ホーム
平素はエックスドメインをご利用いただき誠にありがとうございます。
当サービスでも多くのお客様にご利用いただいております「WordPress」において、
WordPressのバージョン「4.7」「4.7.1」に含まれるREST API(※)に
緊急性の高いセキュリティ上の問題(脆弱性)が公表されております。
※「REST API」は主に他サービス等と連携するための開発者向けの機能であり、
一般的なWebコンテンツの表示には使用されません
当サービスにおいても、お客様にて運用中のWordPressサイトに対して、
この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスを複数確認しております。
弊社ではこれを受け、お客様のWordPressにおいて、
第三者によるコンテンツの改ざんを防ぐための措置として
REST APIに対する国外IPアドレスからのアクセスを制限いたしました。
なお、WordPressを利用されているお客様におかれましては、
ご利用のバージョンを確認していただき、当該バージョンを使用されている場合は
必ず最新バージョン(4.7.2)にアップデートを実施してくださいますようお願いいたします。
詳細につきましては下記をご参照ください。
-----------------------------------------------------------------------
■実施日
2017年 2月 7日(火)
■対象サービス
・エックスドメイン 『WordPress機能』
・エックスドメイン 『PHP・MySQLサーバー機能』
■実施内容
外部プログラム等を利用し、WordPressサイトとの連携を容易にする
最新のバージョン4.7で追加された開発者向け機能の1つである
「REST API」への国外IPアドレスからの接続を制限します。
※WordPress.com (Jetpack)からのアクセスは制限対象外です
◇制限を行うアドレス
/wp-json
■「REST API」国外IPアドレスからのアクセス制限 解除方法
Webサイトコンテンツの運用に影響が生じる場合、
以下にご案内の手順で制限を解除することが可能です。
※通常は「有効」のまま運用されることを強く推奨します
【制限解除の手順】
ご利用の機能により、手順が異なります。
▽『WordPress機能』の場合
WordPress管理パネル内「設定」>「.htaccess編集」にて、
最終行に以下の内容を追記してください。
-------------------------------------------
SetEnvIf Request_URI ".*" AllowRestApi
-------------------------------------------
「.htaccess編集」機能に関する詳細は、以下のマニュアルをご参照ください。
◇マニュアル
WordPress機能 > 各種設定について > .htaccessの編集
▽『PHP・MySQLサーバー機能』の場合
対象ドメイン名のフォルダ直下に設置する「.htaccess」ファイルに
以下の内容を追記してください。
-------------------------------------------
SetEnvIf Request_URI ".*" AllowRestApi
-------------------------------------------
以上の記述は、「ファイルマネージャ」のファイル編集機能でも可能です。
詳細は、以下のマニュアルをご参照ください。
◇マニュアル
HTML/PHP・MySQLサーバー機能 > .htaccessについて
各管理パネルについて > サーバー管理パネル > ファイルマネージャー
■WordPressのREST APIによる脆弱性について
バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、
第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。
なお、最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。
詳細は、以下のニュース・Webサイトをご参照ください。
◇ニュース
『PHP・MySQLサーバー機能』の自動インストール機能における WordPress最新版「WordPress 4.7.2」への対応のお知らせ
(2017/02/07 掲載)
『WordPress機能』における WordPress最新版「WordPress 4.7.2」への対応のお知らせ (2017/02/06 掲載)
◇IPA (情報処理推進機構)
「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)
-----------------------------------------------------------------------
弊社では、今後もお客様により満足していただけるよう、サービス強化に注力して参ります。
今後ともどうぞよろしくお願い申し上げます。
当サービスでも多くのお客様にご利用いただいております「WordPress」において、
WordPressのバージョン「4.7」「4.7.1」に含まれるREST API(※)に
緊急性の高いセキュリティ上の問題(脆弱性)が公表されております。
※「REST API」は主に他サービス等と連携するための開発者向けの機能であり、
一般的なWebコンテンツの表示には使用されません
当サービスにおいても、お客様にて運用中のWordPressサイトに対して、
この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスを複数確認しております。
弊社ではこれを受け、お客様のWordPressにおいて、
第三者によるコンテンツの改ざんを防ぐための措置として
REST APIに対する国外IPアドレスからのアクセスを制限いたしました。
なお、WordPressを利用されているお客様におかれましては、
ご利用のバージョンを確認していただき、当該バージョンを使用されている場合は
必ず最新バージョン(4.7.2)にアップデートを実施してくださいますようお願いいたします。
詳細につきましては下記をご参照ください。
-----------------------------------------------------------------------
■実施日
2017年 2月 7日(火)
■対象サービス
・エックスドメイン 『WordPress機能』
・エックスドメイン 『PHP・MySQLサーバー機能』
■実施内容
外部プログラム等を利用し、WordPressサイトとの連携を容易にする
最新のバージョン4.7で追加された開発者向け機能の1つである
「REST API」への国外IPアドレスからの接続を制限します。
※WordPress.com (Jetpack)からのアクセスは制限対象外です
◇制限を行うアドレス
/wp-json
■「REST API」国外IPアドレスからのアクセス制限 解除方法
Webサイトコンテンツの運用に影響が生じる場合、
以下にご案内の手順で制限を解除することが可能です。
※通常は「有効」のまま運用されることを強く推奨します
【制限解除の手順】
ご利用の機能により、手順が異なります。
▽『WordPress機能』の場合
WordPress管理パネル内「設定」>「.htaccess編集」にて、
最終行に以下の内容を追記してください。
-------------------------------------------
SetEnvIf Request_URI ".*" AllowRestApi
-------------------------------------------
「.htaccess編集」機能に関する詳細は、以下のマニュアルをご参照ください。
◇マニュアル
WordPress機能 > 各種設定について > .htaccessの編集
▽『PHP・MySQLサーバー機能』の場合
対象ドメイン名のフォルダ直下に設置する「.htaccess」ファイルに
以下の内容を追記してください。
-------------------------------------------
SetEnvIf Request_URI ".*" AllowRestApi
-------------------------------------------
以上の記述は、「ファイルマネージャ」のファイル編集機能でも可能です。
詳細は、以下のマニュアルをご参照ください。
◇マニュアル
HTML/PHP・MySQLサーバー機能 > .htaccessについて
各管理パネルについて > サーバー管理パネル > ファイルマネージャー
■WordPressのREST APIによる脆弱性について
バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、
第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。
なお、最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。
詳細は、以下のニュース・Webサイトをご参照ください。
◇ニュース
『PHP・MySQLサーバー機能』の自動インストール機能における WordPress最新版「WordPress 4.7.2」への対応のお知らせ
(2017/02/07 掲載)
『WordPress機能』における WordPress最新版「WordPress 4.7.2」への対応のお知らせ (2017/02/06 掲載)
◇IPA (情報処理推進機構)
「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)
-----------------------------------------------------------------------
弊社では、今後もお客様により満足していただけるよう、サービス強化に注力して参ります。
今後ともどうぞよろしくお願い申し上げます。
