ニュース - WPblog

ネットオウルにおいて、ミニバード、ファイアバード、クローバー、スターサーバープラス、ウェブクロウ（PHPオプション）、ウェブクロウプラス、WPblogを対象に、WordPressの「REST API」に対する国外IPアドレスからのアクセス可否を変更できる「REST APIアクセス制限」機能が追加されました。

各サービスでは、2017年2月7日、WordPressの「REST API」に対する国外IPアドレスからのアクセス制限が実施されました。

通常は制限を「有効(ON)」のまま運用することが強く推奨されますが、Webサイトコンテンツの表示などに影響が生じる場合、「REST APIアクセス制限」機能により、制限を解除できます。

WordPressの「REST API」

主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

提供開始日

2017年2月28日(火)

対象サービス

ミニバード、ファイアバード、クローバー、スターサーバープラス、ウェブクロウ（PHPオプション）、ウェブクロウプラス、WPblog

「REST API アクセス制限」機能について

WordPressの「REST API」に対する国外IPアドレスからのアクセス可否を切り替えることができます。初期状態で「有効(ON)」に設定されており、国外IPアドレスからのアクセスが制限されています。

通常は「有効(ON)」のまま運用されることが強く推奨されます。

国内IPアドレスからのアクセスであっても、システム上ごくまれに国外IPアドレスからの接続と誤認され、「REST API」の利用に制限が生じる場合があります。その場合には、制限の解除が必要となります。

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません

ネットオウルの各サービスにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

ネットオウルでは、第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用している場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

対応日

2017年 2月 7日

対象サービス

ミニバード、ファイアバード、クローバー、スターサーバープラス、ウェブクロウ（PHPオプション）、ウェブクロウプラス、WPblog

セキュリティ対策の強化内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に問題が生じる場合、制限を解除することができます。 通常は「有効」のまま運用されることが強く推奨されます

注意

現在WPblogでは、制限を解除することができません。今後、「WPblog管理画面」から制限を解除する機能が提供される予定です。

制限を解除するには、対象ドメイン名のフォルダ直下に設置する「.htaccess」ファイルに、以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。
なお、最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

IPA (情報処理推進機構) WordPress の脆弱性対策について

https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

自動インストール機能の「WordPress」が最新版「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

旧バージョンにおけるセキュリティ脆弱性への対策が行われています。

WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1の場合

自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合

WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。

2016年12月25日、PHPMailerにてセキュリティ上の問題(脆弱性)が確認されました。

PHPMailerは、PHPプログラムにてメール送信機能を付加するライブラリであり、WordPressやDrupal、Joomla!などのCMSやプラグインにも実装されています。

WordPress 対策方法

最新版にアップデートをしてください。管理ページ（ダッシュボード）にて手動でのアップデートが可能です。

最新版である4.7にアップデートをすることにより、本件の脆弱性への対応版が提供され次第、自動的にアップデートが適用されます。

その他のプログラム

ご利用のサーバープログラムにおける脆弱性の対象有無に関し、提供元にご確認ください。

本脆弱性の詳細

PHPを利用したサーバープログラム上で任意のコードが実行され、サーバー内に存在するファイルの改ざんや悪意のあるプログラムの設置が可能になる。

詳細について(外部サイト)

JVN#99931177　PHPMailerに OS コマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU99931177/

WPblogにおいて、推奨のPHPバージョンが「7.0」に変更されました。 PHP 5.6も継続して利用できます。

さらに、新規に追加するドメインのPHPのバージョンの初期設定が「7.0」に変更されます。

変更日

2016年12月26日(月)

対応内容

推奨するPHPバージョンを PHP 7.0 に変更

アカウント発行時およびドメインの追加設定時の初期PHPバージョンを PHP 7.0 に変更

利用方法

メンバー管理ツールにてPHPバージョンを変更します。

簡単インストール機能の「WordPress」が最新版（WordPress 4.7 日本語版）に対応しました。 「WordPress 4.7」の詳細は、WordPressの公式サイトを参考にしてください。

対応内容

WordPress 4.7 日本語版（新規インストールした際のバージョンです。）

旧バージョンからのアップデートについて

WordPressの管理ページ（ダッシュボード）にて手動でのアップデートが可能です。

ネットオウル社の各サービスの初期WordPressバージョンが最新版（WordPress4.6 日本語版）に対応しました。

• 対応日
  • 2016年8月25日
• 対応内容
  • WordPress 4.6 日本語版
  • 新規インストール時のバージョンです。
• 「WordPress 4.6」の詳細
  • WordPress(日本語版)「WordPress 4.6 “ペッパー”」(外部サイト)
  • https://ja.wordpress.org/2016/08/17/wordpress-4-6-pepper/

旧バージョンからのアップデートについて

WordPressの管理ページ（ダッシュボード）にて手動でのアップデートが可能です。

ネットオウルの各サービスのPHPを対象に、セキュリティ向上および機能追加のためのアップデート処理が実施されます。

アップデート実施日

2016年6月24日(金)

対象サーバー

ミニバード、ファイアバード、クローバー、ウェブクロウ（PHPオプション）、ウェブクロウプラス、スターサーバープラス、WPblog

対象PHPバージョン

PHP 7.0 / PHP 5.6

アップデート内容

• 以下各バージョンへのアップデート実施
  • PHP 7.0 から PHP 7.0.7 へ
  • PHP 5.6 から PHP 5.6.22 へ
• 以下各モジュールの追加導入
  • intl拡張モジュール、APCu拡張モジュール
• 以下モジュールの無効化
  • PCNTL拡張モジュール
  • サービス環境下で正常動作しないことを確認しました。プログラム誤動作等を防止するため、同モジュールを無効にいたします。

本アップデート処理に伴うサービス停止はありません。

以下のサービスにおいて、提供アプリケーションおよび簡単インストール機能対応の「WordPress」が、最新版 (WordPress 4.5 日本語版) に対応しました。

• WPblog / ミニバード / ファイアバード / クローバー / スターサーバープラス / ウェブクロウ (PHPオプション) / ウェブクロウプラス

すでに設置済みのWordPressに対する自動的なアップデートは行われません。旧バージョンのWordPressを利用している場合、個別に最新版へのアップデートを行う必要があります。

• 対応日
  • 2016年4月21日
• 対応内容
  • WordPress 4.5 日本語版

◇WordPress(日本語版)「WordPress 4.5 “コールマン”」(外部サイト)

• 旧バージョンからのアップデートについて
  • WordPressの管理ページ（ダッシュボード）にて手動でのアップデートが可能です。各サービスの管理ツール上からは行えません。

サービスの安全性の向上を目的としたPHP5.6のアップデートが実施されます。

• アップデート実施日
  • 2016年3月2日(水)
• 対象サーバー
  • エックスサーバー全サーバー
• 対象PHPバージョン
  • PHP 5.6.15
• アップデート内容
  • PHP 5.6.18 へのアップデート
  • 本アップデートに伴い、PHP5.6.18にて使用するcurlライブラリのバージョンが更新されます。
  • 本アップデート処理に伴うサービス停止はありません。