ニュース - XSERVER BUSINESS

エックスサーバーにおいて、WordPressの「REST API」に対する国外IPアドレスからのアクセス可否を変更できる 「REST APIアクセス制限」機能が追加されました。

2017年2月7日、WordPressのセキュリティ対策として、WordPressの「REST API」に対する国外IPアドレスからのアクセスが制限されました。 「REST APIアクセス制限」機能により、この制限を解除することが可能です。

通常は制限を「有効(ON)」のまま運用することが強く推奨されますが、Webサイトコンテンツの表示などに影響が生じる場合に限り、制限の解除を検討する必要があります。

WordPressの「REST API」

主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

提供開始日

2017年2月28日(火)

対象サービス

エックスサーバー 全プラン

「REST API アクセス制限」機能について

WordPressの「REST API」に対する国外IPアドレスからのアクセス可否を切り替えることができます。初期状態で「有効(ON)」に設定されており、国外IPアドレスからのアクセスが制限されています。

通常は「有効(ON)」のまま運用されることを強く推奨します。

注意

国内IPアドレスからのアクセスであっても、システム上ごくまれに国外IPアドレスからの接続と誤認され、「REST API」の利用に制限が生じる場合があります。この場合には、制限の解除が必要となります。

エックスサーバーにおいて、推奨するPHPバージョンが「7.0」に変更されました。

継続してPHP 5.6も利用できますが、今後はPHP 7.0が推奨されます。 また、新規に追加設定されるドメインにおいて、 初期PHPのバージョンが「7.0」に変更されます。

変更日

2017年2月13日(月)

対象サーバー

エックスサーバー全サーバー

対応内容

推奨するPHPバージョンを PHP 7.0 に変更

アカウント発行時およびドメインの追加設定時の初期PHPバージョンを PHP 7.0 に変更

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

REST APIは主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

エックスサーバーにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

エックスサーバーでは第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用されている場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

エックスサーバー 全プラン

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に影響が生じる場合、制限を解除することが可能です。通常は「有効」のまま運用されることを強く推奨されます。

サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

ニュース

自動インストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

自動インストール機能の「WordPress」が最新版「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

旧バージョンにおけるセキュリティ脆弱性への対策が行われています。

WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1の場合

自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合

WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。

アクセス解析ツール「Awstats」のインストール機能の提供が2017年1月18日(水)に終了します。

提供終了日時

2017年1月18日(水)

対象機能

アクセス解析ツール「Awstats」の新規インストール機能

※既にインストール済みの「Awstats」は、引き続きご利用可能です。

アクセス解析（X Analyzer）がリニューアルされました。

画面全体のデザインが一新され、アクセス解析結果がよりわかりやすくなっています。

また、このリニューアルに合わせ、「アクセス解析（X Analyzer）」機能の名称が「アクセス解析」に変更され、サーバーパネル内の「アクセス統計」メニューの名称も「アクセス解析」となっています。

リニューアル実施日

2017年1月11日(水)

利用方法

サーバーパネルの「アクセス解析」メニューから利用できます。

アクセス解析をすでに設定している場合、改めて設定する必要はありません

機能名称の変更について

「アクセス解析（X Analyzer）」機能の名称が「アクセス解析」機能に変更されました。

サーバーパネル内の「アクセス統計」メニューの名称が「アクセス解析」に変更されました。

旧デザインのアクセス解析（X Analyzer）について

2017年3月8日(水)まで、旧デザインに切り替えての利用も可能です。

2016年12月25日、PHPMailerにてセキュリティ上の問題(脆弱性)が確認されました。 PHPMailerは、PHPプログラムにてメール送信機能を付加するライブラリであり、WordPressやDrupal、Joomla!などのCMSやプラグインにも実装されています。

WordPress 対策方法

最新版にアップデートをしてください。 管理ページ（ダッシュボード）にて手動でのアップデートが可能です。

最新版である4.7にアップデートをすることにより、本件の脆弱性への対応版が提供され次第、自動的にアップデートが適用されます。

その他のプログラム

ご利用のサーバープログラムにおける脆弱性の対象有無に関し、提供元にご確認ください。

本脆弱性の詳細

PHPを利用したサーバープログラム上で任意のコードが実行され、サーバー内に存在するファイルの改ざんや悪意のあるプログラムの設置が可能になる。

詳細について(外部サイト)

JVN#99931177　PHPMailerに OS コマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU99931177/

原文のまま掲載します。

新潟県糸魚川市における大規模火災により、被災された皆様に心よりお見舞い申し上げます。

当サービスでは、このたびの平成28年新潟県糸魚川市における大規模火災に係る災害救助法が適用された地域のお客様を対象に、特別措置を実施することといたしました。

詳細は以下をご参照ください。

---

■対象サービス

・レンタルサーバー 全プラン

・独自ドメイン

■対象のお客様

2016年12月22日以前のお申し込みで、ご登録住所が平成28年新潟県糸魚川市における大規模火災に係る災害救助法が適用された以下地域のお客様。

【新潟県】

糸魚川市

■特別措置の概要

【サーバーアカウント】

2016年12月末、もしくは2017年1月末が利用期限のサーバーアカウントについて、弊社にて2017年2月末への無償延長をいたします。

【独自ドメイン】

2016年12月22日～2017年1月末日が利用期限のドメインについて、弊社にて1年間の無償延長をいたします。

---

本件に関する詳細については、大変お手数ではございますが、カスタマーサポートまでお問い合わせください。

弊社社員一同、一日も早い復旧を心よりお祈り申し上げます。

自動インストール機能で新規にインストールされる「WordPress」が最新版の「WordPress 4.7 日本語版」に対応しました。

WordPress 4.7について

「WordPress 4.7」の詳細につきましては、WordPressの公式サイトを参考にしてください。

旧バージョンからのアップデートについて

WordPressの管理ページ（ダッシュボード）にて手動でのアップデートが可能です。

新規申し込み時の割り当てサーバーの搭載メモリが増強されます。

提供開始日時

2016年11月29日(火) 13時

対象サーバー

sv2116.xserver.jp 以降のサーバー（全プラン対象）

増強内容

搭載メモリの増強（96GB → 192GB）

sv2115.xserver.jp 以前のサーバーの増強について

2017年より順次、同様に搭載メモリを増強する予定です。