WPScanは、WordPressの本体・テーマ・プラグインの既知の脆弱性を洗い出せる定番のオープンソース診断ツールです。精度は高い一方、コマンド操作と「自分が所有・管理するサイトであること」が前提になります。この記事では、インストールから基本コマンド、結果の読み方、そして「もっと手軽に済ませる方法」までを解説します。
⚠️ 使用前の重要な注意
WPScanは、自分が所有・管理している、または明確に許可を得たサイトにのみ使用してください。他人のサイトへ無断でスキャンをかける行為は、不正アクセス禁止法などに抵触する恐れがあります。本記事は自社サイトの防御・点検を目的とした解説です。
WPScanとは?何ができるツールか
WPScanは、コマンドで動かすWordPress専用の脆弱性スキャナです。WPScanが持つ脆弱性データベースと照合して、次のような弱点を洗い出します。
- WordPress本体・テーマ・プラグインの既知の脆弱性
- ユーザー名の列挙(ログイン名が推測できる状態か)
- バージョン露出やバックアップファイルなどの設定不備
個人利用の範囲では無料で使えます。ただし脆弱性データを取得するにはAPIトークン(無料枠は1日25回まで)が必要です。ほとんどのサイトは、この無料枠で1日1回スキャンするには十分です。
【重要】使う前の前提と注意
WPScanを使うには、次の3つの前提があります。手軽さを求めるなら、後述のURL入力型ツールのほうが向いています。
- 対象は自分のサイトのみ:他者サイトへの無断スキャンは違法になり得ます。
- コマンドライン環境が必要:ターミナル操作の基本知識が前提です。
- APIトークンの登録:WPScan.comで無料登録し、トークンを取得します(無料枠25回/日)。
WPScanのインストール方法

インストールはDocker が最も手軽です。環境を汚さず、依存関係のトラブルも避けられます。
方法1:Docker(推奨)
docker run -it --rm wpscanteam/wpscan --url https://あなたのサイト/
方法2:RubyGem
Rubyの開発環境(Cコンパイラとヘッダ)が入っていれば、gemでインストールできます。
gem install wpscan
このほか、セキュリティ用途のLinuxディストリビューション「Kali Linux」には最初からインストールされています。
基本的な使い方(コマンド)
もっとも基本のスキャンは、--urlに自分のサイトを指定するだけです。脆弱性データを取得するには--api-tokenにトークンを付けます。
# 基本スキャン(自分のサイトのみ)
wpscan --url https://あなたのサイト/ --api-token あなたのトークン
目的に応じて、-e(enumerate)オプションで調べる対象を指定します。
| オプション | 調べる対象 |
|---|---|
| -e u | ユーザー名の列挙 |
| -e vp | 脆弱性のあるプラグイン |
| -e ap | すべてのプラグイン |
| -e bf | バックアップファイルの露出 |
# ユーザー名と脆弱なプラグインをまとめて確認
wpscan --url https://あなたのサイト/ -e u,vp --api-token あなたのトークン
結果の読み方
結果は記号付きで表示されます。とくに脆弱性を示す行に注目してください。
- [+]:検出した項目(バージョン、プラグイン、ユーザーなど)
- [!]:注意・脆弱性の可能性がある項目
- 検出されたバージョンやユーザー名は、そのまま攻撃の下調べに使われうる情報です
脆弱性が見つかったら、対処は基本的に「更新する」「不要なら削除・無効化する」「露出を絞る」の3つです。とくに本体・テーマ・プラグインの更新が最優先です。
WPScanが向く人・向かない人(もっと手軽な方法)

WPScanは強力ですが、誰にでも最適なわけではありません。手軽さと詳しさのどちらを取るかで選びましょう。
| WPScanが向く人 | URL入力型が向く人 |
|---|---|
| エンジニア・制作会社 | 非エンジニア・経営者 |
| 複数サイトを詳しく調べたい | 1回さっと現状を知りたい |
| コマンド操作に抵抗がない | インストールせず使いたい |
「WPScanのセットアップまではしたくないが、バージョン露出やユーザー名の列挙といった外形の項目だけ確認したい」という場合は、URLを入れるだけの診断ツールで十分です。当サイトの無料WordPress脆弱性診断なら、インストール不要でXML-RPCやユーザー名露出を含む17項目をその場で点検できます。無料ツールの選び方はWordPress脆弱性診断ツール比較も参考にしてください。
まとめ:詳しく調べるならWPScan、手軽に済ませるならURL診断
WPScanは、WordPressの既知脆弱性を網羅的に調べられる強力なツールです。ただし、コマンド操作・APIトークン・自己所有サイト限定という前提があります。エンジニアが詳しく調べるならWPScan、非エンジニアが手軽に現状把握するならURL入力型、と役割で使い分けるのが賢い選び方です。基本のセルフ診断の手順はWordPress脆弱性診断のやり方で解説しています。
よくある質問(FAQ)
Q. WPScanは無料で使えますか?
個人利用の範囲では無料です。ただし脆弱性データの取得にはAPIトークンが必要で、無料枠は1日25回までです。大量・商用の利用は有料プランになります。
Q. APIトークンは必須ですか?
トークンなしでもバージョン検出などは動きますが、「その脆弱性が既知かどうか」の判定には脆弱性データベースが必要なため、実用上はトークン取得をおすすめします。無料登録で取得できます。
Q. Windowsでも使えますか?
Docker Desktop や WSL(Windows Subsystem for Linux)を使えばWindowsでも動かせます。もっとも手軽なのはDocker版です。
Q. 他人のサイトを診断してもいいですか?
いいえ。自分が所有・管理する、または明確に許可を得たサイト以外へのスキャンは、不正アクセス禁止法などに触れる恐れがあります。必ず自分のサイトに対してのみ実行してください。
Q. WPScanとURL入力型の診断ツールは何が違いますか?
WPScanはコマンドで詳細に調べる上級者向け、URL入力型はブラウザで手軽に外形を確認する初心者向けです。目的に応じて使い分けるか、まずURL入力型で当たりをつけるのがおすすめです。
免責事項
本記事は一般的な情報提供・自社サイトの防御を目的としており、記載内容は2026年7月時点の情報にもとづきます。WPScanの仕様・無料枠は変更される場合があります。診断は必ず自分が所有・管理する、または明確に許可を得たサイトに対してのみ実施してください。コマンド操作やサーバ設定は自己責任で行い、不安な場合は専門の事業者にご相談ください。

この記事を書いた人
Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之
2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →
