2017/02/07
【重要】WordPress「4.7」「4.7.1」における緊急性の高い脆弱性およびセキュリティ対策の実施について
平素はネットオウルをご利用いただき、ありがとうございます。
当サービスでも多くのお客様にご利用いただいております「WordPress」において、
WordPressのバージョン「4.7」「4.7.1」に含まれるREST API(※)に
緊急性の高いセキュリティ上の問題(脆弱性)が公表されております。
※「REST API」は主に他サービス等と連携するための開発者向けの機能であり、
一般的なWebコンテンツの表示には使用されません
当サービスにおいても、お客様にて運用中のWordPressサイトに対して、
この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスを複数確認しております。
弊社ではこれを受け、お客様のWordPressにおいて、
第三者によるコンテンツの改ざんを防ぐための措置として
REST APIに対する国外IPアドレスからのアクセスを制限いたしました。
なお、WordPressを利用されているお客様におかれましては、
ご利用のバージョンを確認していただき、当該バージョンを使用されている場合は
必ず最新バージョン(4.7.2)にアップデートを実施してくださいますようお願いいたします。
詳細につきましては下記をご参照ください。
----------------------------------------------------------------------
【対応日】
2017年 2月 7日
【対象サービス】
ミニバード、ファイアバード、クローバー、スターサーバープラス、
ウェブクロウ(PHPオプション)、ウェブクロウプラス、WPblog
【セキュリティ対策の強化内容】
外部プログラム等を利用し、WordPressサイトとの連携を容易にする
「REST API」への国外IPアドレスからの接続を制限します。
※WordPress.com (Jetpack)からのアクセスは制限対象外です
◇制限を行うアドレス
/wp-json
【「REST API」国外IPアドレスからのアクセス制限 解除方法】
Webサイトコンテンツの運用に影響が生じる場合、
以下にご案内の手順で制限を解除することが可能です。
※通常は「有効」のまま運用されることを強く推奨します
※『WPblog』では、制限を解除することができません。
今後、「WPblog管理画面」から制限を解除する機能を提供する予定です。
なにとぞご了承ください。
◆制限解除の手順
対象ドメイン名のフォルダ直下に設置する「.htaccess」ファイルに
以下の内容を追記してください。
-------------------------------------------
SetEnvIf Request_URI ".*" AllowRestApi
-------------------------------------------
以上の記述は、「ファイルマネージャ」のファイル編集機能でも可能です。
詳細は、以下のマニュアルをご参照ください。
◇マニュアル
・ミニバード:ファイルマネージャー
・ファイアバード:ファイルマネージャー
・クローバー:ファイルマネージャー
・スターサーバープラス:ファイルマネージャー
・ウェブクロウ(PHPオプション)、ウェブクロウプラス:ファイルマネージャー
【WordPressのREST APIによる脆弱性について】
バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、
第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。
なお、最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。
詳細は、以下のニュース・Webサイトをご参照ください。
◇ニュース
『ネットオウル』各サーバーサービスの「簡単インストール機能」におけるWordPress最新版(WordPress 4.7.2)への対応のお知らせ (2017/02/07 掲載)
『WPblog』WordPress最新版(WordPress 4.7.2)への対応のお知らせ (2017/02/06 掲載)
◇IPA (情報処理推進機構)
「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)
【関連サービス】
・WPblog 公式サイト
・ミニバード 公式サイト
・ファイアバード 公式サイト
・クローバー 公式サイト
・スタードメイン 公式サイト
・ウェブクロウ 公式サイト
----------------------------------------------------------------------