その他
WordPress REST APIへのアクセス制限実施(更新)
2018年12月13日 00時00分
※WordPress5.0の標準エディターをはじめとして、REST APIが多用されるようになってまいりましたため、REST API(/wp-json/以下のアドレス)へのアクセス制限を日本国内のIPアドレスからは解除させていただきました。
WordPressにはREST APIと呼ばれる遠隔クライアントからコンテンツの取得や書き換えを行うことのできるインタフェースが実装されております。(WordPress4.7から)
しかし、WordPress4.7.2未満のバージョンの実装には不具合があり、認証無しに投稿を行うことができる脆弱性が存在します。
WordPress4.7および4.7.1をご利用のお客様は至急4.7.2に更新をお願いいたします。
この脆弱性に対す攻撃も既に行われていることから、REST APIへのアクセスをサーバーの設定で一括して制限する設定を行わせていただきました。
REST APIはWordPressのURLで /wp-json/ 以下の仮想コンテンツとして実装されております。サーバーの設定で /wp-json/ 以下へのアクセスを拒否する設定を行っております。
お客様にてREST APIを利用して外部からコンテンツの更新等を行われる場合にはお手数ですがWordPressを設置したディレクトリのhtaccessに次の内容を追加していただき、アクセス制限を解除してください。
(通常はアクセス制限を解除しないことをお勧めいたします)
wp-login.phpやxmlrpc.phpへのアクセス制限につきましては以下のアドレスをご参照ください。
http://www.inetd.co.jp/?notice_id=135
(2018/12/12更新)
※Contact Form 7のバージョン4.8以降でREST APIが使われるようになりましたため、Contact Form 7のエンドポイント(/wp-json/contact-form-7/以下のパス)へのアクセスは例外として許可するように設定を変更いたしました。(2017/06/16更新)
WordPressにはREST APIと呼ばれる遠隔クライアントからコンテンツの取得や書き換えを行うことのできるインタフェースが実装されております。(WordPress4.7から)
しかし、WordPress4.7.2未満のバージョンの実装には不具合があり、認証無しに投稿を行うことができる脆弱性が存在します。
WordPress4.7および4.7.1をご利用のお客様は至急4.7.2に更新をお願いいたします。
この脆弱性に対す攻撃も既に行われていることから、REST APIへのアクセスをサーバーの設定で一括して制限する設定を行わせていただきました。
REST APIはWordPressのURLで /wp-json/ 以下の仮想コンテンツとして実装されております。サーバーの設定で /wp-json/ 以下へのアクセスを拒否する設定を行っております。
お客様にてREST APIを利用して外部からコンテンツの更新等を行われる場合にはお手数ですがWordPressを設置したディレクトリのhtaccessに次の内容を追加していただき、アクセス制限を解除してください。
(通常はアクセス制限を解除しないことをお勧めいたします)
- 日本国内のIPアドレスからのみREST APIへのアクセスを許可する場合
SetEnvIf FromJP ".*" AllowWPRestAPI
- 特定の国からのみREST APIへのアクセスを許可する場合
アメリカ(US)の場合 SetEnvIf GEOIP_COUNTRY_CODE US AllowWPRestAPI
国別コードはこちらのalpha-2の2文字で指定して下さい。 - アクセス元の限定無しにREST APIへのアクセスを許可する場合
SetEnvIf Request_URI ".*" AllowWPRestAPI
wp-login.phpやxmlrpc.phpへのアクセス制限につきましては以下のアドレスをご参照ください。
http://www.inetd.co.jp/?notice_id=135
