サポート

【重要】WordPress「4.7」「4.7.1」における緊急性の高い脆弱性およびセキュリティ対策の実施について

2017/02/07

平素はエックスサーバーをご利用いただき誠にありがとうございます。

当サービスでも多くのお客様にご利用いただいております「WordPress」において、
WordPressのバージョン「4.7」「4.7.1」に含まれるREST API(※)に
緊急性の高いセキュリティ上の問題(脆弱性)が公表されております。

※「REST API」は主に他サービス等と連携するための開発者向けの機能であり、
 一般的なWebコンテンツの表示には使用されません

当サービスにおいても、お客様にて運用中のWordPressサイトに対して、
この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスを複数確認しております。

弊社ではこれを受け、お客様のWordPressにおいて、
第三者によるコンテンツの改ざんを防ぐための措置として
REST APIに対する国外IPアドレスからのアクセスを制限いたしました。

なお、WordPressを利用されているお客様におかれましては、
ご利用のバージョンを確認していただき、当該バージョンを使用されている場合は
必ず最新バージョン(4.7.2)にアップデートを実施してくださいますようお願いいたします。

詳細につきましては下記をご参照ください。

-----------------------------------------------------------------------
■実施日
 2017年 2月 7日(火)

■対象サービス
 エックスサーバー 全プラン

■実施内容
 外部プログラム等を利用し、WordPressサイトとの連携を容易にする
 最新のバージョン4.7で追加された開発者向け機能の1つである
 「REST API」への国外IPアドレスからの接続を制限します。
 ※WordPress.com (Jetpack)からのアクセスは制限対象外です
 
 ◇制限を行うアドレス
  /wp-json

■「REST API」国外IPアドレスからのアクセス制限 解除方法
 Webサイトコンテンツの運用に影響が生じる場合、
 以下にご案内の手順で制限を解除することが可能です。
 ※通常は「有効」のまま運用されることを強く推奨します
 
 【制限解除の手順】
  サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記してください。
  -----------------------------------------------------
   SetEnvIf Request_URI ".*" AllowRestApi
  -----------------------------------------------------
  
  「.htaccess編集」機能に関する詳細は、以下のマニュアルをご参照ください。
  ◇マニュアル
   サーバーについて > .htaccess

■WordPressのREST APIによる脆弱性について
 バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、
 第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。
 
 なお、最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。
 詳細は、以下のニュース・Webサイトをご参照ください。
 
 ◇ニュース
  自動インストール対象プログラム「WordPress」における最新版(4.7.2)への対応のお知らせ (2017/02/06 掲載)
 
 ◇IPA (情報処理推進機構)
  「WordPress の脆弱性対策について」
  https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)
-----------------------------------------------------------------------

弊社では、今後もお客様により満足していただけるよう、サービス強化に注力して参ります。
今後ともどうぞよろしくお願い申し上げます。