重要なお知らせ
WordPress REST APIへのアクセス制限実施(更新)
2017年2月15日 00時00分
※一部のhtaccessによるアクセス制限に影響が生じておりましたため、制限設定を修正させていただきました。
制限解除の方法が変更になっておりますので以下再度ご確認をお願いいたします。
(2017/02/19更新)


WordPressにはREST APIと呼ばれる遠隔クライアントからコンテンツの取得や書き換えを行うことのできるインタフェースが実装されております。(WordPress4.7から)
しかし、WordPress4.7.2未満のバージョンの実装には不具合があり、認証無しに投稿を行うことができる脆弱性が存在します。
WordPress4.7および4.7.1をご利用のお客様は至急4.7.2に更新をお願いいたします。

この脆弱性に対す攻撃も既に行われていることから、REST APIへのアクセスをサーバーの設定で一括して制限する設定を行わせていただきました。
REST APIはWordPressのURLで /wp-json/ 以下の仮想コンテンツとして実装されております。サーバーの設定で /wp-json/ 以下へのアクセスを拒否する設定を行っております。

お客様にてREST APIを利用して外部からコンテンツの更新等を行われる場合にはお手数ですがWordPressを設置したディレクトリのhtaccessに次の内容を追加していただき、アクセス制限を解除してください。
(通常はアクセス制限を解除しないことをお勧めいたします)
  • 日本国内のIPアドレスからのみREST APIへのアクセスを許可する場合
    SetEnvIf ForeignCountry "^$" AllowWPRestAPI
    
  • アクセス元の限定無しにREST APIへのアクセスを許可する場合
    SetEnvIf Request_URI ".*" AllowWPRestAPI
    
REST APIへのアクセス制限を解除される場合は、WordPressが脆弱性の無いバージョンであることをご確認いただき、また、WordPressのアカウント名、パスワードを推測されにくい安全なものにしてご利用ください。

wp-login.phpやxmlrpc.phpへのアクセス制限につきましては以下のアドレスをご参照ください。
http://www.inetd.co.jp/?notice_id=135
最新情報 障害情報
重要なお知らせ
2017年2月15日 00時00分
対象:全てのサービス
重要なお知らせ
2017年2月1日 17時00分
対象:全てのサービス
重要なお知らせ
2017年1月11日 10時25分
対象:全てのサービス
重要なお知らせ
2014年3月17日 00時00分
対象:全てのサービス
販売パートナーについて
サイト内検索

▲ このページトップへ