WordPressをヘッドレスCMSとして構築して、バックエンドとフロントエンドを分離するケースを考えてみます。そもそもWordPressには標準でREST APIが付いているので、CMSの構築自体にそこまでの手間はかかりません。
さて、分離するメリットはいくつかありますが、その一つにセキュリティリスクの軽減が挙げられます。WordPressは、広く使われているだけあって(プラグインも含む)脆弱性報告が多く、改ざん被害も過去多数報告されています。
<iframe id="zenn-embedded__83a33e666755e" src="https://embed.zenn.studio/card#zenn-embedded__83a33e666755e" data-content="https%3A%2F%2Fsaas.gmocloud.com%2Fservice%2Fwebsecurity%2Fthreat%2FcyberStory.html" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://saas.gmocloud.com/service/websecurity/threat/cyberStory.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://saas.gmocloud.com/service/websecurity/threat/cyberStory.html</a>
そこで、バックエンドを全て隠蔽してしまい、攻撃者がそもそもWordPressにたどり着けないようにすれば、攻撃自体を未然に防ぐことができます。
<h1 id="%E3%83%90%E3%83%83%E3%82%AF%E3%82%A8%E3%83%B3%E3%83%89%E3%81%AE%E9%9A%A0%E8%94%BD">
<a class="header-anchor-link" href="#%E3%83%90%E3%83%83%E3%82%AF%E3%82%A8%E3%83%B3%E3%83%89%E3%81%AE%E9%9A%A0%E8%94%BD" aria-hidden="true"></a> バックエンドの隠蔽</h1>
フロントからAjaxで直接バックエンドに接続してしまえば、WordPressの場所はバレてしまうため、隠蔽するには以下のように工夫する必要があります。
<ul>
<li>静的サイトジェネレータを使う</li>
<li>サーバサイドでJSONを取得する</li>
<li>WP REST APIから情報を取得して返すAPIを作る(Proxyのようなもの)</li>
</ul>
しかし、どういった手法を取っても1つ別の問題が残ってしまいます。それは、画像などのメディアファイルが、バックエンドのドメインがついたURLで渡されてしまうことです。これではWordPressのインストールされているホストがバレバレです。
<img src="https://storage.googleapis.com/zenn-user-upload/6ad300e808cbc451528d6c62.png" alt width="400" loading="lazy" class="md-img">
こんな感じ。 
<code>https://backend.example.com/wp/wp-content/uploads/2021/07/30/image.png</code>
ちなみに、Next.jsのnext/imageを使っても、特殊なloaderを作らないとURLに含まれるかたちになるかと思います。
<h1 id="%E3%83%A1%E3%83%87%E3%82%A3%E3%82%A2%E3%81%AEurl">
<a class="header-anchor-link" href="#%E3%83%A1%E3%83%87%E3%82%A3%E3%82%A2%E3%81%AEurl" aria-hidden="true"></a> メディアのURL</h1>
上記の問題の解決策として思い浮かぶものを、いくつか挙げます。
<ul>
<li>フロントにメディアを全て同期する</li>
<li>フロントでメディアを取得・キャッシュする</li>
<li>メディアを別ホストで配信する</li>
</ul>
上2つは、なんと言うか楽してWordPressにしてるのにこんなことするのは面倒くさい、という感じですね。システムが確立してしまえば、完全な切り離しができるので安泰ですが。
ということで、3つめのメディアを別ホストで配信する方法を2つ考えてみます。
<h2 id="1.-amazon-s3%E3%81%AE%E9%9D%99%E7%9A%84%E3%83%9B%E3%82%B9%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%82%92%E4%BD%BF%E3%81%86">
<a class="header-anchor-link" href="#1.-amazon-s3%E3%81%AE%E9%9D%99%E7%9A%84%E3%83%9B%E3%82%B9%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%82%92%E4%BD%BF%E3%81%86" aria-hidden="true"></a> 1. Amazon S3の静的ホスティングを使う</h2>
<img src="https://storage.googleapis.com/zenn-user-upload/e0aaecf915a4dae9d2348a4b.png" alt width="400" loading="lazy" class="md-img">
簡単にできるプラグインが存在します。S3のバケットを用意して、プラグインの設置と設定を行えば、メディアの保存先も配信されるURLもS3に書き換わります。
<iframe id="zenn-embedded__446c3d18ccd53" src="https://embed.zenn.studio/card#zenn-embedded__446c3d18ccd53" data-content="https%3A%2F%2Fhacknote.jp%2Farchives%2F43897%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://hacknote.jp/archives/43897/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://hacknote.jp/archives/43897/</a>
帯域の負荷も減らすことができるので、重たいファイルを多数扱う場合はおすすめです。
<h2 id="2.-%E3%83%A1%E3%83%87%E3%82%A3%E3%82%A2%E9%85%8D%E4%BF%A1%E7%94%A8%E3%81%AE%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3(%E3%82%B5%E3%83%96%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3)%E3%82%92%E7%94%A8%E6%84%8F%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#2.-%E3%83%A1%E3%83%87%E3%82%A3%E3%82%A2%E9%85%8D%E4%BF%A1%E7%94%A8%E3%81%AE%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3(%E3%82%B5%E3%83%96%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3)%E3%82%92%E7%94%A8%E6%84%8F%E3%81%99%E3%82%8B" aria-hidden="true"></a> 2. メディア配信用のドメイン(サブドメイン)を用意する</h2>
<img src="https://storage.googleapis.com/zenn-user-upload/bc183895d1ed4ebaa8e3f87d.png" alt width="400" loading="lazy" class="md-img">
<code>https://backend.example.com/wp/wp-content/uploads/2021/07/30/image.png</code> 
となっているURLを、 
<code>https://files.example.com/2021/07/30/image.png</code> 
に変更することを目的とします。
詳しくみていきましょう。
<h3 id="2-1.-%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%AE%E7%94%A8%E6%84%8F">
<a class="header-anchor-link" href="#2-1.-%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%AE%E7%94%A8%E6%84%8F" aria-hidden="true"></a> 2-1. ドメインの用意</h3>
以下で考えてみます。 
| | ドメイン | 
|--|--|--| 
| バックエンドサーバ | backend.example.com | 
| メディア配信サーバ | files.example.com | 
| フロントエンドサーバ | example.com |
バックエンド、フロントエンドはドメインのAレコードが登録されており、閲覧できる状態にあるとします。この時、メディア配信用のドメインも、バックエンドのIPアドレスに向けることで、メディアファイルを参照する仕組みを作ることができます。
<h3 id="2-2.-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E3%83%AB%E3%83%BC%E3%83%88%E3%81%AE%E8%A8%AD%E5%AE%9A(apache%E6%83%B3%E5%AE%9A)">
<a class="header-anchor-link" href="#2-2.-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E3%83%AB%E3%83%BC%E3%83%88%E3%81%AE%E8%A8%AD%E5%AE%9A(apache%E6%83%B3%E5%AE%9A)" aria-hidden="true"></a> 2-2. ドキュメントルートの設定(Apache想定)</h3>
サーバ側では、<code>files.example.com</code>を受け入れるためのVirtualHostの設定、DocumentRootの設定をします。
<div class="code-block-container">
<div class="code-block-filename-container">httpd.conf</div>
<pre class="language-apache"><code class="language-apache">&lt;VirtualHost *:80&gt;
 ServerName files.example.com
 DocumentRoot /path/to/wp/wp-content/uploads
&lt;/VirtualHost&gt;
</code></pre>
</div>あとはApacheを再起動すれば、無事アップロードされたメディアをfiles.example.comで参照できるようになります。
<h3 id="2-3.-wordpress%E3%81%A7%E6%89%B1%E3%81%86%E3%83%A1%E3%83%87%E3%82%A3%E3%82%A2%E3%81%AEurl%E3%82%92%E5%A4%89%E6%9B%B4%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#2-3.-wordpress%E3%81%A7%E6%89%B1%E3%81%86%E3%83%A1%E3%83%87%E3%82%A3%E3%82%A2%E3%81%AEurl%E3%82%92%E5%A4%89%E6%9B%B4%E3%81%99%E3%82%8B" aria-hidden="true"></a> 2-3. WordPressで扱うメディアのURLを変更する</h3>
このままでは、Wordpressの管理するメディアのURLはデフォルトのままです。変更するために、以下のようなフックを追加すれば完了です。
<div class="code-block-container">
<div class="code-block-filename-container">functions.php</div>
<pre class="language-php"><code class="language-php">add_filter("wp_get_attachment_url", function($url, $post_id){
 $path = preg_replace("@^http.+uploads/(.+?)$@", '$1', $url);
 return "https://files.example.com/{$path}";
}, 10, 2);
</code></pre>
</div><hr>
2つめの方法では、バックエンドとフロントエンドは分離しましたが、バックエンドと同じサーバ内でメディアを配信しています。もっとセキュリティを高めたい場合や負荷対策が必要な場合は、前述した方法でS3を利用する、ファイルを同期させるなど、他にも検討の余地はありそうです。ブロックストレージやDockerのボリュームを使っても、切り離すことはできそうですね。
他のCMSにはあまり詳しく無いですが、同じような仕組みで動いているものは、同じような方法でヘッドレスに対応できそうです。参考になれば幸いです。

WordPressをヘッドレス化する時に気になるセキュリティ問題

1. Amazon S3の静的ホスティングを使う

2-2. ドキュメントルートの設定(Apache想定)

2-3. WordPressで扱うメディアのURLを変更する

2. メディア配信用のドメイン(サブドメイン)を用意する

Discussion