ニュース

WordPress提供元よりWordPressに関する深刻な脆弱性が発表されました。

対象バージョンのWordPressを利用している場合、WordPress 4.7.2(2017.1.26リリース)へのアップデートが必要となります。

想定される脅威

WordPress4.7.0と4.7.1のREST API(既設定：有効)に、認証なしにWebページを更新できる脆弱性が存在することで、攻撃者にこれらの脆弱性を悪用され、Webサイの改ざんや様々な攻撃に利用される恐れがあります。

脆弱性の影響を受けるバージョン

WordPress 4.7.0 / WordPress 4.7.1

WordPressの他バージョン系統(4.6など)において、REST APIを導入している場合の影響については確認できていません。必要に応じて最新情報を確認し、最新版へのアップデートを検討しましょう。

回避策

WordPress 4.7.2(2017.1.26リリース)へのアップデート。

ロリポップ！がPHP7.1に対応しました。

PHP7.1はPHP5系と比較して、PHPプログラムの処理速度が向上しています。ロリポップ！独自のベンチマークテストにおいては、「PHP5.6（モジュール版）」と比べて「PHP7.1（モジュール版）」は、レスポンスタイムが5.5倍高速化しています。

ユーザー専用ページの「PHP設定」の項目でバージョン変更が可能です。

PHP7.1の対応プラン

エコノミープラン CGI版のみ

ライトプラン CGI版のみ

スタンダードプラン CGI版／モジュール版

エンタープライズプラン CGI版／モジュール版

PHP7.1の提供開始とあわせて、ロリポップ！では「PHP5.5」を新規に設定することができなくなりました。

現在「PHP5.5」を設定しているドメインは、継続して「PHP5.5」を利用できますが、現在「PHP5.5」を設定していないドメインは、PHPバージョンを「PHP5.5」に設定することができません。

なお、「PHP5.5」はPHP自体のサポート提供が既に終了しているため、脆弱性を突かれた改ざん防止、およびセキュリティ面を考慮し、今後提供自体が終了する可能性があります。

「PHP5.5」を利用している場合は、早めに最新バージョンへの変更を検討する必要があります。

PHP 7.x、MySQL 5.6.xを利用できるようになります。 対象ユーザーは以下の通りです。

• 新規契約者
• 現在、レンタルサーバーとPlesk 12を利用している契約者

実施日時

2017年2月1日（水）15時

• PHP
  • PHP 7.x/5.6.x/5.3.x（選択可）
• MySQL
  • MySQL 5.6.x/5.1.x（選択可）

対象外のユーザー

レンタルサーバー全プラン並びにPlesk 11を利用している場合、2017年2月3日（金）に同様のサービス強化が行われます。

PHP 7.x、MySQL 5.6.xを利用できるようになります。 対象ユーザーは以下の通りです。

• 新規契約者
• 現在、レンタルサーバーとPlesk 12を利用している契約者

実施日時

2017年2月1日（水）15時

• PHP
  • PHP 7.x/5.6.x/5.3.x（選択可）
• MySQL
  • MySQL 5.6.x/5.1.x（選択可）

対象外のユーザー

レンタルサーバー全プラン並びにPlesk 11を利用している場合、2017年2月3日（金）に同様のサービス強化が行われます。

WordPressのバージョン「4.7」および「4.7.1」におけるコンテンツの改ざんが行える脆弱性に対し、ヘテムルでもセキュリティー対策が実施されました。

対応内容

不正アクセスの可能性があるIPアドレスからのアクセス拒否設定
同脆弱性を狙った不正なアクセスを行うアクセス元IPアドレスから、ヘテムルのwebサーバーへのアクセスを拒否
新たなIPアドレスからの不正アクセスを確認した場合、随時拒否設定を実行。

WAF設定の強化

同脆弱性への攻撃を検知・遮断するよう、WAFのシステムを調整

ユーザーへのお願い

WAF設定が無効になっているドメインは、有効にしてください。

最新版へのアップグレードが終わっていない場合は、ダッシュボードから対策済みバージョンの「4.7.2」へ更新してください。

同脆弱性の詳細については、以下のサイトをご覧ください。

WordPress の脆弱性に関する注意喚起（JPCERT/CC）
https://www.jpcert.or.jp/at/2017/at170006.html

WordPress の脆弱性対策について（IPA/情報処理推進機構）
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

WordPress4.7および4.7.1の脆弱性に対し、サーバー側での対策が実施されました。

対応内容

不正アクセスの可能性があるIPアドレスからのアクセス拒否設定
同脆弱性を狙った不正なアクセスを行うアクセス元IPアドレスから、ロリポップ！のwebサーバーへのアクセスを拒否しています。
新たなIPアドレスからの不正アクセスを確認した場合、随時拒否設定を行います。

WAF設定の強化

同脆弱性への攻撃を検知・遮断するよう、WAFのシステムを調整。

ユーザーへのお願い

WAF設定が無効になっているドメインは、有効へ切り替えてください。

WordPressの最新版へのアップグレードが済んでいない場合は、同脆弱性に対応したバージョン「4.7.2」へ更新しましょう。

ブログ／CMS プラットフォームのWordPressに深刻な脆弱性が報告され、すでにウェブサイトの改ざん被害が相次いでいます。 WordPressを利用しているユーザーは、ウェブサイトの正常性の確認と併せて、対策済みバージョンへの早急なアップデートが強く推奨されます。

WordPressの脆弱性について

本件に関する注意喚起情報

情報処理推進機構「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

JPCERT/CC「WordPress の脆弱性に関する注意喚起」
https://www.jpcert.or.jp/at/2017/at170006.html

内閣サイバーセキュリティーセンター「WordPressの脆弱性に関する注意喚起」
http://www.nisc.go.jp/security-site/security/20170206.html

WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

対策

対策済みのバージョン「WordPress 4.7.2」へのアップデートで回避できます。

WordPressを利用したウェブサイトのテスト環境や、過去のバックアップがインターネット上に公開されていないか確認し、上記同様にアップデートを実施します。

今回の脆弱性以外でも、脆弱性のあるプラグインを悪用される被害や、簡易なパスワード設定を悪用される被害事例が相次いでいます。併せて対策を検討しましょう。

WordPress提供元よりWordPressに関する深刻な脆弱性が発表されました。

対象バージョンのWordPressを利用している場合、WordPress 4.7.2(2017.1.26リリース)へのアップデートが必要となります。

想定される脅威

WordPress4.7.0と4.7.1のREST API(既設定：有効)に、認証なしにWebページを更新できる脆弱性が存在することで、攻撃者にこれらの脆弱性を悪用され、Webサイの改ざんや様々な攻撃に利用される恐れがあります。

脆弱性の影響を受けるバージョン

WordPress 4.7.0 / WordPress 4.7.1

WordPressの他バージョン系統(4.6など)において、REST APIを導入している場合の影響については確認できていません。必要に応じ最新の情報を確認し、最新版へのアップデートを検討してください。

回避策

WordPress 4.7.2(2017.1.26リリース)へのアップデートを行います。

「簡単インストール機能」にて提供されるアプリケーションがバージョンアップされました。

対象アプリケーションとバージョン

Roundcube 1.0.5 から 1.0.9 へ

WordPress 4.6.1 から 4.7.2 へ

リリース日

2017年1月18日（水）

注意

すでにインストール済みのアプリケーションに対して、この機能でのバージョン更新は行えません。

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

REST APIは主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

エックスサーバーにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

エックスサーバーでは第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用されている場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

エックスサーバー 全プラン

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に影響が生じる場合、制限を解除することが可能です。通常は「有効」のまま運用されることを強く推奨されます。

サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

ニュース

自動インストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

REST APIは主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

エックスサーバーにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

エックスサーバーでは第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用されている場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

エックスサーバー 全プラン

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に影響が生じる場合、制限を解除することが可能です。通常は「有効」のまま運用されることを強く推奨されます。

サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

ニュース

自動インストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

2017年2月4日夜頃より、WordPress の脆弱性を悪用した改ざん被害が多数報告されております。

WordPress 4.7.0、4.7.1 を使っている場合、早急に4.7.2へのバージョンアップが必要です。 さらに、改ざん被害を受けていないか、サイトの確認も必要です。

対象 WordPress バージョン

WordPress 4.7.0、4.7.1

影響

脆弱性を突かれてサイトの改ざんが行われてしまう

対処法

4.7.2（2017/1/26リリース）へのバージョンアップ

参考情報

WordPress 4.7.2 リリース情報（※ 2017年1月26日に公開）
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

2017年2月4日夜頃より、WordPress の脆弱性を悪用した改ざん被害が多数報告されております。

WordPress 4.7.0、4.7.1 を使っている場合、早急に4.7.2へのバージョンアップが必要です。 さらに、改ざん被害を受けていないか、サイトの確認も必要です。

対象 WordPress バージョン

WordPress 4.7.0、4.7.1

影響

脆弱性を突かれてサイトの改ざんが行われてしまう

対処法

4.7.2（2017/1/26リリース）へのバージョンアップ

参考情報

WordPress 4.7.2 リリース情報（※ 2017年1月26日に公開）
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

メール受信の速度向上を目的とした、ウィルスチェック・スパムチェック機能の処理改善が実施されました。

対象プラン

すべての共用レンタルサーバー / すべてのマネージド専用サーバー

改善概要

メール受信時にウィルスチェックやスパムチェックを実施しているサーバーの処理時間を短縮させることで、配送速度が向上しました。

WordPress4.7 または 4.7.1にてセキュリティに関する「非常に緊急性の高い脆弱性」が発見されました。

対象バージョンのWordPressを利用している場合は、早急なアップグレードが強く推奨されます。

影響範囲

WordPress4.7 または 4.7.1 を利用の場合、セキュリティ脆弱性により第三者に「比較的容易に」コンテンツを改ざんされる可能性があります。

対処方法

WordPress4.7.2（最新版）へのアップグレード

アップグレード方法

WordPress4.7 または 4.7.1の場合、自動で最新版に更新されます。

それ以外のバージョンの場合、ダッシュボードでアップデート可能です。

参考外部サイト

JPCERT WordPress の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170006.html

その他

本脆弱性以外にもWordPressサイトを狙ったWebサイトの改ざんが流行しています。
WordPressおよび関連のプラグインは常に最新版を利用することが推奨されます。

WordPress4.7 または 4.7.1にてセキュリティに関する「非常に緊急性の高い脆弱性」が発見されました。

対象バージョンのWordPressを利用している場合は、早急なアップグレードが強く推奨されます。

影響範囲

WordPress4.7 または 4.7.1 を利用の場合、セキュリティ脆弱性により第三者に「比較的容易に」コンテンツを改ざんされる可能性があります。

対処方法

WordPress4.7.2（最新版）へのアップグレード

アップグレード方法

WordPress4.7 または 4.7.1の場合、自動で最新版に更新されます。

それ以外のバージョンの場合、ダッシュボードでアップデート可能です。

参考外部サイト

JPCERT WordPress の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170006.html

その他

本脆弱性以外にもWordPressサイトを狙ったWebサイトの改ざんが流行しています。
WordPressおよび関連のプラグインは常に最新版を利用することが推奨されます。

「WordPress」において、バージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題(脆弱性)が公表されております。

REST API

「REST API」は主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません

当サービスにおいても、お客様にて運用中のWordPressサイトに対して、 この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスを複数確認しております。

弊社ではこれを受け、お客様のWordPressにおいて、第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限いたしました。

現在WordPressを利用されている場合は、最新バージョン（4.7.2）へアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

wpXレンタルサーバー

wpXクラウド 全グレード

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。
WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス
/wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトコンテンツの運用に影響が生じる場合、以下の手順で制限を解除できます。 通常は「有効」のままの運用が強く推奨されます

管理パネル内「WordPress設定」＞「.htaccess編集」で、最終行に以下の内容を追記してください。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることで回避可能です。

ニュース

ワンクリックインストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/07 掲載)
https://www.wpx.ne.jp/server/news_detail.php?view_id=1556

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

WordPress提供元よりWordPressに関する深刻な脆弱性が発表されました。 対象バージョンのWordPressを利用している場合は、WordPress 4.7.2（2017.1.26リリース）へのアップデートが強く推奨されます。

想定される脅威

WordPress4.7.0と4.7.1のREST API（既設定：有効）に、認証なしにWebページを更新できる脆弱性が存在することで攻撃者にこれらの脆弱性を悪用され、Webサイの改ざんや様々な攻撃に利用される可能性があります。

脆弱性の影響を受けるバージョン

WordPress 4.7.0 / WordPress 4.7.1

WordPressの他バージョン系統(4.6など)において、REST APIを導入している場合の影響については確認できていません。必要に応じて最新の情報を確認し、最新版へのアップデートを検討してください。

回避策

WordPress 4.7.2へアップデートします。

即時アップデートが難しい場合、REST APIの無効化などを検討してください。

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

REST APIは主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

エックスサーバーにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

エックスサーバーでは第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用されている場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

エックスサーバー 全プラン

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に影響が生じる場合、制限を解除することが可能です。通常は「有効」のまま運用されることを強く推奨されます。

サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

ニュース

自動インストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)