ニュース - さくらインターネット

「さくらのレンタルサーバ」でWordPressを運用している方向けに、常時SSL化プラグインの提供が開始されました。 人気のWordPressで構築されたサイトを簡単にSSL化できるプラグインにより、セキュリティレベルの高いサイト構築が可能となります。

概要

クイックインストールでセットアップされたWordPressのプラグイン一覧から、「SAKURA RSWP SSL」を有効化して設定します。事前にSSL証明書の購入が必要です。

すでにWordPressを運用している場合は、プラグインサイトからダウンロードできます。

対応開始日

2017年4月26日（水）

2017年4月20日から、「さくらのレンタルサーバ」ライトプランにおいて、共有SSL・独 自SSL（SNI SSL）が利用が可能となりました。

これで「さくらのレンタルサーバ」のホスティング全プランにおいてSSL対応となりました。

概要

「さくらのレンタルサーバ」のコントロールパネルより、SSLの設定が可能です。共有SSLと独自ドメインSSL（SNI SSL）を利用できます。証明書の持ち込みも可能ですが、コントロールパネルよりラピッドSSLを申し込むと、簡単にサイトをSSL化できます。

対応開始日

2017年4月20日（木）

2017年2月8日に発生したブログ／CMSプラットフォームのWordPressの深刻な脆弱性に伴い、Webサイトのセキュリティの重要性がより高まっています。

さくらインターネットでは、さくらのレンタルサーバ／さくらのVPS／ さくらの専用サーバ／さくらのクラウドについて、WAF（ウェブアプリケーションファイ アウォール）を無料で設定できます。

WAFを設定することで、WordPressの多くの脆弱性への攻撃をブロックすることができます。WordPress4.7.0、4.7.1のコンテンツの第三者による書き換えも防御可能です。しかし、全ての脆弱性に対する攻撃を防止できるものではないため、WAF設定と併せてWordPressのバージョンを最新に保つ必要があります。

WAF（ウェブアプリケーションファイアウォール）について

WAFは、従来のファイアウォールやIDS、IPSでは防御できなかった攻撃を検知し、ブロックする機能です。さくらのレンタルサーバ／さくらのVPS／さくらの専用サーバ／さくらのクラウドで無料で設定できます。

ブログ／CMS プラットフォームのWordPressに深刻な脆弱性が報告され、すでにウェブサイトの改ざん被害が相次いでいます。 WordPressを利用しているユーザーは、ウェブサイトの正常性の確認と併せて、対策済みバージョンへの早急なアップデートが強く推奨されます。

WordPressの脆弱性について

本件に関する注意喚起情報

情報処理推進機構「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

JPCERT/CC「WordPress の脆弱性に関する注意喚起」
https://www.jpcert.or.jp/at/2017/at170006.html

内閣サイバーセキュリティーセンター「WordPressの脆弱性に関する注意喚起」
http://www.nisc.go.jp/security-site/security/20170206.html

WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

対策

対策済みのバージョン「WordPress 4.7.2」へのアップデートで回避できます。

WordPressを利用したウェブサイトのテスト環境や、過去のバックアップがインターネット上に公開されていないか確認し、上記同様にアップデートを実施します。

今回の脆弱性以外でも、脆弱性のあるプラグインを悪用される被害や、簡易なパスワード設定を悪用される被害事例が相次いでいます。併せて対策を検討しましょう。

昨年12月、「さくらのレンタルサーバ」および「さくらのマネージドサーバ」「さくらのメールボックス」において、「ファイルマネージャー」「ウェブメール」機能の旧バージョンが2017年2月28日に提供終了するアナウンスがありました。

「ファイルマネージャー」「ウェブメール」機能の旧バージョン提供終了のお知らせ（2016年12月1日公開）

https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1371

その中で「ウェブメール」機能については、スクリーンリーダー（音声読み上げソフト）などを利用するユーザーの利便性を優先し、提供が継続されることになりました。

「ファイルマネージャー」機能の旧バージョンについては、予定どおり2017年2月28日をもって提供が終了します。

提供継続サービスについて

さくらのレンタルサーバ、さくらのマネージドサーバ、さくらのメールボックス「ウェブメール」の旧バージョン

2017年2月28日（火）以降も、引き続き利用できます。

提供終了サービスについて

さくらのレンタルサーバ、さくらのマネージドサーバ「ファイルマネージャー」の旧バージョン

提供終了日 2017年2月28日（火）

2016年12月25日に、PHPMailerにおけるリモートコード実行の脆弱性（CVE識別番号：CVE-2016-10033）が報告されました。 PHPMailerはPHPのライブラリで、WordPressやDrupalなどのCMS、各種プラグインで利用されています。

PHPMailerにおける脆弱性について

対象アプリケーション

WordPress、DrupalなどのPHPアプリケーションや各種プラグイン

想定される影響

PHPアプリケーション上で任意のコードが実行され、サイトの乗っ取りや悪意のあるプログラムを設置される可能性があります。

WordPress 対策方法

2016年12月28日14時現在、脆弱性対応済みのバージョンは公開されておりません。最新の4.7にアップデートすると今回の脆弱性対応版がリリースされ次第、自動アップデートされますので、WordPressをご利用のお客様は4.7へアップデートしてお待ち下さい。

さくらのレンタルサーバをご利用中で、クイックインストール機能を使いインストールされている場合は、下記サポートサイトをご参考の上、アップデートの実施をお願いいたします。

サポートサイト＞アップデート

https://help.sakura.ad.jp/hc/ja/articles/206054762

なお、言語に関する仕組みをご理解いただいている場合は、ソースコード編集などによる対策も可能です。 その他のPHPアプリケーションをご利用のお客様におかれましては、ご利用のプログラムが脆弱性の対象となっていないか、提供元にてご確認ください。

詳細

本脆弱性についての影響範囲、対応方法などの詳細は、以下の開発元、セキュリティ関連団体のWebサイト（英語）をご参照ください。

CVE-2016-10033 - SANS ISC InfoSec Forums

https://isc.sans.edu/forums/diary/Critical+security+update+PHPMailer+5218+CVE201610033/21855/

PHPmailer 3rd party library -- DRUPAL-SA-PSA-2016-004

https://www.drupal.org/psa-2016-004

「さくらのレンタルサーバ」において、PHP7.1の提供が開始されました。さらに、クイックインストールで提供されるWordPress、Concrete5もPHP7.1対応版 にバージョンアップされています。

PHP7の最新バージョンであるPHP7.1は、PHP5と比較してPHPアプリケーションの実行速度が高速化しており、WordPressなどのPHPで稼働するウェブサイトをより速く表示することが可能です。

利用方法

さくらのレンタルサーバ コントロールパネルでPHPバージョンを変更することで利用可能です。標準で提供されるのはこれまで通りPHP5.6になります。

対象サービス

さくらのレンタルサーバ: ライトプラン / スタンダードプラン / プレミアムプラン / ビジネスプラン / ビジネスプロプラン

さくらのマネージドサーバ

「さくらのレンタルサーバ」および「さくらのマネージドサーバ」「さくらのメールボ ックス」において、「ファイルマネージャー」「ウェブメール」機能の旧バージョンの提 供が2017年2月28日に終了します。

2010年の「ファイルマネージャー」「ウェブメール」機能のリニューアル後、旧バージ ョンに切り替え可能でしたが、提供終了後は現行のファイルマネージャー、ウェブメール のみとなります。

提供終了サービス

さくらのレンタルサーバ、マネージドサーバの「ファイルマネージャー」「ウェブメール」の旧バージョン

さくらのメールボックスの「ウェブメール」の旧バージョン ^ 提供終了日

2017年2月28日（火）

「さくらのレンタルサーバ」で提供されている、モリサワのWebフォントを無料で使える「さくらのレンサバ×TypeSquare」がWordPress以外にも対応しました。機能拡張により特定のCMSに限定されず、タグを記述することでWebフォントを利用できます。

これにより、対象プラン（「さくらのレンタルサーバ」スタンダードプラン以上、「さくらのマネージドサーバ」）でWebフォントを無料利用できるようになります。

「さくらのレンサバ×TypeSquare」の機能拡張について

特定のCMSに限らず、タグを記述することでモリサワのWebフォントを利用できます。WordPressのプラグインの提供も継続されます。すでに、WordPressを利用中の場合は、手動でプラグインをインストールしてください。これからWordPressをインストールする場合は、プラグインがプリインストールされた「クイックインストール」機能を利用することで、最短2分でWordPressと「TypeSquare」を利用できます。

• 対象サービス
  • さくらのレンタルサーバ スタンダード以上
  • さくらのマネージドサーバ
• 料金
  • 無料

「さくらのレンタルサーバ」「さくらのマネージドサーバ」にインストールしたWordPressにおいて、株式会社モリサワの提供するWebフォントを 無料 で利用できるようになりました。

Webフォントは、モリサワ社の「TypeSquare」より、豊富な30書体を、1ドメインに対して月間2.5万PVまで配信できます。

条件

初期ドメイン、さくらのサブドメイン、独自ドメインいずれか1ドメイン

本サービスは、「さくらのレンタルサーバ」「さくらのマネージドサーバ」などサーバーの利用料金のみで、Webフォント自体は無料となります。

さくらのレンタルサーバ×モリサワWebフォントについて

• 機能概要
  • 「さくらのレンタルサーバ」「さくらのマネージドサーバ」にインストールされたWordPressに対してプラグインが提供されます。プラグインをインストールし、さくらのレンタルサーバのコントロールパネルからドメインを登録するだけで、すぐに利用できます。
  • クイックインストール機能を使ってWordPressをインストールする場合、デフォルトでプラグインがインストールされます。すでにWordPressを利用している場合には、手動でインストールすることが可能です。

• 仕様
  • 書体数：30書体
  • 月間基本PV : 2.5万PV
  • 年間基本PV : 30万PV
  • 利用可能ドメイン数 : 1ドメイン

• 対象サービス
  • さくらのレンタルサーバ スタンダード以上
  • さくらのマネージドサーバ
• 料金
  • 無料
  • 「さくらのレンタルサーバ」「さくらのマネージドサーバ」のサーバー利用料金のみです。
• 提供開始日
  • 2016年6月29日（水）