Waltiスキャンプラグインを入れてみた

Walti

先日のIDCFクラウドMeetup vol.4 でのWalti.ioの発表資料を見てたら、
WordPressプラグインの記事も見つけてしまった。
Waltiといえば、HEARTBEATS の藤崎さんがやってるセキュリティスキャンをやっている会社で、これ自体は以前から知ってたのですが、WordPressプラグインは未チェックでした。
ええ、1年前はWordPressとかまったくWatchしてませんでしたよ?

Walti スキャンプラグイン

ということで、WordPressのWaltiscanプラグインを入れてみました。

Walti登録

まずは、Waltiに登録します。FacebookとかGitHubのアカウントでログインできます。
組織まで設定しておきます。クレジットカードとか登録すると、割引されるらしいですよ?

Waltiscanプラグイン

WordPressのプラグイン画面からWaltiscanプラグインをインストールします。手順が公開されているのでその通りにインストールして、
APIキーの登録を行い、Waltiにターゲットとして登録します。

所有者確認

Waltiプラグインで所有者確認すると、500エラーが出ます。所有者確認機能ではファイルをDocumentRoot以下にダウンロードしようとするのですが、KUSANAGI環境ではプラグインによるファイルダウンロードを許可していないため発生します。それにしても500エラーが発生するのは問題じゃないですかね?
ということで、Walti設定画面のターゲット一覧画面でターゲットを選択し、設定ボタンから所有者確認を選択します。ここで、認証ファイルの設置方法が表示されるので、この手順通りにファイルをダウンロードし、DocumentRoot以下に設置します。

スキャン

Waltiスキャン画面から、portscanやniktoスキャンを実行できます。初回は無料ですが、定期的な実行には少し課金が必要です。

総評

ということで、カジュアルにセキュリティスキャンを行えるWaltiですが、KUSANAGIだとインストールに少しはまるので注意が必要です。