WordPressセキュリティ強化の新形態！管理画面への全アクセスを別ドメイン化して攻撃対象面を限りなくゼロに近づける「隠蔽化オプション」の提供開始【写真詳細】

WordPress等の運用中のCMSを、攻撃者から「見えなくする」ことにより攻撃アクセスを無効化する新しいセキュリティ技術が登場します。独自開発の「ホスト名置換型リバースプロキシ」技術により、CMSの管理系URLを公開用ドメインとは異なる任意の別ドメインに分離。公開用ドメインのURLからは管理系アクセスが一切できなくなります。閲覧用ページの静的化と併用することで、攻撃者がCMSに対する攻撃アクセスを試みることすらできない構成を実現します。

WordPress等のCMSサイト静的化サービス「espar vault」を提供する株式会社フィードテイラー（本社：大阪市北区、代表取締役：大石裕一、以降当社）は、CMSの管理系アクセス全てを公開URLとは異なる別のドメインに隔離することで、サイトの攻撃対象面を限りなくゼロに近づける「隠蔽化オプション」の提供を2025年8月19日より開始することを発表いたします。


CMSが抱える構造的脆弱性と espar vault の隠蔽化オプション

CMSサイトは、サイト閲覧者とコンテンツ管理者が同一サーバにアクセスすることが前提です。そのため、悪意ある第三者がサイトを攻撃する可能性を根本的に排除することは困難でした。閲覧用・管理用の両アクセスが攻撃対象面（攻撃される可能性のあるパス）となっている構造であり、サイト全体が攻撃対象になってしまいます。


[資料: https://files.value-press.com/czMjYXJ0aWNsZSM5NzkwIzM2MDcyNSM5NzkwX1htSWJRdEVWVGIucG5n.png ]

当社の「espar vault」では、CMSを静的化（HTML化）して別の公開用サーバにホスティングすることによって、閲覧用アクセス経路の攻撃を原則無効化してきました。

この度の「隠蔽化オプション」では、管理用URLを別ドメインで隔離し、公開用ドメイン配下の管理系URLは原則404で応答するようにします。正規の管理者は（攻撃者が知ることのない）別ドメインのURLから管理画面にアクセスを行います。


[資料: https://files.value-press.com/czMjYXJ0aWNsZSM5NzkwIzM2MDcyNSM5NzkwX0ViUHp5UlRDU1AucG5n.png ]

攻撃者から見ると、公開用URLから推測できる管理系アクセスは全て404応答となるほか、隔離された管理用アクセス経路のURLを知ることもできません。

本構成では、閲覧系と管理系の両アクセスを別サーバが受け持つため、CMSサーバは全アクセスに対してBasic認証やIP制限を設定することができます。その結果、攻撃者はCMSサーバに攻撃アクセスを試みることすらできなくなります。

このように espar vault の隠蔽化オプションは、CMSサーバの攻撃対象面を限りなくゼロに近づけて、運用中の安全性を大幅に高めるものです。なお、espar vault および「隠蔽化オプション」は、代表的なCMSであるWordPressだけでなく、あらゆるCMSに導入することができます。


攻撃対象面をゼロ化する仕組み 

以下2つを組み合わせることにより、運用中の任意のCMSを理論上攻撃できないCMSに変化させます。いずれも当社が開発した独自技術により実現しています。

① 閲覧用URLへの攻撃無効化：静的化＋静的ホスティング
espar vault の静的化エンジンで静的化（HTML化）したファイルを、PHP/CMS/DB等が一切存在しない公開用の静的ホスティングサーバに転送します。DNSは公開用サーバに向けて閲覧用の全アクセスを集約します。実在しないURLパスやパラメタのアクセスには「404で応答する」ことで、閲覧系アクセス経路の攻撃を無効化します。

② 管理用URLへの攻撃無効化：ホスト置換型リバースプロキシ
お客様ご希望のドメインで、管理操作を中継する専用サーバを当社にて構築します。espar vault 導入後は、管理系の操作は管理用ドメインに対して行って頂きます。例えばCMSがWordPressである場合、管理画面のURLを以下のようにすることができます。（example.com や sample.jp は仮のドメインです）


[資料: https://files.value-press.com/czMjYXJ0aWNsZSM5NzkwIzM2MDcyNSMzNjA3MjVfMWM2MDkwZDI3ZTBmMDBmOTM5Y2Y4YWEzMThmY2ViZjUucG5n.png ]

管理系専用サーバは管理系のアクセスを中継するだけであり、URLが異なる以外は管理画面の操作感は一切変わりません。コンテンツ中に現れるフルパス中のドメイン表記は www.example.com か admin.sample.jp に関わらず、公開ドメインの www.example.com として処理されます。この管理系アクセス中継時の自動ホスト名置換は、当社が独自に開発したホスト名置換型リバースプロキシ技術により実現しています。

当然にして、管理用ドメインは関係者以外には秘密にして頂きます。有効な管理系アクセスを「別ドメインに隔離することで隠蔽」し、攻撃者の攻撃が試みられることがない状態にします。さらに、CMSサーバにBasic認証やIP制限をかけることでセキュリティを高めて頂きます。


WAFとの違い 

一般的なWAF（Web Application Firewall）は、攻撃を検知して遮断するセキュリティソリューションです。これに対して espar vault の隠蔽化オプションは、攻撃対象面そのものを無くすアプローチです。

従来のWAFの特徴
・攻撃対象面は存在したまま
・CMSサーバに届く攻撃を検知・遮断する
・既知の攻撃パターンに基づく防御のため、定期的なルール更新が必要
・未知の攻撃や巧妙な攻撃には対応できない場合がある
・誤検知により正常なアクセスが遮断される場合がある

espar vault 隠蔽化オプションの特徴 
・攻撃対象面が限りなくゼロになる
・攻撃者にとって攻撃対象が「存在しない」状態を作り出す
・公開用サーバは静的ファイルのみであるため、そもそも攻撃が成立しない
・秘匿された管理用ドメインで隔離されるため、そもそも管理系URLが分からず攻撃者は攻撃を試みることができない


CMSが備える標準機能について

代表的なCMSであるWordPressには、管理画面で「WordPressアドレス」「サイトアドレス」の2種類のURLを設定可能です。両者を異なるドメインに設定すれば管理系アクセスを別ドメインとして隔離できますが、以下のような理由により運用のハードルが極めて高く、一般的に使用されていません。

・1サイト複数ドメイン割り当てができないレンタルサーバが多い
・VPC等で自前でサーバ構築する場合、Webサーバの設定・管理が複雑になる
・プラグイン実装が管理系アクセス(admin-ajax等)を要求する場合は正常に動作しない

espar vault および「隠蔽化オプション」では、この種のサーバ設定・運用に悩まされることなく、CMSのセキュリティを大幅に強化することができます。


隠蔽化オプションが活用できるサイト例

以下のような場合で特に隠蔽化オプションをご活用頂くことができます。

・脆弱性診断でNGが出たWordPressサイトを防御したい場合
・CMS案件の要件に「静的化」や「高いセキュリティレベル」が含まれる場合
・古いバージョンのWordPressサイトで諸事情によりアップデートができない場合

これら以外でも、CMSサイトのセキュリティを高めたい全てのケースで有効です。


「隠蔽化」オプション価格・提供条件 

料金は全て税別です。


[資料: https://files.value-press.com/czMjYXJ0aWNsZSM5NzkwIzM2MDcyNSMzNjA3MjVfMmFmZDg3ZDEzMmE2NzNkNmJmODEzYjA3N2YyMDNjM2MucG5n.png ]

(*1) WordPress以外のCMSでは追加費用が必要となります。
(*2) 管理系アクセスの転送量は、espar vault の従量価格対象として積算されます。


espar vault について

espar vaultは、WordPressをはじめとするCMSサイトの静的化による高速化・セキュリティ向上サービスです。独自開発の高速静的化エンジンでCMSサイトを静的化し、当社用意の公開サーバに静的ホスティングすることで、理論上の最高速度と最高レベルのセキュリティを同時に実現します。詳しくは espar vault（https://vault.espar.biz/）のページをご覧ください。


espar vault のリーフレットについて

本プレスリリースのTOP画像は、espar vault のリーフレットの表紙です。柔らかい色使いを得意とするイラストレーター、いとうみゆき氏（https://itomiyuki.com/）によるものです。リーフレットは https://www.feedtailor.jp/pdf/espar-vault-leaflet_202505.pdf よりダウンロードして頂くことができます。


株式会社フィードテイラーについて

株式会社フィードテイラーは、CMSサイトを静的化して高速化・攻撃無効化を一挙両得できる「espar vault」、静的サイト向けのPHPレスなフォーム実装JavaScriptツール「espar form」など、静的化技術に特化したサービスでWeb制作現場の課題を解決するテクノロジーベンダーです。

 

プレスリリース情報提供元：ValuePress!