ニュース

2017年2月4日夜頃より、WordPress の脆弱性を悪用した改ざん被害が多数報告されております。

WordPress 4.7.0、4.7.1 を使っている場合、早急に4.7.2へのバージョンアップが必要です。 さらに、改ざん被害を受けていないか、サイトの確認も必要です。

対象 WordPress バージョン

WordPress 4.7.0、4.7.1

影響

脆弱性を突かれてサイトの改ざんが行われてしまう

対処法

4.7.2（2017/1/26リリース）へのバージョンアップ

参考情報

WordPress 4.7.2 リリース情報（※ 2017年1月26日に公開）
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

REST APIは主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

エックスサーバーにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

エックスサーバーでは第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用されている場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

エックスサーバー 全プラン

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に影響が生じる場合、制限を解除することが可能です。通常は「有効」のまま運用されることを強く推奨されます。

サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

ニュース

自動インストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

「WordPress」において、バージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題(脆弱性)が公表されております。

REST API

「REST API」は主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません

当サービスにおいても、お客様にて運用中のWordPressサイトに対して、 この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスを複数確認しております。

弊社ではこれを受け、お客様のWordPressにおいて、第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限いたしました。

現在WordPressを利用されている場合は、最新バージョン（4.7.2）へアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

wpXレンタルサーバー

wpXクラウド 全グレード

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。
WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス
/wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトコンテンツの運用に影響が生じる場合、以下の手順で制限を解除できます。 通常は「有効」のままの運用が強く推奨されます

管理パネル内「WordPress設定」＞「.htaccess編集」で、最終行に以下の内容を追記してください。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることで回避可能です。

ニュース

ワンクリックインストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/07 掲載)
https://www.wpx.ne.jp/server/news_detail.php?view_id=1556

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

2017年2月4日夜頃より、WordPress の脆弱性を悪用した改ざん被害が多数報告されております。

WordPress 4.7.0、4.7.1 を使っている場合、早急に4.7.2へのバージョンアップが必要です。 さらに、改ざん被害を受けていないか、サイトの確認も必要です。

対象 WordPress バージョン

WordPress 4.7.0、4.7.1

影響

脆弱性を突かれてサイトの改ざんが行われてしまう

対処法

4.7.2（2017/1/26リリース）へのバージョンアップ

参考情報

WordPress 4.7.2 リリース情報（※ 2017年1月26日に公開）
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

REST APIは主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

エックスサーバーにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

エックスサーバーでは第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用されている場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

エックスサーバー 全プラン

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に影響が生じる場合、制限を解除することが可能です。通常は「有効」のまま運用されることを強く推奨されます。

サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

ニュース

自動インストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

自動インストール機能の「WordPress」が最新版「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

旧バージョンにおけるセキュリティ脆弱性への対策が行われています。

WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1の場合

自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合

WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。

自動インストール機能の「WordPress」が最新版「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

旧バージョンにおけるセキュリティ脆弱性への対策が行われています。

WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1の場合

自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合

WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。

「WordPress」において、バージョン 4.7.0 および 4.7.1 で緊急性の高い脆弱性が報告されています。 当該バージョンのWordPressを利用している場合は、早急なアップグレードが推奨されます。

種類

WordPress

対象バージョン

4.7.0 および 4.7.1

対処方法

最新バージョン「4.7.2」にアップグレード

参考情報 JPCERT コーディネーションセンター : WordPress の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170006.html

独立行政法人情報処理推進機構 (IPA)

WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

WordPress 日本語ローカルサイト

WordPress 4.7.2 セキュリティリリース
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

WordPressのバージョン4.7および4.7.1でコンテンツの改ざんが行える脆弱性が報告されています。 1月26日に同脆弱性に対応した4.7.2がリリースされています。 最新版へのアップグレードを終えていない場合は、WordPressのダッシュボードにて早急に対応しましょう。

脆弱性の影響

第三者にコンテンツの改ざんを行われる

対応方法

WordPressバージョン4.7.2 へのアップグレード

参考サイト

WordPress 4.7.2 セキュリティリリース
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

SUCURI Blog（セキュリティ関連企業による脆弱性報告/英語）
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

脆弱性によるサイトの改ざんを防ぐため、CMSツールやプラグインを常に最新バージョンとするようにしましょう。

CMS「WordPress」の旧バージョンにおける脆弱性が悪用され、インターネット上でWebサイトの改ざん被害が多数報告されています。

WordPress配布元でセキュリティアップデートの提供が開始されています。 利用しているバージョンを確認して、対象バージョンであった場合は最新版への早急な更新が推奨されます。

脆弱性対象バージョン

WordPress 4.7.0 / 4.7.1

WordPress 4.7.2 セキュリティリリース

https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

Z.comのサービスにおける対策について（2017年1月26日）

Z.com for WordPress

対策済みバージョンとなる4.7.2へのバージョンアップを行っています。

Z.com レンタルサーバー

cPanelから新規でインストールされるWordPressについては対策済みの4.7.2となっています。既にインストール済みのWordPressはバージョンアップが行われていないため、手動でのバージョンアップが必要です。

WordPressのバージョン4.7および4.7.1でコンテンツの改ざんが行える脆弱性が報告されています。 1月26日に同脆弱性に対応した4.7.2がリリースされているため、早急なアップデート対応が強く推奨されます。

脆弱性の影響

第三者にコンテンツの改ざんを行われる。

対応方法

WordPressバージョン4.7.2 へのアップグレード

参考サイト

WordPress 4.7.2 セキュリティリリース
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

SUCURI Blog（セキュリティ関連企業による脆弱性報告/英語）
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

WordPress の脆弱性に関する注意喚起（JPCERT/CC）
https://www.jpcert.or.jp/at/2017/at170006.html

WordPress の脆弱性対策について（IPA/情報処理推進機構）
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

脆弱性によるサイトの改ざんを防ぐため、CMSツールやプラグインを常に最新のバージョンとするようにしましょう。

共用サーバー SDで提供される「WordPressインストール」のWordPressがバージョンアップしました。併せてプリインストール済みのJetpackもバージョンアップしています。

WordPress バージョン

4.7.1 > 4.7.2

バージョンアップの概要（WordPress 4.7.2日本語版）

過去のすべてのバージョンのためのセキュリティリリース

コントロールパネルから新規作成するとバージョンアップしたWordPressとJetpackがインストールされます。

新規にインストールされる「WordPress」が最新版の「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

以前のバージョンにおけるセキュリティ脆弱性への対策を行っているバージョンです。
WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1をご利用の場合
自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合
WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。

自動インストール機能の「WordPress」が最新版「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

旧バージョンにおけるセキュリティ脆弱性への対策が行われています。

WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1の場合

自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合

WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。

WordPressのバージョン4.7.0 および 4.7.1 において、コンテンツの改ざんが行われる可能性がある脆弱性が発見されました。 WordPressを利用している場合、早急なバージョンアップ対応が必要です。

参考URL

IPA　WordPress の脆弱性対策について（外部サイト）

http://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

対象となるWordPressのバージョン

WordPress4.7.0 / WordPress4.7.1

WordPressのバージョンの確認方法

WordPressの管理画面「ダッシュボード」で確認できます。

対応方法 対象バージョンの場合、管理画面でWordPress4.7.2 へのバージョンアップが可能です。

4.7.2へのアップグレード対応が推奨ですが、共用wxサーバーの場合、WAFの導入でも対策可能です（2017年2年8日追記）。

WADAX共用サーバー（wx系）の「かんたんインストール」で新規にインストールする場合は、対策済みのバージョンとなっています。

新規にインストールされる「WordPress」が最新版の「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

以前のバージョンにおけるセキュリティ脆弱性への対策を行っているバージョンです。
WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1をご利用の場合
自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合
WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。

CMS「WordPress」の旧バージョンにおける脆弱性が悪用され、インターネット上でWebサイトの改ざん被害が多数報告されています。

WordPress配布元でセキュリティアップデートの提供が開始されています。 利用しているバージョンを確認して、対象バージョンであった場合は最新版への早急な更新が推奨されます。

脆弱性対象バージョン

WordPress 4.7.0 / 4.7.1

WordPress 4.7.2 セキュリティリリース

https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

Z.comのサービスにおける対策について（2017年1月26日）

Z.com for WordPress

対策済みバージョンとなる4.7.2へのバージョンアップを行っています。

Z.com レンタルサーバー

cPanelから新規でインストールされるWordPressについては対策済みの4.7.2となっています。既にインストール済みのWordPressはバージョンアップが行われていないため、手動でのバージョンアップが必要です。

自動インストール機能の「WordPress」が最新版「WordPress 4.7.2 日本語版」に対応しました。

WordPress 4.7.2について

旧バージョンにおけるセキュリティ脆弱性への対策が行われています。

WordPress(日本語版)「WordPress 4.7.2 セキュリティリリース」(外部サイト)
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

旧バージョンからのアップデートについて

利用しているバージョンや設定により異なります。

WordPress 4.7 / 4.7.1の場合

自動バックグラウンド更新により、アップデートが進んでいます。

上記以外のバージョン、自動バックグラウンド更新が無効の場合

WordPress管理画面内「ダッシュボード」＞「更新」メニューから更新が可能です。

「WordPress簡単インストール」機能がWordPress 4.7.2に対応しました。 WordPress 4.7.2では、旧バージョンのためのセキュリティリスクの対応が行われています。

既にWordPressを利用している場合

自動アップグレード機能を有効にしている場合は、アップグレードが自動的に行われます。

自動アップグレードを無効にしている場合は、ロリポップ！のマニュアルまたはWordPress Codexのマニュアルを参考にアップグレードを行いましょう。

平成29年3月1日(水)より、スマイルサーバ（共用サーバ）の新プランが提供されます。

「スマイルサーバ（共用サーバ）」は、提供開始より高い安定性と満足度の高いサポートでご好評いただき、安心・安全なレンタルサーバサービスとして多くのお客さまにご愛顧いただいております。 今回、より一層お客さまニーズに沿った利便性の高いサービスを目ざし、プランおよびオプションの見直しを行い、シンプルでわかりやすいラインナップへ刷新いたします。

また、近年、情報セキュリティへの関心が高まっていることからセキュリティ機能を強化するとともに、ご利用いただけるディスク容量を増強することで、多くのビジネスシーンにおいて、より安心・安全かつ安価にご利用いただけるサービスにリニューアルいたします。

リニューアル概要

法人利用に必要な機能を備えた「ベーシックプラン」と、SSL利用が手軽に始められる「SSLセットプラン」の2つのプランとなります。また新プランでは、ファイアウォール及び侵入防止システム（IPS）が標準装備となります。

新プランのラインナップ

スマイルサーバ（共用）　ベーシックプラン

スマイルサーバ（共用）　SSLセットプラン
ベーシックプランにドメイン取得、ドメイン維持管理、SSL証明書をセットとしたプランです。

• 料金

• 主な仕様

ディスク容量|400GB サーバ基本機能|アカウント管理、容量制限機能 ドメイン関連|マルチドメイン（10個/1契約）、DNS基本設定 Web機能|.htaccess、FTP、Perl、PHP、Ruby、Python、SSI、 データベース機能|MySQL、SQLite メール機能|メーリングリスト、メール転送、Webメール機能、SMTP、submission、SMTP　STARTTLS、POP3、IMAP4、POP3S、IMAPS等 インストーラ機能|WordPress アクセスログ機能|アクセスログ提供、アクセスログ解析（Webalizer） セキュリティ機能|ファイヤーウォール、IPS、SMTP Authentication、メールウィルスチェック、迷惑メールフィルタ、FTPアクセス制限機能 サポート|電話サポート（平日10時～12時、13時～18時）、メールサポート、オンラインマニュアル

• オプション

提供開始日

• ベーシックプラン ： 平成29 年3 月1 日(水)より提供開始
• SSL セットプラン ： 平成29 年7 月提供開始予定

現在提供中のプランについて

現在提供中のプランは、平成29年2月28日(火)のお申込み分で新規販売を終了します。