株式会社フィードテイラーは8月19日、同社が提供するCMSサイト静的化サービス「espar vault」にCMSの管理系アクセス全てを公開URLとは異なる別のドメインに隔離する「隠蔽化オプション」を提供すると発表した。
サイト閲覧者とコンテンツ管理者が同一サーバにアクセスすることが前提のCMSサイトは、閲覧用・管理用の両アクセスが攻撃対象面(攻撃される可能性のあるパス) となっている構造のため、悪意ある第三者からの攻撃の可能性を根本的に排除することは困難であった。
同社が提供する「espar vault」では、CMSを静的化(HTML化)して別の公開用サーバにホスティングすることで、閲覧用アクセス経路の攻撃を原則無効化してきた。
同社が新たに提供する「隠蔽化オプション」では、管理用URLを全く別のドメインで隔離し、公開用ドメイン配下の管理系URLは原則404で応答するようにしており、正規の管理者は(攻撃者が知ることのない)別ドメインのURLから管理画面にアクセスを行う。攻撃者から見ると、公開用URLから推測できる管理系アクセスは全て404応答となり、隔離された管理用アクセス経路のURLを知ることはできない。
また本構成では、閲覧系と管理系の両アクセスを別サーバが受け持つため、CMSサーバは全アクセスに対しBasic認証やIP制限を設定することができ、その結果、攻撃者はCMSサーバに攻撃アクセスを試みることすらできなくなる。
「espar vault」および「隠蔽化オプション」は、代表的なCMSであるWordPress以外にもあらゆるCMSに導入可能で、「隠蔽化オプション」の追加 初期費用は160,000円(税別)から、追加 月額費用は9,600円(税別)からの提供となる。
