WordPressセキュリティ強化の新形態!管理画面への全アクセスを別ドメイン化して攻撃対象面を限りなくゼロに近づける「隠蔽化オプション」の提供開始
2025年8月19日 株式会社フィードテイラー 代表取締役 大石裕一
WordPress等のCMSサイト静的化サービス「espar vault」を提供する株式会社フィードテイラー(本社:大阪市北区、代表取締役:大石裕一、以降当社)は、CMSの管理系アクセス全てを公開URLとは異なる別のドメインに隔離することで、サイトの攻撃対象面を限りなくゼロに近づける「隠蔽化オプション」の提供を2025年8月19日より開始することを発表いたします。
CMSが抱える構造的脆弱性と espar vault の隠蔽化オプション
CMSサイトは、サイト閲覧者とコンテンツ管理者が同一サーバにアクセスすることが前提です。そのため、悪意ある第三者がサイトを攻撃する可能性を根本的に排除することは困難でした。閲覧用・管理用の両アクセスが 攻撃対象面(攻撃される可能性のあるパス) となっている構造であり、サイト全体が攻撃対象になります。
当社の「espar vault」では、CMSを静的化(HTML化)して別の公開用サーバにホスティングすることによって、閲覧用アクセス経路の攻撃を原則無効化してきました。
この度の「隠蔽化オプション」では、管理用URLを全く別のドメインで隔離し、公開用ドメイン配下の管理系URLは原則404で応答するようにします。正規の管理者は(攻撃者が知ることのない)別ドメインのURLから管理画面にアクセスを行います。
攻撃者から見ると、公開用URLから推測できる管理系アクセスは全て404応答となります。さらに、隔離された管理用アクセス経路のURLを知ることはできません。
また本構成では、閲覧系と管理系の両アクセスを別サーバが受け持つため、CMSサーバは全アクセスに対してBasic認証やIP制限を設定することができます。その結果、攻撃者はCMSサーバに攻撃アクセスを試みることすらできなくなります。
このように espar vault の隠蔽化オプションは、CMSの攻撃対象面を限りなくゼロに近づけて安全性を大幅に高めるものです。なお、espar vault および「隠蔽化オプション」は、代表的なCMSであるWordPressだけでなく、あらゆるCMSに導入することができます。
隠蔽化オプションで攻撃対象面をゼロ化する仕組みの詳細
以下2つを組み合わせることにより、運用中の任意のCMSを理論上攻撃できないCMSに変化させます。いずれも当社が開発した独自技術により実現しています。
① 閲覧用アクセスへの攻撃無効化 : 静的化+静的ホスティング
espar vault の静的化エンジンで静的化(HTML化)したファイルを、PHP/CMS/DB等が一切存在しない公開用の静的ホスティングサーバに転送します。DNSは公開用サーバに向けて閲覧用の全アクセスを集約します。実在しないURLパスやパラメタのアクセスには「404 not found で応答する」ことで閲覧系アクセス経路の攻撃を無効化します。
② 管理用アクセスへの攻撃無効化 : ホスト置換型リバースプロキシ
お客様ご希望のドメインで、管理操作を中継する専用サーバを当社にて構築します。espar vault 導入後は、管理系の操作は管理用ドメインに対して行って頂きます。例えばCMSがWordPressである場合、管理画面のURLを、導入前の https://www.example.com/wp-admin/〜 から、全く異なるドメインである https://admin.sample.jp/wp-admin/〜 とすることができます。
管理系専用サーバは管理系のアクセスを中継するだけであり、URLが異なる以外は管理画面の操作感は一切変わりません。コンテンツ中に現れるフルパス中のドメイン表記は、www.exmaple.com か admin.sample.jp に関わらず公開ドメインの www.example.com として処理されます。このアクセス中継時の自動ホスト名変換は、当社が独自に開発した ホスト名置換型リバースプロキシ技術 により実現しています。
当然にして、管理用ドメインは関係者以外には秘密にして頂きます。有効な管理系アクセスを「別ドメインに隔離することで隠蔽」し、攻撃者の攻撃が試みられることがない状態にします。さらに、CMSサーバにBasic認証やIP制限をかけることでセキュリティを高めて頂きます。
WAFとの違い
一般的なWAF(Web Application Firewall)は、攻撃を検知して遮断するセキュリティソリューションです。これに対して espar vault の隠蔽化オプションは、攻撃対象面そのものを無くすアプローチです。
従来のWAFの特徴
- 攻撃対象面は存在したまま
- CMSサーバに届く攻撃を検知・遮断する
- 既知の攻撃パターンに基づく防御のため、定期的なルール更新が必要
- 未知の攻撃や巧妙な攻撃には対応できない場合がある
- 誤検知により正常なアクセスが遮断される場合がある
espar vault 隠蔽化オプションの特徴
- 攻撃対象面が限りなくゼロになる
- 攻撃者にとって攻撃対象が「存在しない」状態を作り出す
- 公開用サーバは静的ファイルのみであるため、そもそも攻撃が成立しない
- 秘匿された管理用ドメインで隔離されるため、そもそも管理系URLが分からず攻撃者は攻撃を試みることができない
CMSが備える標準機能について
代表的なCMSであるWordPressには、管理画面で「WordPressアドレス」「サイトアドレス」の2種類のURLを設定可能です。両者を異なるドメインに設定すれば管理系アクセスを別ドメインとして隔離できますが、以下のような理由により運用のハードルが極めて高く、一般的に使用されていません。
- 1サイト複数ドメイン割り当てができないレンタルサーバが多い
- VPC等で自前でサーバ構築する場合、Webサーバの設定・管理が複雑になる
- プラグインの実装が管理系アクセス(admin-ajax等)を要求する場合は正常に動作しない
espar vault および「隠蔽化オプション」では、この種のサーバ設定・運用に悩まされることなく、CMSのセキュリティを大幅に強化することができます。
隠蔽化オプションが活用できるサイト例
以下のような場合、隠蔽化オプションをご活用頂けます。
- 脆弱性診断でNGが出たWordPressサイトを防御したい場合
- CMS案件のFRPに静的化と高いセキュリティレベルが要件に含まれる場合
- 古いバージョンのWordPressサイトで諸事情によりアップデートができない場合
これら以外でも、CMSサイトのセキュリティを高めたい全てのケースで有効です。
「管理画面隠蔽化」オプション価格・提供条件
| 追加 初期費用 | ¥160,000(税別) (WordPerss以外のCMSでは追加費用) |
|---|---|
| 追加 月額費用 | ¥9,600(税別) (管理系アクセスの転送量は espar vault の従量価格対象として加算) |
| 提供開始 | 2025年8月19日 |
| 契約条件 | espar vault のご契約が前提 |
espar vault について
espar vaultは、WordPressをはじめとするCMSサイトの静的化による高速化・セキュリティ向上サービスです。独自開発の高速静的化エンジンでCMSサイトを静的化し、当社用意の公開サーバに静的ホスティングすることで、理論上の最高速度と最高レベルのセキュリティを同時に実現します。詳しくは espar vault のページをご覧ください。
espar vault のリーフレットについて
espar vault のリーフレットのPDFをダウンロードして頂くことができます。柔らかい色使いを得意とするイラストレーター、いとうみゆき氏による描き下ろしです。
■ 株式会社フィードテイラーについて
株式会社フィードテイラーは、CMSサイトを静的化して高速化・攻撃無効化を一挙両得できる「espar vault」、静的サイト向けのPHPレスなフォーム実装JavaScriptツール「espar form」など、静的化技術に特化したサービスでWeb制作現場の課題を解決するテクノロジーベンダーです。
■ 本リリースに関するお問い合わせ
株式会社フィードテイラー info+esparvault [at] feedtailor.jp