JSNレンタルサーバーからのお知らせです。

Just-Size.Networks ロゴ

新着情報

2017年02月08日

お客様各位

Just-Size.Networks

WordPress 4.7 及び 4.7.1 の脆弱性対策について(2月13日 更新)

平素は、Just-Size.Networksレンタルサーバーをご利用いただき誠にありがとうございます。

WordPress バージョン 4.7 及び 4.7.1 で報告されております、管理画面にログインせずに記事の投稿や編集等の操作が出来てしまう深刻な脆弱性により、多数のウェブサイトで改ざん被害が発生しております。
該当するバージョンのWordPressを設置されているお客様は、直ちにバージョンアップを行っていただけますようお願い致します。

また、過去に設置されて、現在は運営されていないWordPressが公開されたままになっていないか、ご確認をお願い致します。

弊社サービスでは、脆弱性の原因になっている機能「REST API」へのアクセス制限を実施させていただきました。

2017年02月13日 追記

弊社サービスをご利用のお客様が設置されているWordPressでも、改ざんの被害が発生している事を確認致しました。
不正アクセスの可能性があるアクセス元につきましては、確認でき次第、アクセスを遮断しております。

ITmedia エンタープライズ「WordPressサイトの改ざん被害は150万件超に「最悪級の脆弱性」」

http://www.itmedia.co.jp/news/articles/1702/13/news045.html

アクセス制限の内容について

「REST API」のアドレス「/wp-json」へのアクセスを、国内のIPアドレスに制限致しました。
海外からの不正アクセスを減らす対策になりますが、改ざん被害を防止できる対処ではございません為、必ず WordPress 4.7.2 へのバージョンアップをお願い致します。

アクセス制限の影響について

設置されているWordPressにて、外部のアプリやシステムと連携できる機能が「REST API」になります。

今回のアクセス制限により、「REST API」を使用したシステム等が正常に機能しなくなっている可能性がございます。ご利用のお客様には、ご不便、ご迷惑をお掛けしてしまい申し訳ございません。
設定ファイル .htaccess にて、次のように設定していただく事でアクセス制限を回避できます。

SetEnvIf Request_URI ".*" REST_API_Allow

※ WordPressの公式プラグイン「Jetpack」につきましては、アクセス制限の対象外になっております。

ご不明な点などがございましたら、お問い合わせ窓口をご利用ください。

お問い合わせ窓口

https://ssl.just-size.net/form/

お知らせ「WordPress の深刻な脆弱性にご注意ください」

http://www.just-size.net/news/?id=12&year=17

内閣サイバーセキュリティーセンター「WordPressの脆弱性に関する注意喚起」

http://www.nisc.go.jp/security-site/security/20170206.html

ITmedia エンタープライズ「WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害」

http://www.itmedia.co.jp/enterprise/articles/1702/09/news064.html