WordPressセキュリティ強化の新形態!管理画面への全アクセスを別ドメイン化して攻撃対象面を限りなくゼロに近づける「隠蔽化オプション」の提供開始 (1/6ページ)
WordPress等の運用中のCMSを、攻撃者から「見えなくする」ことにより攻撃アクセスを無効化する新しいセキュリティ技術が登場します。独自開発の「ホスト名置換型リバースプロキシ」技術により、CMSの管理系URLを公開用ドメインとは異なる任意の別ドメインに分離。公開用ドメインのURLからは管理系アクセスが一切できなくなります。閲覧用ページの静的化と併用することで、攻撃者がCMSに対する攻撃アクセスを試みることすらできない構成を実現します。
WordPress等のCMSサイト静的化サービス「espar vault」を提供する株式会社フィードテイラー(本社:大阪市北区、代表取締役:大石裕一、以降当社)は、CMSの管理系アクセス全てを公開URLとは異なる別のドメインに隔離することで、サイトの攻撃対象面を限りなくゼロに近づける「隠蔽化オプション」の提供を2025年8月19日より開始することを発表いたします。
CMSが抱える構造的脆弱性と espar vault の隠蔽化オプション
CMSサイトは、サイト閲覧者とコンテンツ管理者が同一サーバにアクセスすることが前提です。そのため、悪意ある第三者がサイトを攻撃する可能性を根本的に排除することは困難でした。閲覧用・管理用の両アクセスが攻撃対象面(攻撃される可能性のあるパス)となっている構造であり、サイト全体が攻撃対象になってしまいます。
[資料: https://files.value-press.com/czMjYXJ0aWNsZSM5NzkwIzM2MDcyNSM5NzkwX1htSWJRdEVWVGIucG5n.png ]
当社の「espar vault」では、CMSを静的化(HTML化)して別の公開用サーバにホスティングすることによって、閲覧用アクセス経路の攻撃を原則無効化してきました。
