この記事は、T-DASH Advent Calendar 2022 10日目の記事です。
自己紹介
こんにちは、なりかくんと申します。普段は、欲しいなと思ったツールなどを開発して自己満足しています。
ブログを普段書いており、今回はQiita Advent Calendar 2022にQiitaで初めて書かせていただきます。
普段は、WordPressでホストしているブログに様々な記事を書いていますので良ければそちらもご覧ください。(宣伝)
今回作るもの
今回は、T-DASHを使ってWordPressのセキュリティ診断を作りたいと思います。
診断内容は、簡単に2つです。ログインページのリンクが変更されているかどうかとXMLRPCが無効化されているかどうかです。
WordPressへの攻撃は、ログインページへの総当たり攻撃がほとんどですのでログインページのリンクを変更するだけでも十分セキュリティ対策が出来ます。
XMLRPCの無効化も同様に、総当たり攻撃に有効な手段となります。ただし、一部プラグインが動かなくなる可能性があるため無効化していないサイトが多いのが現状です。
プロジェクトの作成
まず最初にプロジェクトの作成を行います。このT-DASHではプロジェクトごとに管理が出来るみたいです。
テストシナリオとテストケースの作成
テストシナリオを作ってからテストケースを作ります。
画面定義の作成
画面定義でHTMLの要素などを定義できます。
今回作ったテストケースの内容
今回は非常に簡単なテストケースの内容となっています。ログインページが変更されているかの確認は、WordPressのログインページにあるユーザー名を入力するテキストボックスがあるかどうかを判断しています。
次にXMLRPCが無効化されているかどうかですが、有効であればXMLRPCのページに「XML-RPC server accepts POST requests only.」と通常のブラウザからアクセスすると表示されますので、その文字列が表示されているかどうかを判断しています。
テスト結果
まず、セキュリティ対策を一つもしていないサイトの場合は以下のようにすべて失敗と表示されます。
そして、セキュリティ対策をしっかりと行っているサイトでは成功と表示されます。
テストレポート
テスト結果は一つ一つレポートでまとめられますので、そこから詳細に確認することが出来るみたいです。
最後に
あまり私の発想力と知識力が無くこのような記事になってしまいましたが、プログラムを書かずにこのような形でテストを自動化できるT-DASHは非常に便利だと感じました。
無料プランもあり、また最初の30日間は無料トライアルで全機能が使える(?)みたいなので少し試すだけでもぜひ触ってみてください!
最後までお読みいただきありがとうございました。