重要なお知らせ
WordPress REST APIへのアクセス制限実施(更新)
2017年2月15日 00時00分
※Contact Form 7のバージョン4.8以降でREST APIが使われるようになりましたため、Contact Form 7のエンドポイント(/wp-json/contact-form-7/以下のパス)へのアクセスは例外として許可するように設定を変更いたしました。
(2017/06/16更新)


WordPressにはREST APIと呼ばれる遠隔クライアントからコンテンツの取得や書き換えを行うことのできるインタフェースが実装されております。(WordPress4.7から)
しかし、WordPress4.7.2未満のバージョンの実装には不具合があり、認証無しに投稿を行うことができる脆弱性が存在します。
WordPress4.7および4.7.1をご利用のお客様は至急4.7.2に更新をお願いいたします。

この脆弱性に対す攻撃も既に行われていることから、REST APIへのアクセスをサーバーの設定で一括して制限する設定を行わせていただきました。
REST APIはWordPressのURLで /wp-json/ 以下の仮想コンテンツとして実装されております。サーバーの設定で /wp-json/ 以下へのアクセスを拒否する設定を行っております。

お客様にてREST APIを利用して外部からコンテンツの更新等を行われる場合にはお手数ですがWordPressを設置したディレクトリのhtaccessに次の内容を追加していただき、アクセス制限を解除してください。
(通常はアクセス制限を解除しないことをお勧めいたします)
  • 日本国内のIPアドレスからのみREST APIへのアクセスを許可する場合
    SetEnvIf FromJP ".*" AllowWPRestAPI
    
  • アクセス元の限定無しにREST APIへのアクセスを許可する場合
    SetEnvIf Request_URI ".*" AllowWPRestAPI
    
REST APIへのアクセス制限を解除される場合は、WordPressが脆弱性の無いバージョンであることをご確認いただき、また、WordPressのアカウント名、パスワードを推測されにくい安全なものにしてご利用ください。

wp-login.phpやxmlrpc.phpへのアクセス制限につきましては以下のアドレスをご参照ください。
http://www.inetd.co.jp/?notice_id=135
最新情報 障害情報
重要なお知らせ
2017年9月19日 13時03分
対象:全てのサービス
重要なお知らせ
2017年9月4日 15時00分
対象:全てのサービス
その他
2017年9月4日 14時50分
対象:全てのサービス
その他
2017年7月25日 17時20分
対象:全てのサービス
その他
2017年6月30日 11時49分
対象:全てのサービス
その他
2017年6月30日 11時28分
対象:全てのサービス
重要なお知らせ
2017年2月15日 00時00分
対象:全てのサービス
重要なお知らせ
2014年3月17日 00時00分
対象:全てのサービス
販売パートナーについて
サイト内検索

▲ このページトップへ