ニュース - Xserver VPS

エックスサーバーに導入されている画像処理ライブラリ「ImageMagick」の脆弱性（CVE-2017-9098）についての通知がありました。

本脆弱性への対応のため2017年5月27日、緊急的に ImageMagick のセキュリティアップデート処理が実施され、これに伴い、一部機能の利用が制限されます。

• 実施日
  • 2017年5月27日(土)
• 対象サービス
  • レンタルサーバー 全プラン ^
• セキュリティアップデート内容
  • ImageMagick の一部画像形式 (rle) の変換処理が制限されます。
  • 本アップデート処理に伴うサービス停止はありません。

PHP7.0、PHP5.6のアップデートが実施されます。

アップデート実施日

2017年5月12日(金)

対象サービス

レンタルサーバー 全プラン

対象PHPバージョン

PHP 7.0 / PHP 5.6

• アップデート内容

sv2001.xserver.jp 以降のサーバー

PHP 7.0： PHP 7.0.18 へのアップデートおよびImagick拡張モジュールの追加導入

PHP 5.6： PHP 5.6.30 へのアップデート

sv1999.xserver.jp 以前のサーバー

PHP 7.0： PHP 7.0.16 へのアップデート

PHP 5.6： PHP 5.6.30 へのアップデート

「PHP 7.1」が導入されました。 現在公式にリリースされているPHPの最新バージョン系統です。 PHP7.0同様、PHP5系統と比較し2倍以上の実行速度を誇るとともに、様々な機能が追加されています。

XSERVERでは、モジュール版PHPと同等の処理能力を持つ動作方式「FastCGI」とキャッシュによる高速化と負荷軽減効果を持つPHPの拡張モジュール「OPcache」を標準で備えます。 高性能なPHP7.1に加え、高速性を最大化させる環境により、さらに快適にWebサイトを運用することが可能です。

提供開始日

2017年5月12日(金)

提供サービス

レンタルサーバー　全プラン

提供PHPバージョン

sv2001.xserver.jp 以降のサーバー PHP 7.1.4

sv1999.xserver.jp 以前のサーバー PHP 7.1.2

レンタルサーバー、ドメインの契約を自動で更新することができる「カード自動引き落し設定」が、より簡単に使えるように改善されました。

• 実施日
  • 2017年4月5日(水)

改善内容

【1】インフォパネルのメニューに「カード自動更新設定」を追加されました

インフォパネルの『決済関連』カテゴリに「カード自動更新設定」メニューが追加されました。 自動更新に使用するクレジットカードの登録は「クレジットカード情報の登録」から、自動更新対象の選択は「カード自動更新設定」からそれぞれ行えます。 なお、このたびの変更に伴い、「料金のお支払い」メニューの「カード自動引き落とし設定」タブが削除されました。

【2】「クレジットカード決済画面」から自動更新の設定ができるようになりました。

レンタルサーバー、ドメインの料金をクレジットカードで支払いする場合、自動更新の設定が同時にできるようになりました。

既に「カード自動引き落とし設定」を利用している場合

クレジットカード情報、自動引き落とし設定の内容は引き継がれています。この機能改善に際し、自動更新の設定を再度する必要はありません。

エックスサーバーにおいて、Webブラウザ上からメールを送受信できる「WEBメール」機能について、スマートフォンやタブレットからでも快適に操作できるよう、デザインがリニューアルされました。

WEBメールはアプリのインストールや設定作業をすることなく、Webブラウザ上からログインするだけで、すぐにお手軽に利用できます。

リニューアル実施日

2017年 3月13日(月)

スマートフォン、タブレットからの利用方法

スマートフォンやタブレットから「WEBメール」へログインするだけです。端末に最適化された画面で「WEBメール」を利用することができます。

利用環境の変化に伴う利用者の減少により、「携帯WEBメール」機能の提供が2017年 3月31日(金)に終了します。

なお、エックスサーバーでは、スマートフォンからも利用可能な「WEBメール」機能を提供しています。 スマートフォンからのメールの送受信に際しては、「WEBメール」機能の利用が推奨されます。

提供終了日時

2017年3月31日(金) 正午

対象機能

「携帯WEBメール」機能

「WEBメール」機能の利用について

スマートフォンからのメールの送受信に際しては、WEBメール機能で対応できます。

エックスサーバーにおいて、WordPressの「REST API」に対する国外IPアドレスからのアクセス可否を変更できる 「REST APIアクセス制限」機能が追加されました。

2017年2月7日、WordPressのセキュリティ対策として、WordPressの「REST API」に対する国外IPアドレスからのアクセスが制限されました。 「REST APIアクセス制限」機能により、この制限を解除することが可能です。

通常は制限を「有効(ON)」のまま運用することが強く推奨されますが、Webサイトコンテンツの表示などに影響が生じる場合に限り、制限の解除を検討する必要があります。

WordPressの「REST API」

主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

提供開始日

2017年2月28日(火)

対象サービス

エックスサーバー 全プラン

「REST API アクセス制限」機能について

WordPressの「REST API」に対する国外IPアドレスからのアクセス可否を切り替えることができます。初期状態で「有効(ON)」に設定されており、国外IPアドレスからのアクセスが制限されています。

通常は「有効(ON)」のまま運用されることを強く推奨します。

注意

国内IPアドレスからのアクセスであっても、システム上ごくまれに国外IPアドレスからの接続と誤認され、「REST API」の利用に制限が生じる場合があります。この場合には、制限の解除が必要となります。

エックスサーバーにおいて、推奨するPHPバージョンが「7.0」に変更されました。

継続してPHP 5.6も利用できますが、今後はPHP 7.0が推奨されます。 また、新規に追加設定されるドメインにおいて、 初期PHPのバージョンが「7.0」に変更されます。

変更日

2017年2月13日(月)

対象サーバー

エックスサーバー全サーバー

対応内容

推奨するPHPバージョンを PHP 7.0 に変更

アカウント発行時およびドメインの追加設定時の初期PHPバージョンを PHP 7.0 に変更

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

REST APIは主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

エックスサーバーにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

エックスサーバーでは第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用されている場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

エックスサーバー 全プラン

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に影響が生じる場合、制限を解除することが可能です。通常は「有効」のまま運用されることを強く推奨されます。

サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

ニュース

自動インストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

自動インストール機能の「WordPress」が最新版「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

旧バージョンにおけるセキュリティ脆弱性への対策が行われています。

WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1の場合

自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合

WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。