WordPressセキュリティ強化の新形態!管理画面への全アクセスを別ドメイン化して攻撃対象面を限りなくゼロに近づける「隠蔽化オプション」の提供開始 (2/6ページ)
この度の「隠蔽化オプション」では、管理用URLを別ドメインで隔離し、公開用ドメイン配下の管理系URLは原則404で応答するようにします。正規の管理者は(攻撃者が知ることのない)別ドメインのURLから管理画面にアクセスを行います。
[資料: https://files.value-press.com/czMjYXJ0aWNsZSM5NzkwIzM2MDcyNSM5NzkwX0ViUHp5UlRDU1AucG5n.png ]
攻撃者から見ると、公開用URLから推測できる管理系アクセスは全て404応答となるほか、隔離された管理用アクセス経路のURLを知ることもできません。
本構成では、閲覧系と管理系の両アクセスを別サーバが受け持つため、CMSサーバは全アクセスに対してBasic認証やIP制限を設定することができます。その結果、攻撃者はCMSサーバに攻撃アクセスを試みることすらできなくなります。
このように espar vault の隠蔽化オプションは、CMSサーバの攻撃対象面を限りなくゼロに近づけて、運用中の安全性を大幅に高めるものです。なお、espar vault および「隠蔽化オプション」は、代表的なCMSであるWordPressだけでなく、あらゆるCMSに導入することができます。
攻撃対象面をゼロ化する仕組み
以下2つを組み合わせることにより、運用中の任意のCMSを理論上攻撃できないCMSに変化させます。いずれも当社が開発した独自技術により実現しています。
① 閲覧用URLへの攻撃無効化:静的化+静的ホスティング
espar vault の静的化エンジンで静的化(HTML化)したファイルを、PHP/CMS/DB等が一切存在しない公開用の静的ホスティングサーバに転送します。DNSは公開用サーバに向けて閲覧用の全アクセスを集約します。
