア |
| プラグイン型 | サイトに導入して内部からスキャン。常時監視やマルウェア検知も可能 | 管理画面を触れる運用担当者 |
| コマンド型(CLI) | WPScan等。詳細だが専門知識が必要 | エンジニア・制作会社 |
それぞれの代表的なツールの比較や選び方は、別記事で詳しく解説する予定です。【内部リンク:記事2 無料脆弱性診断ツール比較(公開後に差し替え)】
無料診断の限界——ここは無料では分からない
結論として、無料診断は「入口の点検」には十分ですが、それだけで安全を保証するものではありません。過信は禁物です。主な限界は次の3つです。
- 検出できるのは「既知の弱点」まで:まだ公表されていない脆弱性(ゼロデイ)は原理的に見つけられません。
- 誤検知(偽陽性)がありうる:ツールは機械的に判定するため、実際には問題ない箇所を「危険」と出すこともあります。逆に、複雑な設定不備を見逃すこともあります。
- 「異常なし」=安全ではない:外から見える範囲がきれいでも、管理画面のパスワードが弱い、バックアップがない、といった内部の弱点は別途対策が必要です。
無料診断は「今どこが開いているか」を知る出発点として使い、そこから一つずつ塞いでいくのが正しい使い方です。
診断で問題が見つかったら:実例で見る「83点→100点」の直し方

ここからは、当サイトの運営者が自社サイトを、この無料診断ツールで実際に診断した記録です。理屈だけでなく「見つかった項目をどう直したか」を具体的にお見せします。
最初の診断結果は83点(100点満点・「要注意」)でした。減点していたのは次の4項目です。
| 指摘された項目 | 危険度 | 行った対策 |
|---|---|---|
| readme.html が公開されている | 中 | 外部から閲覧できないよう遮断(403化) |
| license.txt が公開されている | 低 | 同上(403化) |
| XML-RPCが有効 | 中 | xmlrpc.php を遮断(未使用のため) |
| セキュリティヘッダが不足 | 中 | X-Frame-Options等の4種を追加 |
これらはいずれも、サーバ設定(.htaccess)に数行を追記するだけで対処できるものでした。対策後にもう一度診断したところ、100点(「健康」)になりました。残ったのは「テーマ名・プラグイン名・WordPress検出」の情報3項目だけで、これらは前述のとおり減点されない性質のものです。
ポイントは、減点していた4項目のうち3項目が「設定不備」「情報露出」で、更新作業すら不要だったという点です。多くのサイトで、診断で見つかる問題の大半は「難しい改修」ではなく「設定の直し」で片づきます。まずは自分のサイトが今何点なのかを知ることが、最初の一歩です。
なお、業者に本格的な脆弱性診断を依頼すると費用がかかります。相場感は料金プランのページもあわせてご覧ください。「まず無料で現状把握→必要な範囲だけ手を打つ」のが、コストを抑える王道です。
まとめ:まずはURLを入れて、現在地を知ることから
WordPressの脆弱性診断は、「古さ・設定不備・情報露出」という外から見える弱点を洗い出す点検です。無料のURL入力型ツールなら、専門知識がなくても数十秒で現状のスコアがわかります。無料診断には「既知の弱点まで」「異常なし=安全ではない」という限界がありますが、最初の一歩としては十分に役立ちます。
実例で見たとおり、見つかる問題の多くは設定の直しで対処できます。まずは現在地を知るところから始めましょう。
よくある質問(FAQ)
Q. 無料の脆弱性診断だけで十分ですか?
入口の点検としては十分ですが、それだけで安全は保証できません。無料診断は「外から見える既知の弱点」を洗い出すもので、ゼロデイ脆弱性や内部設定(弱いパスワード・バックアップ不備など)は対象外です。現状把握の出発点として使うのが適切です。
Q. URLを入れる診断ツールで、サイトが壊れませんか?
外部から公開情報を閲覧して判定する「受動的な」診断であれば、サイトに変更を加えないため壊れる心配はありません。当サイトの診断も、外部から取得できる公開情報のみを確認する簡易診断です。
Q. 診断結果が「異常なし(高得点)」なら安心していいですか?
外から見える範囲が良好という意味であり、内部の安全までは保証しません。管理画面のパスワード強度、二段階認証、バックアップ体制などは別途整える必要があります。
Q. WordPressのバージョンは隠すべきですか?
隠すこと自体は補助的な対策で、最も重要なのは「常に最新に更新すること」です。readme.htmlの遮断などでバージョンを推測されにくくはできますが、根本は更新の継続です。
Q. XML-RPCは無効にすべきですか?
スマホアプリ連携や一部プラグインで使っていなければ、無効化(遮断)を推奨します。総当たり攻撃やDDoSの踏み台に悪用されることがあるためです。使用有無を確認したうえで判断してください。
Q. 診断はどのくらいの頻度で行えばいいですか?
最低でも月1回、加えてWordPress本体・テーマ・プラグインを更新した直後や、不審な挙動に気づいたときに実施するのが目安です。定期的に点検することで、変化にいち早く気づけます。
免責事項
本記事は一般的な情報提供を目的としており、個別サイトの安全性を保証するものではありません。記載内容は2026年7月時点の情報にもとづきます。重大な被害が疑われる場合や、実際の攻撃を受けている場合は、速やかに専門の事業者やホスティング事業者にご相談ください。

この記事を書いた人
Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之
2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →
