ニュース - ヘテムル

バックアップオプションの決済方法に「クレジットカード」、「銀行振込」が追加されました。さらに、契約期間を従来の1ヶ月に加えて「1年」を選択できます。

クイック認証SSLでの2way対応が2017年5月中旬より開始予定となっています。

2wayとは？

設定対象ドメイン www.example.com（www あり） で証明書を購入すると、example.com（www なし）のURLでもSSLを利用できます。

2way利用方法

対応開始後、2wayへ切り替えする場合、設定対象ドメインの新規申込みをwww ありで行います。

新規申し込みのアカウントについて『PHP7.1(モジュール版)』『PHP7.1(CGI版)』、既存のアカウント について『PHP7.1(CGI版)』の提供が開始されました。

利用方法

users004 以降の場合

「PHP7.1(モジュール版)」を初期設定で利用できます。他のバージョンを利用する場合、コントロールパネルのPHP設定で変更できます。

users001 ~ users003 の場合

コントロールパネルのPHP設定で「PHP7.1(CGI版)」 を選択します。

ftpXXXの場合

PHPバージョンの初期設定は『PHP5.4』です。

下記を記述した『 .htaccess 』ファイルを、『PHP7.1(CGI版)』で動作させたいフォルダに配置します。

AddHandler php7.1-script .php

ヘテムルにおいて、PHP7.0でのionCube Loaderの利用が可能となりました。

• ionCube はPHPファイルを暗号化し、第三者への漏えいを防ぐ セキュリティソフトです。
• ionCube Loader は、暗号化されたPHPファイルを読み込むために 必要なものとなります。

なお、PHP7.0 で ionCube Loaderを利用するには、ユーザーのWebサーバー番号によって、設定が必要となります。サーバー番号は、コントロールパネルにログイン後、画面右上で確認できます。

ftpXXXの場合

コントロールパネルのphp.ini設定のPHP7.0 タブで「php.iniを設定する」ボタンを押してください。

usersXXXの場合

PHP7.0(CGI版)の場合、コントロールパネルのPHP設定でPHP7.0(CGI版)をサイト別にphp.iniの設定画面で「設定する」ボタンを押します。

PHP7.0(モジュール版)の場合、php.ini設定は不要です。

WordPressのバージョン「4.7」および「4.7.1」におけるコンテンツの改ざんが行える脆弱性に対し、ヘテムルでもセキュリティー対策が実施されました。

対応内容

不正アクセスの可能性があるIPアドレスからのアクセス拒否設定
同脆弱性を狙った不正なアクセスを行うアクセス元IPアドレスから、ヘテムルのwebサーバーへのアクセスを拒否
新たなIPアドレスからの不正アクセスを確認した場合、随時拒否設定を実行。

WAF設定の強化

同脆弱性への攻撃を検知・遮断するよう、WAFのシステムを調整

ユーザーへのお願い

WAF設定が無効になっているドメインは、有効にしてください。

最新版へのアップグレードが終わっていない場合は、ダッシュボードから対策済みバージョンの「4.7.2」へ更新してください。

同脆弱性の詳細については、以下のサイトをご覧ください。

WordPress の脆弱性に関する注意喚起（JPCERT/CC）
https://www.jpcert.or.jp/at/2017/at170006.html

WordPress の脆弱性対策について（IPA/情報処理推進機構）
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

WordPressのバージョン4.7および4.7.1でコンテンツの改ざんが行える脆弱性が報告されています。 1月26日に同脆弱性に対応した4.7.2がリリースされています。 最新版へのアップグレードを終えていない場合は、WordPressのダッシュボードにて早急に対応しましょう。

脆弱性の影響

第三者にコンテンツの改ざんを行われる

対応方法

WordPressバージョン4.7.2 へのアップグレード

参考サイト

WordPress 4.7.2 セキュリティリリース
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

SUCURI Blog（セキュリティ関連企業による脆弱性報告/英語）
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

脆弱性によるサイトの改ざんを防ぐため、CMSツールやプラグインを常に最新バージョンとするようにしましょう。

簡単インストール機能のWordPressが最新の「4.7.2」にアップデートされました。

WordPress 4.7.2 では、過去のバージョンすべてに対するセキュリティリリースとなっております。 古いWordPressを利用している場合、アップデート対応が推奨されます。

プログラム言語「python」にバージョン3.6が追加されました。

usersXXX

python3.6

ftpXXX

python2.7 / python3.5 / python3.6

簡単インストール機能で提供されるWordPressがWordPress 4.7.1にアップデートされました。

WordPress 4.7.1は、過去のバージョンすべてに対するセキュリティリリースとなっています。最新バージョンより低いWordPressを利用している場合、アップデートが推奨されます。新バージョンの詳細については、公式サイトを参考にしてください。

• 日本語 « WordPress 4.7.1 セキュリティ・メンテナンスリリース

WordPressなどのCMSでメール送信プログラムに利用される「PHPMailer」において、悪意のあるプログラムをサーバーに設置可能となる脆弱性（CVE-2016-10033 ）が確認されました。該当するソフトウェア、プラグイン、プログラムを利用している場合、対策が必要となります。

脆弱性の影響を受ける可能性のあるもの

1. 下記のようなソフトウェア

• WordPress / Drupal / 1CRM / SugarCRM / Yii / Joomla!

2. 上記のようなソフトウェア向けに提供されているメール送信系のプラグイン
3. その他「PHPMailer」を使用したプログラム

対策

CMS/プラグイン/プログラムのバージョンアップ

各CMSやプラグイン、プログラムの提供元より、脆弱性に対応した最新バージョンが公開される可能性が高いため、公開され次第バージョンアップを行います。

メール送信プラグイン/プログラムの停止

各CMSやプラグイン、プログラムの最新バージョンが公開されるまでの間は、一時的にメール送信を行うプラグインやプログラムの利用停止を検討します。

WAFの有効化

コントロールパネルメニュー「WAF設定」でWAFの設定状況を確認し、無効の場合は有効化してください。

利用していないプラグインやCMS自体の削除

各種CMSを設置していて、利用していないプラグインがある場合は削除します。また、CMS自体を利用していない場合はサーバーから削除します。

なお、ヘテムルで提供される「WordPress簡単インストール機能」は、近日中に脆弱性へ対応したバージョンに修正されます。