WordPressセキュリティ強化の新形態!管理画面への全アクセスを別ドメイン化して攻撃対象面を限りなくゼロに近づける「隠蔽化オプション」の提供開始 (3/6ページ)
実在しないURLパスやパラメタのアクセスには「404で応答する」ことで、閲覧系アクセス経路の攻撃を無効化します。
② 管理用URLへの攻撃無効化:ホスト置換型リバースプロキシ
お客様ご希望のドメインで、管理操作を中継する専用サーバを当社にて構築します。espar vault 導入後は、管理系の操作は管理用ドメインに対して行って頂きます。例えばCMSがWordPressである場合、管理画面のURLを以下のようにすることができます。(example.com や sample.jp は仮のドメインです)
[資料: https://files.value-press.com/czMjYXJ0aWNsZSM5NzkwIzM2MDcyNSMzNjA3MjVfMWM2MDkwZDI3ZTBmMDBmOTM5Y2Y4YWEzMThmY2ViZjUucG5n.png ]
管理系専用サーバは管理系のアクセスを中継するだけであり、URLが異なる以外は管理画面の操作感は一切変わりません。コンテンツ中に現れるフルパス中のドメイン表記は www.example.com か admin.sample.jp に関わらず、公開ドメインの www.example.com として処理されます。この管理系アクセス中継時の自動ホスト名置換は、当社が独自に開発したホスト名置換型リバースプロキシ技術により実現しています。
当然にして、管理用ドメインは関係者以外には秘密にして頂きます。有効な管理系アクセスを「別ドメインに隔離することで隠蔽」し、攻撃者の攻撃が試みられることがない状態にします。さらに、CMSサーバにBasic認証やIP制限をかけることでセキュリティを高めて頂きます。
