ニュース - Xserver VPS

2015年10月23日、EC-CUBEの開発元である株式会社ロックオンから、EC-CUBEのバージョン 2.11.0 ～ 2.13.3 に関して、セキュリティ上の問題(脆弱性)があることが公表されました。

• 脆弱性が存在するEC-CUBEのバージョン
  • EC-CUBE 2.11.0 ～ 2.13.3

本脆弱性の詳細

クロスサイトリクエストフォージェリの脆弱性が存在します。

「クロスサイトリクエストフォージェリ(CSRF)」

本来拒否すべき他サイトからのリクエストを受け取り、処理してしまうこと。

• 詳細について (外部サイト)
  • EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
  • http://jvn.jp/jp/JVN97278546/index.html

対策方法

ロックオン社から、本件の対策が行われた最新バージョン『EC-CUBE 2.13.4』がリリースされています。

EC-CUBE ユーザーは、EC-CUBE 2.13.4へのアップデートが推奨されます。

EC-CUBE 2.13.4へのアップデートが困難な場合、下記ページを参考にしてください。

• 対策方法について (EC-CUBE公式ページ)
  • EC-CUBE2.13.4 正式版をリリースいたしました。1件の脆弱性対応含む不具合修正を実施。（2015/10/23）
  • http://www.ec-cube.net/news/detail.php?news_id=258

掲載文のまま転載しています。

このたびの大雨などにより、被災された皆様に心よりお見舞い申し上げます。

当サービスでは、このたびの台風18号等による大雨にかかる災害救助法が適用された地域のお客様を対象に、特別措置を実施することといたしました。

詳細は以下をご参照ください。

対象サービス

レンタルサーバー 全プラン

独自ドメイン

対象のお客様

2015年9月11日以前のお申し込みで、ご登録住所が平成27年台風第18号等による大雨にかかる災害救助法が適用された以下地域のお客様。

【茨城県】

古河市、結城市、下妻市、常総市、守谷市、筑西市、坂東市、つくばみらい市、結城郡八千代町、猿島郡境町

【栃木県】

栃木市、佐野市、鹿沼市、日光市、小山市、下野市、下都賀郡壬生町、下都賀郡野木町

【宮城県】

仙台市、栗原市、東松島市、大崎市、宮城郡松島町、黒川郡大和町、加美郡加美町、遠田郡涌谷町

特別措置の概要

【サーバーアカウント】

2015年8月末、もしくは同年9月末が利用期限のサーバーアカウントについて、弊社にて2015年10月末への無償延長をいたします。

【独自ドメイン】

2015年9月11日～末日が利用期限のドメインについて、弊社にて1年間の無償延長をいたします。

本件に関する詳細については、大変お手数ではございますが、カスタマーサポートまでお問い合わせください。

弊社社員一同、一日も早い復旧を心よりお祈り申し上げます。

エックスサーバーでは、独自SSLについて、「SNI SSL(ネームベース)」の導入によるサービス拡張とSSLの価格改定（一部の値下げ）、および新ブランドの提供を2015年9月16日(水)に実施します。

これにより、独自SSL証明書が年間1,000円からと安価に利用可能となります。

検索エンジンの最大手であるGoogleは、ユーザー保護の観点からウェブサイトがHTTPS（暗号化通信）であるかどうかを検索順位の評価対象にすると発表しており、WebサイトにおけるHTTPS対応の重要度は上がっています。

この機会に、独自SSLの利用を検討してはいかがでしょうか。

提供開始日時

2015年9月16日(水) 正午

独自SSLサービス拡張について

【1】SSL証明書のプランに「SNI SSL(ネームベース)」を追加

「SNI SSL」は、専用のIPアドレスが不要なSSL証明書のことで、独自SSLの申し込み時にプランとして選択可能となります。

※従来から提供されているSSL証明書は「IPアドレスベース」プランと呼びます。

【2】SSL証明書のブランドに「CoreSSL」「SecureCoreドメイン認証SSL」を追加

独自SSLにて選択可能なSSL証明書として、セキュアコア株式会社が提供する以下のブランドを追加します。

いずれも低価格でありながら、世界シェアNo.1のcomodo社を認証局に採用した、信頼性の高いSSL証明書です。

「CoreSSL」

高い信頼性とコストを重視されている方にお勧めのSSL証明書ブランドです。

「SecureCoreドメイン認証SSL」

低価格ながらも、サイトシールにも対応するなど機能面も充実しているスタンダードな証明書ブランドです。

SNI SSLの追加と提供価格改定（一部の値下げ）について

エックスサーバーが提供するSSL証明書の価格は、これまでSSL証明書とセットで必須となる専用IPアドレスの利用料との合算となっていました。

「SNI SSL」導入に伴い、専用IPアドレスが必須ではなくなるため、独自SSLの提供価格を「SSL証明書料」と「専用IPアドレス利用料」に分けることになります。

「SNI SSL」プランは初期費用が無料となるため、より手ごろな値段でSSL証明書を利用できます。また、「IPアドレスベース」プランについても一部の値下げが行われます。

改定後の価格は以下をご参照ください。

SNI SSL(ネームベース)プラン

IPアドレスベースプラン

※改定前の価格は改定前の「SSL証明書料」を専用IPアドレス利用料とSSL証明書料に分けた価格で表記しています。

※「SNI SSL(ネームベース)」プランはIPアドレスが不要ですので、「専用IPアドレス利用料」は発生いたしません。

※複数年契約される場合は、契約年数に応じて割引が適用されます。

※グローバルサイン クイック認証SSLにおいては、「SNI SSL(ネームベース)」プランをご利用いただけません。

新規インストールされる「WordPress」が最新版の「WordPress 4.3 日本語版」に対応しました。

※ 今後リリースされるWordPress 4.3 のセキュリティアップデートは、WordPressのインストール完了後に「自動バックグラウンド更新機能」による自動更新、または、WordPressの管理ページ（ダッシュボード）による手動更新で適用されます。

すでに設置済みのWordPressに対する自動的なアップデートは行われません。旧バージョンのWordPressを利用している場合、個別に最新版へのアップデートを行う必要があります。

旧バージョンからのアップデートについて

WordPressの管理ページ（ダッシュボード）にて手動でのアップデートが可能です。サーバーパネル上からは行えませんのでご注意ください。

※ アップデートの前に必ず【現在のデータのバックアップ】をとった上でアップデートを行ってください。

エックスサーバーに料金支払いの請求書をPDFファイルで発行する機能が追加されました。

これまで請求書の発行は、サービスのカスタマーサポート窓口へ発行を依頼する必要がありました。本機能の追加により、ユーザー自身でインフォパネル内よりPDFファイル形式でダウンロードすることが可能となります。

• 提供開始日
  • 2015年 7月28日(火)
• 機能追加対象
  • 「料金のお支払い」、ならびに「お支払い履歴」
  • インフォパネル「決済関連」内

機能追加の内容

お支払伝票に関する請求書をPDFファイル形式で発行します。

※ 2015年7月23日以降に発行された支払伝票に対応します。

ご利用方法

料金支払い前

インフォパネルにログインし、「決済関連」→「料金のお支払い」の「お支払い伝票一覧」にある「お支払手続き」ボタンをクリックします。

当該の支払伝票の詳細が表示されるので、「請求書ダウンロード(PDFファイル)」ボタンをクリックします。

料金支払い後

インフォパネルにログインし、「決済関連」→「料金のお支払い」の「お支払い履歴」にある「詳細」をクリックします。

当該の支払伝票の詳細が表示されるので、「請求書ダウンロード(PDFファイル)」ボタンをクリックします。

本機能による請求書の発行について

• 請求書は支払伝票ごとに発行されます。
• 請求書の宛名は契約名義で発行されます。

※2015年7月22日以前に発行された支払い伝票、契約名義以外の名義での請求書発行については、カスタマーサポートまでお問い合わせください。

自動インストール対象プログラムのうち、「Zen Cart日本語版」の新規提供が2015年7月8日(水)正午に終了します。

また、これまでに同機能を使用してインストールされた「Zen Cart日本語版」を対象に、脆弱性対策が含まれた最新版へのアップデート機能が提供されます。

• 対象機能
  • 「Zen Cart日本語版」
  • サーバーパネル内『ホームページ』-「自動インストール」メニュー
• 変更内容
  • これまでに当該機能によりインストールされた「Zen Cart日本語版」v1.3.0.2を対象に同バージョンの脆弱性対策が含まれた最新版(v1.3.0.2.l10n.jp.X.U8)へのアップデート機能が提供されます。
  • 自動インストール機能による「Zen Cart日本語版」の新規提供を2015年7月8日(水)正午に終了します。

アップデート機能の利用方法

サーバーパネルにログイン後、メニューの『ホームページ』-「自動インストール」をクリックします。

「インストール済みプログラムの一覧」が表示されるので、「zencart」に表示される「アップデート」ボタンをクリックすると、アップデート機能の画面へ移動します。

「Zen Cart日本語版」について

エックスサーバーでは、「Zen Cart日本語版」の利用は可能です。

当該プログラムの最新版(v.1.5.1 ja)をインストールする場合、マニュアルをご参照ください。

サーバーパネルからワンクリックでMySQLデータベースのバックアップが行える『MySQLバックアップ』機能が追加されました。

• 提供開始日
  • 2015年 5月26日(火)
• 機能追加対象
  • 「MySQLバックアップ」機能
  • 「データベース」-「MySQL設定」内
• 機能追加の内容
  • [ MySQL設定 ]機能で管理されているMySQLデータベースのデータをバックアップ(エクスポート)することができます。
• 利用方法
  • サーバーパネルにログイン後、『データベース』- [ MySQL設定 ] から利用できます。

エックスサーバーでは、新規にインストールされるWordPressが最新版の「WordPress 4.2 日本語版」に対応しました。

※WordPress 4.2のセキュリティアップデートは、WordPressのインストール完了後に「自動バックグラウンド更新機能」による自動更新、または、WordPressの管理ページ（ダッシュボード）による手動更新で適用されます。

すでに設置済みのWordPressに対する自動的なアップデートはされません。旧バージョンのWordPressを利用している場合は、個別に最新版へのアップデートする必要があります。

旧バージョンからのアップデートについて

WordPressの管理ページ（ダッシュボード）にて手動でのアップデートが可能です。サーバーパネルから行うことはできません。

※アップデートの前に必ず【現在のデータのバックアップ】をとった上でアップデートを行ってください。

WordPressにおいて、XML-RPC(XML-RPC WordPress API)の一部機能を悪用した不正なアクセスが増加しています。

セキュリティ向上を目的として、すでに運用中のWordPressや今後新規に設置するWordPressにおいて、「XML-RPC」への国外IPアドレスからのWebアクセス制限が2015年5月19日(火)より実施されます。

そして、サーバー管理ツール「WordPressセキュリティ設定」において、「XML-RPC API アクセス制限」機能が追加されます。

国外IPアドレスのサーバー等から「XML-RPC」を利用される場合は、サーバー管理ツール「WordPressセキュリティ設定」→「国外IPアクセス制限」にある「XML-RPC API アクセス制限」にて制限の解除が可能です。

国外IPアドレスからの「XML-RPC」に対するアクセス制限の実施について

• 実施日
  • 2015年 5月19日(火)
• 対象サービス
  • エックスサーバー 全プラン

スマートフォンアプリや外部システムから、リモートで記事の投稿や画像のアップロードを行う際に利用される「XML-RPC」に対する国外IPアドレスからへの接続を制限します。

• 制限を行うアドレス
  • /xmlrpc.php

初期状態で「有効」に設定されています。※通常は「有効(ON)」のまま運用されることが強く推奨されます。

「XML-RPC API アクセス制限」機能の追加について

• 提供開始日
  • 2015年 5月14日(木)
• 対象サービス
  • エックスサーバー 全プラン

国外IPアドレスからの「XML-RPC」へのアクセス制限を解除するための機能です。

国外IPアドレスのサーバー等から「XML-RPC」を利用される場合は「無効(OFF)」に設定するとともに、個別にWordPressへ「Disable XML-RPC Pingback」をインストールされるなどの「XML-RPC」への不正アクセス対策をご検討ください。

※国内IPアドレスからのアクセスであっても、ごくまれに国外IPアドレスからの接続とシステム上誤認され、「XML-RPC」の利用に制限が生じる可能性があります。この場合にも、制限の解除が必要です。

※国外IPアドレスからの「XML-RPC」アクセス制限の実施前に設定を解除しておくことが可能です。

エックスサーバーでは、2015年4月27日より2015年7月31日まで、『独自ドメインプレゼントキャンペーン』が実施されます。

キャンペーン期間中にサーバーアカウントを契約すると、独自ドメインを1つプレゼント、さらに対象ドメインの更新料金も無料となります。

この機会にエックスサーバーを検討してみましょう。

• キャンペーン期間
  • 2015年4月27日(月)12:00 ～ 2015年7月31日(金)18:00
• キャンペーン対象
  • 新規契約ユーザー。かつ期間中に利用料金を支払うことが条件です。
• キャンペーン内容
  • .com .net .org .info .bizの中からお好きなドメインを1つプレゼント

※独自ドメインはサーバー本契約後、インフォパネル内「キャンペーンドメイン」メニューから申請可能です。

• 注意事項
  • キャンペーン期間中にお申し込みのサーバーアカウントが対象となります。キャンペーン期間外にお申し込みいただいたサーバーアカウントのご利用料金のお支払いをキャンペーン期間中に行いましても、キャンペーン適用はされませんのでご注意ください。
  • 本キャンペーンで取得された独自ドメインは、キャンペーン対象となるサーバー契約が継続する限り更新料金も無料です。※ドメイン有効期限の1ヶ月前頃に1年の自動更新を実施いたします。
  • プレゼント対象となる独自ドメインの申請期限は2015年8月31日(月)です。