「WordPressのプラグインに脆弱性があるって聴いたけど、どやって確認すればいいかわからない」「脆弱性の情報を自動で監視してくれるツールが欲しい」と感じていませんか?
Patchstackは、WordPressのプラグイン・テーマ・コアに存在する脆弱性(セキュリティの弱点)を自動で検出・監視するセキュリティプラグインです。既知の脆弱性を持つプラグインを検出してアラートで知らせてくれるほか、有料版ではvirtual patching(仮想パッチ)機能によってアップデートなしで脆弱性を防ぐことができます。
この記事では、Patchstackの無料版でできる脆弱性監視の設定方法を中心に、有料版の機能との違いも合わせてわかりやすく解説します。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、Patchstackの設定を初心者でも迷わないよう丁寍に解説します。
- Patchstackとは何か・他のプラグインとの違い
- 無料版と有料版の違い
- インストールとPatchstackアカウント連携の手順
- 脆弱性アラートの確認方法
- 他のセキュリティプラグインとの使い分け
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
Patchstackとは?他のセキュリティプラグインとの違い
Patchstack(旧WebARX)は、WordPressのプラグイン・テーマ・コアファイルに存在するセキュリティ脆弱性を自動で検出・監視するセキュリティプラグインです。SiteGuardやWordfenceなどのプラグインが「ログイン保護」や「ファイアウォール」を主な機能としているのに対し、Patchstackは「脆弱性データベースとの照合・監視」に特化しています。
Patchstackが独自に運営する脆弱性データベースには、WordPress錁連の脆弱性情報が継続的に収集されています。インストール済みのプラグインやテーマに既知の脆弱性が見つかった場合、メールやダッシュボードでアラートを受け取ることができます。
- 脆弱性データベースとの自動照合:インストール済みプラグイン・テーマ・WordPress本体を継続的にスキャン
- リアルタイムアラート:新しい脆弱性が発見された際にメールで即時通知
- 仮想パッチ(有料版):プラグインのアップデートを待たずに脆弱性を防ぐvirtual patching機能
- 複数サイト管理:Patchstackダッシュボードから複数のWordPressサイトを一元管理
- OWASPトップ10対応(有料版):一般的なWeb攻撃パターンに対する防護
- 脆弱性監視・アラート:無料版・有料版ともに利用可能
- 仮想パッチ(Virtual Patching):有料版のみ。アップデートなしで脆弱性を防ぐ
- WAF(Webアプリケーションファイアウォール):有料版のみ
- 管理できるサイト数:無料版は1サイト、有料版は複数サイト
- 個人サイトや小規模サイトなら無料版の脆弱性監視機能だけでも十分に活用できる
Patchstackのインストールと初期設定
PatchstackはWordPress公式ディレクトリで配布されているため、管理画面から直接インストールできます。ただし、脆弱性監視機能を使うにはPatchstackアカウントとの連携が必要です。
ステップ1:Patchstackアカウントを作成する
プラグインをインストールする前に、まずPatchstackのWebサイトで無料アカウントを作成することをおすすめします。
- ブラウザで「https://patchstack.com」を開く
- 「Get Started for Free(無料で始める)」をクリックする
- メールアドレス・パスワードを入力してアカウントを作成する(Googleアカウントでのログインも可能)
- メール認証を完了する
ステップ2:WordPressプラグインをインストールする
- WordPress管理画面 →「プラグイン」→「新規プラグインを追加」を開く
- 検索欄に「Patchstack」と入力する
- 「Patchstack – WordPress & Plugins Security」を見つけて「今すぐインストール」をクリックする
- インストール完了後、「有効化」をクリックする
ステップ3:PatchstackアカウントとWordPressを連携する
プラグインを有効化すると、Patchstackアカウントとの連携画面が表示されます。APIキーを取得して設定します。
- Patchstackダッシュボード(app.patchstack.com)にログインする
- 「Add Application(アプリケーションを追加)」をクリックしてサイトを登録する
- サイトのURLを入力して登録を完了する
- 生成されたAPIキーをコピーする
- WordPressの管理画面「Patchstack」→「General Settings」でAPIキーを貼り付けて保存する
Patchstackの設定画面の見方
連携が完了すると、管理画面の左メニューに「Patchstack」という項目が追加されます。
- Dashboard(ダッシュボード):サイトのセキュリティ状態・検出された脆弱性の概要
- Vulnerabilities(脆弱性):検出された脆弱性の詳細一覧
- Firewall(ファイアウォール):WAFの状態(有料版のみ有効)
- General Settings(一般設定):APIキーの設定・通知設定
脆弱性アラートの確認方法
Patchstackは、インストール済みのプラグイン・テーマ・WordPressコアに既知の脆弱性が見つかった場合に、
ダッシュボードとメールでアラートを送信します。
WordPress管理画面での確認
「Patchstack」→「Vulnerabilities(脆弱性)」から、検出された脆弱性の詳細を確認できます。
- Plugin/Theme名:脆弱性が見つかったプラグインまたはテーマの名前
- 脆弱性の種類:SQLインジェクション・XSS・CSRF など
- 深刻度(CVSS スコア):Critical・High・Medium・Lowの4段階
- 修正バージョン:脆弱性が修正されたバージョン番号
- 推奨アクション:更新・無効化・削除などの対処方法
Patchstackダッシュボード(Webサービス)での確認
Patchstackのオンラインダッシュボード(app.patchstack.com)では、
登録したすべてのサイトの脆弱性状態を一元管理できます。
複数のWordPressサイトを運営している場合に特に便利です。
脆弱性が検出された場合の対処方法
Patchstackで脆弱性が検出された場合、状況に応じた対処が必要です。
- Patchstackのアラートで「修正バージョン」を確認する
- 修正バージョンが存在する場合:該当プラグインまたはテーマを最新版にアップデートする
- 修正バージョンがまだ存在しない場合:該当プラグインを一時的に無効化または削除する
- 有料版(Patchstack Developer/Business)を使用している場合:仮想パッチ機能が自動的に脆弱性をブロックしてくれる
- Critical(9.0~10.0):最優先。直ちにアップデートまたは無効化する
- High(7.0~8.9):できるだけ早くアップデートする
- Medium(4.0~6.9):次回のメンテナンス時にアップデートを検討する
- Low(0.1~3.9):リスクは低いが把握しておく
メールアラートの設定
Patchstackは、新しい脆弱性が検出された際にメールで通知してくれます。
通知が届くようにメールアドレスが正しく設定されているか確認しましょう。
- Patchstackダッシュボード(app.patchstack.com)にログインする
- 「Notification settings(通知設定)」を開く
- メールアドレスが正しいか確認する
- 通知を受け取りたいアラートの種類にチェックを入れる(新規脆弱性・Critical脆弱性など)
Patchstack有料版のVirtual Patching(仮想パッチ)とは
Patchstackの最大の特徴である「Virtual Patching(仮想パッチ)」は
有料版(Developer/Businessプラン)で利用できる機能です。
通常、プラグインの脆弱性に対処するにはプラグイン開発者が修正版をリリースするのを待つ必要があります。
しかし仮想パッチ機能を使うと、プラグイン自体をアップデートしなくても、
Patchstackのルールエンジンが攻撃をブロックし、脆弱性を悪用されるリスクを大幅に減らすことができます。
- Patchstackが脆弱性を検出すると、自動的にWAFルールが更新される
- 更新されたルールが脆弱性を悪用する攻撃のパターンをブロックする
- プラグインの公式修正版がリリースされるまでの間、攻撃から守られる
- 修正版がリリースされてアップデートが完了すれば、仮想パッチは自動的に解除される
Patchstackの設定完了チェックリスト
Patchstackの初期設定が完了したら、以下のチェックリストで確認しましょう。
- Patchstackアカウントを作成した
- プラグインをインストール・有効化した
- APIキーを設定してWordPressとPatchstackを連携した
- Patchstackダッシュボードでサイトが正しく表示されている
- メールアラートの通知設定を確認した
- 脆弱性一覧を確認して、対処が必要なプラグインがないかチェックした
Patchstackと他のセキュリティプラグインの使い分け
Patchstackは「脆弱性監視」に特化しているため、他のセキュリティプラグインと組み合わせることで全方位的なセキュリティ対策が可能になります。
- 脆弱性監視・アラート:Patchstack(無料版で十分)
- ログイン保護(ブルートフォース防止・URLの変更):SiteGuard・CloudSecureなど
- マルウェアスキャン・ファイアウォール:Wordfence(無料版)との組み合わせ
- 定期バックアップ:UpdraftPlusで万が一の復旧に備える
- Patchstackの強み:脆弱性データベースの充実・仮想パッチ(有料版)・複数サイト管理
- Wordfenceの強み:マルウェアスキャン・ファイアウォール・ログイン保護・無料版でも多機能
- Patchstackは「このプラグインに脆弱性がある」という情報を知るためのツール。Wordfenceは「実際に攻撃をブロックする」ためのツール。両者は補完関係にある
Patchstackの使い方まとめ
Patchstackは、WordPress・プラグイン・テーマの脆弱性を自動で監視してアラートを送ってくれる、他のセキュリティプラグインとは一線を画す独自のセキュリティプラグインです。
- patchstack.comで無料アカウントを作成する
- 管理画面からPatchstackプラグインをインストール・有効化する
- Patchstackダッシュボードでサイトを登録してAPIキーを取得する
- WordPress管理画面でAPIキーを設定してアカウントを連携する
- メールアラートの通知設定を確認する
- 脆弱性一覧を確認して、対処が必要なプラグインがないかチェックする
- 脆弱性が検出されたプラグインは速やかにアップデートまたは無効化する
Patchstackで脆弱性を継続的に監視しながら、SiteGuardでログイン保護・Wordfenceでマルウェアスキャン・UpdraftPlusでバックアップを組み合わせることで、万全のWordPressセキュリティ体制を整えられます。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
