【2026年版】WordPressセキュリティ診断の無料ツール8選｜使い方と比較

WordPressは世界中のWebサイトの約43%で使用されており、その人気ゆえにサイバー攻撃の標的になりやすいという課題があります。IPA（情報処理推進機構）の「情報セキュリティ10大脅威2025」でも、Webサイトへの攻撃は上位にランクインしており、WordPressサイトも例外ではありません。

「自社のWordPressサイトは安全だろうか」と不安を感じていても、専門業者に診断を依頼するには数十万円の費用がかかることも珍しくありません。そこで本記事では、無料で使えるWordPressセキュリティ診断ツール8選をご紹介します。各ツールの特徴や使い方、診断結果の見方まで詳しく解説しますので、まずは自社でできる基本的なセキュリティチェックから始めてみましょう。

WordPressセキュリティ診断ツールの選び方

無料のセキュリティ診断ツールを選ぶ前に、まずは無料ツールで何ができて何ができないのかを理解しておくことが重要です。適切なツール選びには、自社のスキルレベルや診断目的に合わせた判断基準が必要になります。

無料ツールでできること・できないこと

無料のセキュリティ診断ツールは、基本的な脆弱性のチェックには十分な機能を持っています。具体的には以下のような診断が可能です。

• 既知の脆弱性の検出：WordPressコア、プラグイン、テーマの古いバージョンに存在する既知の脆弱性
• 基本的な設定ミスの発見：管理画面へのアクセス制限、ファイルパーミッション、セキュリティヘッダーの設定不備
• SQLインジェクション・XSSの基礎診断：一般的な攻撃パターンに対する脆弱性の有無
• マルウェア・改ざんの検出：既知のマルウェアパターンやファイルの不正な変更

一方で、無料ツールでは限界もあります。JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）の調査によると、高度な攻撃手法や未知の脆弱性（ゼロデイ脆弱性）は、専門家による詳細な診断が必要とされています。

無料ツールで対応できない範囲は以下の通りです。

• ビジネスロジックの脆弱性：サイト固有の処理における設計上の問題
• 複雑な認証回避：多段階の攻撃シナリオによる侵入テスト
• 詳細なログ解析：過去の攻撃痕跡や不審なアクセスパターンの分析
• コンプライアンス対応：PCI DSSやGDPR等の規制に準拠した診断

まずは無料ツールで基本的な診断を行い、重大な問題が見つかった場合や、より詳細な診断が必要と判断した場合に専門家への相談を検討するという段階的なアプローチが現実的です。

診断ツールの3つのタイプ

WordPressセキュリティ診断ツールは、大きく分けて3つのタイプがあります。それぞれの特徴を理解して、自社の環境やスキルレベルに合ったツールを選びましょう。

1. オンライン診断ツール

WebブラウザからサイトのURLを入力するだけで診断できるタイプです。サーバーへのアクセス権限は不要で、最も手軽に使えます。ただし、外部から確認できる情報のみが診断対象となるため、サーバー内部の設定やファイルの詳細なチェックはできません。

• メリット：インストール不要、技術知識がなくても使える、複数サイトを素早く診断可能
• デメリット：診断範囲が限定的、内部の詳細な脆弱性は検出できない

2. WordPressプラグイン型

WordPress管理画面からインストールして使うタイプです。サーバー内部にアクセスできるため、ファイルの整合性チェックやデータベースの診断など、より詳細な診断が可能です。

• メリット：内部の詳細診断が可能、定期スキャンの自動実行、管理画面で結果を確認できる
• デメリット：プラグイン自体が脆弱性を持つリスク、サーバーリソースを消費

3. コマンドラインツール（技術者向け）

サーバーにSSH接続してコマンドで実行するタイプです。技術者向けですが、最も詳細かつ柔軟な診断が可能です。

• メリット：高度な診断が可能、スクリプトで自動化できる、診断内容をカスタマイズ可能
• デメリット：技術知識が必要、サーバーへのSSHアクセス権限が必要

初心者が最初に使うべきツールの条件

セキュリティ診断が初めてという方は、以下の条件を満たすツールから始めることをおすすめします。

• 日本語対応：診断結果が理解できなければ対処もできません
• 分かりやすいレポート：専門用語が少なく、リスクレベルが明確に示される
• 対処方法の提示：脆弱性の説明だけでなく、具体的な解決策が示される
• 信頼性の高い開発元：公的機関やセキュリティ専門企業が開発・推奨しているツール
• 無料で基本機能が使える：有料版への誘導が少なく、無料範囲で十分な診断ができる

これらの条件を踏まえて、次のセクションでは具体的なツールをタイプ別にご紹介します。

【タイプ別】おすすめ無料診断ツール8選

ここからは、実際に使える無料のWordPressセキュリティ診断ツールをタイプ別に8つご紹介します。それぞれの特徴や使い方、どのような診断に向いているかを解説します。

オンライン診断ツール（3種）

まずは、インストール不要で手軽に使えるオンライン診断ツールを3つご紹介します。

1. WPScan Online（WPスキャンオンライン）

WPScanは、WordPressセキュリティ業界で最も信頼されているツールの一つです。オンライン版は、サイトのURLを入力するだけでWordPress本体・プラグイン・テーマの既知の脆弱性を診断できます。

• 診断内容：WordPressバージョン、プラグイン・テーマの脆弱性、設定の問題点
• 特徴：CVE（共通脆弱性識別子）に基づいた正確な脆弱性情報、無料アカウントで月25回まで診断可能
• おすすめ対象：複数のWordPressサイトを管理している方、技術的な詳細情報が必要な方

使い方は、WPScan公式サイトでアカウント登録後、診断したいサイトのURLを入力するだけです。結果は数分で表示され、Critical（緊急）からLow（低）までのリスクレベルで分類されます。

2. Sucuri SiteCheck（スクリ サイトチェック）

Sucuriは、Webサイトセキュリティの専門企業が提供する無料オンライン診断ツールです。WordPressに限らず、あらゆるWebサイトのマルウェア感染やブラックリスト登録をチェックできます。

• 診断内容：マルウェア検出、ブラックリスト状況、セキュリティヘッダー、SSL証明書の有効性
• 特徴：操作が簡単で結果が分かりやすい、Google Safe Browsing等の主要ブラックリストを横断チェック
• おすすめ対象：マルウェア感染が疑われる場合、SEOに影響するブラックリスト登録を確認したい方

Sucuri SiteCheckの公式サイトでURLを入力すると、即座に診断が開始されます。特にマルウェア検出能力に優れており、既に攻撃を受けている可能性がある場合の初動確認に適しています。

3. Security Headers（セキュリティヘッダーズ）

Security Headersは、WebサイトのHTTPセキュリティヘッダーを診断する専門ツールです。WordPressサイトのXSS攻撃やクリックジャッキング対策が適切に設定されているかを確認できます。

• 診断内容：Content Security Policy、X-Frame-Options、Strict-Transport-Securityなどのセキュリティヘッダー
• 特徴：A+からFまでの評価、各ヘッダーの設定方法が具体的に提示される
• おすすめ対象：サーバー設定の改善余地を知りたい方、技術的な対策を実施できる方

SecurityHeaders.comでURLを入力すると、総合評価と各ヘッダーの詳細分析が表示されます。技術的な内容ですが、推奨設定値が明示されるため、エンジニアに依頼する際の判断材料になります。

WordPressプラグイン（3種）

続いて、WordPress管理画面から直接使えるプラグイン型の診断ツールを3つご紹介します。

4. Wordfence Security（ワードフェンス セキュリティ）

Wordfenceは、世界中で400万以上のサイトで使われている定番セキュリティプラグインです。無料版でもマルウェアスキャンとファイアウォール機能が利用できます。

• 診断内容：マルウェア検出、ファイルの改ざん、既知の脆弱性、不正ログイン試行
• 特徴：リアルタイム脅威防御、詳細なトラフィック分析、日本語対応
• おすすめ対象：継続的なセキュリティ監視をしたい方、ファイアウォールも併用したい方

WordPressプラグイン検索で「Wordfence」と入力してインストール後、初回スキャンを実行します。スキャンには10-30分程度かかりますが、WordPress公式ディレクトリとの整合性チェックにより高精度な診断が可能です。

5. All In One WP Security（オールインワン WP セキュリティ）

All In One WP Securityは、初心者にも分かりやすいインターフェースが特徴のセキュリティプラグインです。セキュリティスコアという独自指標で、サイトの安全度を視覚的に確認できます。

• 診断内容：ファイルパーミッション、データベーステーブルのプレフィックス、ログインセキュリティ、バックアップ
• 特徴：セキュリティスコアで改善状況が一目瞭然、設定項目が段階的に整理されている
• おすすめ対象：セキュリティ初心者、視覚的に分かりやすいツールを求める方

インストール後、管理画面の「セキュリティスコア」セクションで、現在のスコアと改善すべき項目が表示されます。各項目には**Basic（基本）、Intermediate（中級）、Advanced（上級）**のレベル分けがあり、段階的に対策を進められます。

6. iThemes Security（アイシームズ セキュリティ）

iThemes Security（旧Better WP Security）は、30以上のセキュリティ機能を備えた総合プラグインです。無料版でも二段階認証やブルートフォース攻撃対策が利用できます。

• 診断内容：脆弱なパスワード、古いWordPressバージョン、不要なファイル、データベースセキュリティ
• 特徴：セキュリティチェック機能で問題点を一覧表示、ワンクリック修正が可能
• おすすめ対象：多機能なツールを求める方、自動化された対策を希望する方

プラグインをインストールして有効化すると、セキュリティチェックが自動実行されます。検出された問題には「修正する」ボタンが表示され、技術知識がなくても基本的な対策を実施できます。

技術者向けツール（2種）

最後に、より高度な診断が可能なコマンドラインツールを2つご紹介します。

7. WPScan CLI（WPスキャン コマンドラインインターフェース）

WPScan CLIは、前述のWPScan Onlineのコマンドライン版です。ローカル環境やサーバー上で直接実行でき、より詳細な診断とカスタマイズが可能です。

• 診断内容：WordPressコア・プラグイン・テーマの脆弱性、ユーザー列挙、脆弱なパスワード
• 特徴：Ruby製でクロスプラットフォーム対応、スクリプトで自動化可能、APIトークンで最新脆弱性情報にアクセス
• おすすめ対象：エンジニア、CI/CDパイプラインに組み込みたい方

使用にはRuby環境が必要です。インストール後、ターミナルで「wpscan --url https://example.com」のようにコマンドを実行します。結果はテキスト形式で出力され、**JSON形式での出力にも対応**しているため、他のツールとの連携も可能です。

8. WP-CLI Security Command（WP-CLI セキュリティコマンド）

WP-CLIは、WordPressをコマンドラインから操作するツールです。セキュリティコマンドを追加することで、プラグインやテーマの更新状況を一括確認できます。

• 診断内容：古いバージョンのプラグイン・テーマ、コアファイルの整合性、データベースの最適化
• 特徴：WordPressの標準コマンドラインツール、複数サイトの一括管理に最適
• おすすめ対象：複数のWordPressサイトを管理しているエンジニア、定期メンテナンスを自動化したい方

WP-CLIがインストールされている環境で、「wp plugin list --update=available」などのコマンドを実行すると、更新可能なプラグイン一覧が表示されます。crontabに登録すれば、定期的な更新チェックを自動化できます。

診断結果の見方と優先対応すべき脆弱性

セキュリティ診断ツールを実行すると、多数の問題点が検出されることがあります。しかし、すべてを同時に対処する必要はありません。リスクレベルに応じた優先順位をつけて、段階的に改善していくことが重要です。

「Critical（緊急）」レベルの脆弱性への対処

「Critical」や「High」と表示される脆弱性は、即座に攻撃される可能性が高い問題です。IPA「共通脆弱性評価システムCVSS」では、スコア9.0以上が緊急レベルに分類されます。

以下のような脆弱性が検出された場合は、他の作業を中断してでも対処してください。

• SQLインジェクション：データベースに不正にアクセスされ、顧客情報が流出する可能性
• リモートコード実行（RCE）：攻撃者がサーバー上で任意のコードを実行でき、完全に乗っ取られる危険性
• 認証回避：ログイン機能をすり抜けて管理者権限を奪取される可能性
• 既知の脆弱性が公開されているプラグイン：CVEデータベースに登録済みで攻撃手法が公開されている

対処方法は以下の通りです。

1. 該当プラグイン・テーマの更新：最新バージョンで脆弱性が修正されている場合は即座に更新
2. 更新版がない場合は無効化：修正版がリリースされていない場合、そのプラグインを一時的に無効化
3. 代替プラグインへの移行：長期間更新されていないプラグインは、別の安全なプラグインへ乗り換え
4. .htaccessでの緊急対策：特定のファイルへのアクセスを一時的にブロック（技術者と相談）

JPCERT/CCのインシデント報告によると、既知の脆弱性を放置したことによる被害事例が多数報告されています。緊急レベルの脆弱性は24時間以内に対処することを推奨します。

「High（高）」以下の脆弱性の判断基準

「High」「Medium」「Low」レベルの脆弱性は、即座に攻撃される可能性は低いものの、放置すると将来的にリスクが高まる問題です。

以下のような脆弱性が該当します。

• クロスサイトスクリプティング（XSS）：特定の条件下で発動する可能性がある
• 情報漏洩：WordPressバージョンやプラグイン名が外部から確認できる
• 設定不備：ファイルパーミッションやセキュリティヘッダーの設定が推奨値と異なる
• 古いバージョンの使用：脆弱性はないが、サポートが終了している

これらは以下のスケジュールで対処するとよいでしょう。

• High（高）：1週間以内に対処または対策計画の策定
• Medium（中）：1ヶ月以内に対処、次回の定期メンテナンスで対応
• Low（低）：3ヶ月以内に対処、大規模アップデート時にまとめて対応

ただし、サイトの重要性やアクセス数によって優先度は変わります。個人情報を扱うECサイトや会員制サイトでは、Mediumレベルでも早めの対処が推奨されます。

よくある誤検知パターンと対処不要なケース

セキュリティ診断ツールは、時に**誤検知（False Positive）**を起こすことがあります。以下のようなケースでは、過剰に反応せず冷静に判断してください。

誤検知の典型例

• カスタマイズされたコアファイル：意図的に変更したファイルが「改ざん」と判定される
• 自作プラグイン：脆弱性データベースに登録されていないため「不明なプラグイン」と警告される
• 開発環境でのデバッグモード：本番環境では無効化しているが、検出される
• 旧バージョンの意図的な利用：互換性の理由で古いバージョンを使っている場合

対処不要と判断できるケース

• 既に修正済みの脆弱性：過去に修正したが、ツールのデータベースが更新されていない
• 使用していない機能の脆弱性：プラグインの特定機能に脆弱性があるが、その機能を使っていない
• アクセス制限済みのファイル：外部からアクセスできないファイルの権限問題

判断に迷った場合は、以下を確認してください。

1. CVEデータベースでの確認：報告されている脆弱性かどうか
2. プラグイン公式サイトの情報：開発者からの修正報告やアナウンス
3. セキュリティ専門家への相談：有償サービスやフォーラムでの質問

IPAでは、脆弱性情報の信頼性を確認するためのガイドラインを公開しています。不確かな情報で過剰な対策を取るよりも、確実な情報に基づいた適切な対処を心がけましょう。

無料ツール診断後にやるべきこと

セキュリティ診断で脆弱性が見つかったら、適切な手順で対処することが重要です。また、診断は一度きりではなく継続的に実施することで、新たな脅威にも対応できます。

発見された脆弱性の対処手順

診断結果をもとに、以下のステップで対処を進めてください。

ステップ1：脆弱性の内容を理解する

まず、検出された脆弱性が何を意味するのかを理解します。ツールの説明文やCVE番号からJVN（Japan Vulnerability Notes）やNVD（National Vulnerability Database）で詳細情報を確認しましょう。

• どのような攻撃が可能になるのか
• 自社のサイトで実際に悪用される可能性はあるか
• 影響範囲（全ページ/特定機能のみ）

ステップ2：バックアップの取得

対処作業の前に、必ずサイト全体のバックアップを取得してください。プラグインの更新や設定変更により、サイトが正常に動作しなくなる可能性があります。

• データベースのバックアップ（phpMyAdminやプラグインで取得）
• ファイル全体のバックアップ（FTPまたはcPanelのバックアップ機能）
• 復元手順の確認（事前にテスト環境で復元できるか確認）

ステップ3：テスト環境での対処

可能であれば、本番環境と同じ構成のテスト環境を用意し、そこで先に対処を試してください。特にプラグインの大幅な更新や削除は、他の機能に影響を与える可能性があります。

• プラグインの更新後に全ページが正常に表示されるか
• フォーム送信やログイン機能が動作するか
• サイトの表示速度に影響がないか

ステップ4：本番環境での実施

テスト環境で問題がなければ、本番環境で対処を実施します。アクセスの少ない時間帯に作業することを推奨します。

1. メンテナンスモードを有効化（Coming Soonプラグイン等）
2. プラグイン・テーマの更新または削除
3. 設定変更（ファイルパーミッション、セキュリティヘッダー等）
4. 再度診断ツールで確認
5. サイトの動作確認
6. メンテナンスモード解除

ステップ5：対処内容の記録

実施した対処内容を記録しておくことで、将来的なトラブルシューティングや監査対応がスムーズになります。

• 対処日時
• 検出された脆弱性の内容
• 実施した対処方法
• 対処後の動作確認結果

定期診断のスケジュール設定

セキュリティ対策は一度実施すれば終わりではありません。新たな脆弱性は日々発見されるため、定期的な診断が必要です。

推奨する診断スケジュールは以下の通りです。

• 週1回：プラグイン・テーマの更新確認（WP-CLIやプラグインで自動化）
• 月1回：詳細なセキュリティスキャン（Wordfence等のプラグインでスケジュール実行）
• 四半期に1回：オンライン診断ツールでの外部診断（WPScan、Sucuri等）
• 大規模更新時：WordPressコアやPHPバージョンの更新前後に診断

特に個人情報を扱うサイトや会員制サイトでは、より頻繁な診断が推奨されます。JPCERT/CCの調査によると、脆弱性が公開されてから攻撃が始まるまでの平均期間は7日間とされており、迅速な対応が求められます。

診断を自動化するには、以下の方法があります。

• プラグインのスケジュール機能：Wordfenceは無料版でも自動スキャンが可能
• WP-CLIとcron：コマンドラインツールを定期実行
• 外部監視サービス：UptimeRobotやSite24x7などの無料プランでダウン検知

無料ツールで対処できない場合の判断基準

無料ツールで診断しても、以下のような状況では専門家への相談を検討してください。

専門家への相談が必要なケース

• 既にマルウェア感染が疑われる：不審なファイル、管理者アカウントの不正作成、リダイレクト発生
• 対処方法が分からない脆弱性：技術的に高度で、自社で対応できない
• 法令対応が必要：個人情報保護法やPCI DSSなどの規制に準拠する必要がある
• 大規模サイトや重要システム：売上に直結するECサイトや会員数の多いサービス
• 過去に攻撃を受けた経験：再発防止のため根本的な対策が必要

専門家依頼の判断基準（目安）

専門家によるセキュリティ診断は、ペネトレーションテスト（侵入テスト）を含む詳細な診断で、費用は10万円〜50万円程度が相場です。無料ツールでは発見できないビジネスロジックの脆弱性や複雑な攻撃シナリオを検証できます。

また、IPAでは「情報セキュリティサービス基準適合サービスリスト」を公開しており、信頼できるセキュリティ診断業者を検索できます。複数社から見積もりを取り、診断内容と費用を比較検討することをおすすめします。

まとめ

この記事では、WordPressセキュリティ診断に使える無料ツール8選と、診断結果の見方、対処方法について解説しました。重要なポイントは以下の3つです。

• タイプに応じたツール選び：オンライン型・プラグイン型・コマンドライン型から、自社のスキルレベルや診断目的に合ったツールを選ぶことが重要です
• リスクレベルに応じた優先対応：すべての脆弱性を同時に対処する必要はなく、Critical（緊急）から段階的に対処することで効率的にリスクを低減できます
• 継続的な診断と記録：セキュリティ対策は一度きりではなく、月1回の定期診断と対処内容の記録により、長期的な安全性を維持できます

無料ツールは基本的な診断には十分な機能を持っていますが、既にマルウェア感染が疑われる場合や個人情報を扱うECサイトでは、専門家による詳細な診断も検討してください。IPAやJPCERT/CCが公開する最新の脅威情報も定期的に確認し、新たなリスクに備えることが大切です。

次のステップとしては、この記事で紹介したツールから1つを選んで実際に診断を実施してみることをおすすめします。診断結果で不明な点があれば、各ツールの公式ドキュメントやセキュリティコミュニティで情報を収集し、適切な対処を進めていきましょう。