WordPressの脆弱性診断ツールは、初心者ならまず「URLを入れるだけ」の無料ツールから始めるのが正解です。インストールも専門知識も不要で、数十秒で現状のスコアや問題点がわかります。この記事では、すぐ使える無料の診断ツールを比較表で整理し、目的別の選び方と「無料でどこまで分かるか」までを解説します。より詳しい診断のやり方はWordPress脆弱性診断のやり方もあわせてご覧ください。
脆弱性診断ツールは大きく3タイプ

脆弱性診断ツールは、使い方の手軽さでURL入力型・プラグイン型・CLI型の3タイプに分かれます。初心者はまずURL入力型から始め、必要に応じてプラグイン型を足すのが王道です。
| タイプ | 特徴 | 向いている人 | 代表例 |
|---|---|---|---|
| URL入力型 | URLを入れるだけ。ログイン・インストール不要で、外から見える弱点を即チェック | まず現状を知りたい人・非エンジニア | サイトの主治医/Sucuri SiteCheck |
| プラグイン型 | サイトに導入して内部からスキャン。常時監視・マルウェア検知・ログイン保護も可能 | 管理画面を触れる運用担当者 | Wordfence/SiteGuard |
| CLI型 | コマンドで詳細診断。精度は高いが専門知識が必要 | エンジニア・制作会社 | WPScan |
【比較表】URLを入れるだけで使える無料診断ツール
初心者にまず試してほしい、URL入力型の無料ツールを比較します。日本語対応と「主に何が分かるか」で選ぶのがポイントです(2026年7月時点)。
| ツール | 日本語 | 主に分かること | 会員登録 | 料金 |
|---|---|---|---|---|
| サイトの主治医(当サービス) | ○ | WordPressの外部露出17項目+危険度スコア | 不要 | 無料 |
| WP KEEPER | ○ | WordPress設定5項目(バージョン/XML-RPC/ユーザー列挙/通信/サーバ署名) | 不要 | 無料 |
| Sucuri SiteCheck | ×(英語) | マルウェア・改ざん・ブラックリスト登録・古いソフトの検出 | 不要 | 無料(有料版あり) |
| ImmuniWeb Community | ×(英語) | セキュリティヘッダー・CSP・古いソフト・各種基準(OWASP等)準拠チェック | 不要 | 無料 |
いずれも会員登録なしで使えます。日本語で全体像とスコアを手早く知りたいならサイトの主治医やWP KEEPER、マルウェアや改ざんの有無を確かめたいならSucuri SiteCheck、ヘッダーなど技術的な詳細まで見たいならImmuniWeb、という住み分けです。なお、Sucuriのようなリモートスキャナは外部から見える範囲に限られる点は各社共通です。
どれを選べばいい?目的別の選び方

結論として、迷ったら日本語で使えるURL入力型を1つ動かし、気になる点があれば別タイプを足すのが失敗しない進め方です。目的別の目安は次のとおりです。
- とにかく現状を数字で知りたい → サイトの主治医(17項目をスコア表示)
- WordPressの基本設定だけ手早く確認 → WP KEEPER
- マルウェア感染・改ざんが心配 → Sucuri SiteCheck
- ヘッダーやSSLなど技術面を詳しく → ImmuniWeb Community
- 常時監視・ログイン保護までしたい → プラグイン型(後述)
無料ツールで分かること・分からないこと
無料ツールは「入口の点検」には十分ですが、それだけで安全を保証するものではありません。過信は禁物です。主な限界は次の3つです。
- 既知の弱点まで:まだ公表されていない脆弱性(ゼロデイ)は検出できません。
- 誤検知がありうる:機械的な判定のため、問題ない箇所を「危険」と出したり、複雑な不備を見逃すことがあります。
- 外から見える範囲が中心:管理画面の弱いパスワードやバックアップ不備など、内部の弱点は別途対策が必要です。
無料ツールは「今どこが開いているか」を知る出発点として使い、そこから一つずつ塞いでいくのが正しい使い方です。基本対策の全体像はホームページのセキュリティ対策チェックリストを参考にしてください。
WordPressを常時監視したいならプラグイン型
URL入力型が「その時点のスナップショット」なのに対し、プラグイン型はサイトに常駐して継続的に監視・防御できます。内部からのスキャンなので、マルウェア検知やログイン保護まで踏み込めるのが強みです。
| プラグイン | 日本語 | 主な機能 |
|---|---|---|
| SiteGuard WP Plugin | ○ | ログインページ変更・画像認証・不正ログイン対策(国産・初心者向け) |
| Wordfence Security | ×(英語) | ファイアウォール・マルウェアスキャン・脆弱性検知(多機能) |
| All-In-One Security(AIOS) | ×(英語) | ログイン保護・ファイアウォール・総当たり対策 |
プラグインは入れすぎると表示速度や競合の原因になります。目的が重なるセキュリティプラグインの併用は避け、1つに絞るのが基本です。
もっと深く調べたい上級者はCLI型(WPScan)
WordPress本体・テーマ・プラグインの既知脆弱性を網羅的に調べたい上級者には、コマンドで動かすWPScanがあります。精度は高い一方、導入やコマンド操作に専門知識が必要です。使い方は別記事で解説予定です。【内部リンク:記事5 WPScanの使い方(公開後に差し替え)】
「そこまでの専門ツールは不要だが、WPScanが見るような項目を手軽に確認したい」という場合は、URL入力型のサイトの主治医で十分に入口の点検ができます。
まとめ:まずURL入力型で現在地を、必要に応じて併用
脆弱性診断ツールは、初心者ならURL入力型の無料ツールから始めるのが失敗しない選び方です。日本語で全体像を知りたいならサイトの主治医やWP KEEPER、マルウェア確認ならSucuri SiteCheck、と目的で使い分けましょう。常時監視まで必要になったらプラグイン型を1つ足す、という順番が無理がありません。
まずは現在地を知るところから始めましょう。
よくある質問(FAQ)
Q. 無料ツールと有料の脆弱性診断は何が違いますか?
無料ツールは主に外部から見える既知の弱点を機械的にチェックします。有料の診断は、専門家による手動診断や内部の詳細検査、誤検知の精査、報告書の作成まで含むのが一般的です。まず無料で当たりをつけ、重要なサイトは有料診断を検討する流れが効率的です。
Q. 複数のツールを使うべきですか?
目的が違えば併用は有効です。たとえば「日本語で全体スコア(サイトの主治医)+マルウェア確認(Sucuri SiteCheck)」のように役割で組み合わせると、死角が減ります。ただしプラグイン型は競合するため1つに絞ってください。
Q. 英語の海外製ツールでも大丈夫ですか?
診断精度に問題はありませんが、結果の解釈や対処に英語の知識が必要です。専門用語に不安があれば、まず日本語対応のツールで全体像をつかむのがおすすめです。
Q. URLを入れる診断でサイトに負荷はかかりませんか?
外部から公開情報を閲覧して判定する受動的な診断であれば、サイトに変更を加えないため負荷や不具合の心配はほとんどありません。
Q. WordPress以外のサイトも診断できますか?
Sucuri SiteCheckやImmuniWebは汎用ツールなのでWordPress以外も診断できます。サイトの主治医やWP KEEPERはWordPressの項目に特化しています。対象に合わせて選んでください。
免責事項
本記事は一般的な情報提供を目的としており、各ツールの機能・料金・日本語対応は2026年7月時点の情報にもとづきます。仕様は変更される場合があるため、利用前に各公式サイトで最新情報をご確認ください。本記事は個別サイトの安全性を保証するものではありません。

この記事を書いた人
Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之
2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →
