皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた件に関しては『経済産業省』からも注意喚起が出ておりますので、今日はそれについてお伝えします。

EC-CUBE2系でクレカ情報流出被害増加

『EC-CUBE』の中でも『EC-CUBE2系』において特に発ししている事象として、セキュリティ対策などが十分に行われていないECサイトにおいて改ざんがされ、攻撃を受ける可能性があるとされています。

・正しいインストール環境設定

・EC-CUBEの既知の脆弱性修正対策

・利用しているサーバーのセキュリティ対策

・ECサイトの管理画面のセキュリティ対策

・同じ環境に設置されている他のCMSのセキュリティ対策

これらが十分に行われているかが重要であるとしています。

具体的な確認と対策方法に関しては、

・/data ディレクトリや /install などのディレクトリが運用環境で公開されてしまっていないかを確認し、公開されてしまっている場合には /install の削除、 /data ディレクトリへのアクセス制限を行う。

・過去にEC-CUBEより発表された脆弱性が修正されていない場合は修正を行う。

・管理画面のURLが /admin/ など推測されやすいURLになっている場合、それを推測されにくいものに修正する。

・IP制限やBasic認証をかけるなどし、管理画面へのアクセス制限行う。

・利用しているサーバー、CMSなどのセキュリティが担保されているかや、そのサーバーのOSやミドルウェアの脆弱性対応がされているかを確認する。

・WordPressなどのCMSなどにおいてデータベース接続を行うアプリケーションをインストールしている場合、アプリケーションのプラグインの脆弱性対応がされているかを確認する。

これらの確認が必要になってきます。

また、自社内での確認、対策などが困難な場合はインテグレートパートナーに相談するなどして対応するよう呼び掛けています。

今回のリリースは6件のセキュリティ問題を修正した『セキュリティリリース』となります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、『WordPress』の更新版『WordPress 5.2.4』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.2.4セキュリティアップデート

さて、今回のリリースは『WordPress 5.2.3以前のバージョン』で影響を受けるとされる『セキュリティリリース』となります。

『すぐにサイトを更新することを強くお勧めします』といったコメントは特別ありませんでしたがアップデートすることが無難でしょう。

以下、アップデートの内容です。

・格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題が発見された件の修正

・認証されていない投稿を表示する方法が見つかった件の修正

・JavaScriptをスタイルタグに挿入する格納型XSSの作成方法が発見された件の修正

・Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法が見つかった件の修正

・URLの検証方法でサーバーサイドリクエストフォージェリが発見された件の修正

・管理画面のリファラーバリデーションに関連する問題を発見された件の修正

以上のようになっています。

いつもの通り、早めの段階で『WordPress 5.2.4』へアップデートされることがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた話し、アップデートは『WordPress 4系』から行われたようですが、『WordPress』のアップデートはバージョンが結構離れている場合には注意した方が良いです。

WordPressはまめにアップデートを

この方の場合、個別ページなどでのタイトルは表示され、記事本文が見られなくなってしまったということですので、『データベース』のアップデートがうまくいかなかったのだと思われます。

これはコメントを返信されている方の回答にもある通り、新・旧間において『エクスポート』『インポート』をされた方が早いかもしれません。

それを手助けしてくれるツールとして、プラグインの『All-in-One WP Migration』というものが紹介されています。

これとは別で、『表示が崩れてしまった』ものを見たことがあります。

かなり昔の話しですが、『WordPress 2系』から『WordPress 4系』へのアップデートではなかったでしょうか。

テスト的に行ったアップデート後の『WordPressサイト』は見事に表示が崩れていました。

ただし、この『WordPressサイト』は結構手の込んだことをやられていたようで、結果的にお客様がアップデートをされない選択をされたと記憶しています。

（相応にコストが掛かるためリニューアルした方が良い。）

これらのように『WordPress』のアップデートにおいてバージョンが結構離れてしまっている場合にはトラブルが発生する確率が高まります。

それよりは『WordPress』をまめにアップデートされる方が無難ですし、脆弱性が修正されていることからセキュリティ的にも安全になりますのでお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、最近では利用者も増えてきている『パブリックDNS』ですが、この利用（設定）方法、使用している端末側のDNSを手動設定する方法を優先的に書かれていることが多いようですが、実際にはルータの設定を変更してしまった方が効果的です。

（※　前提として、回線業者提供のレンタルルータによっては変更できない状態になってしまっているものもありますので変更可能な場合に限られます。）

パブリックDNSはルータを変更する

設定方法は簡単です。

ルータの管理画面にログインし、DNS（ネームサーバ）に関する項目を見つけてください。

そこは通常『自動取得（サーバから割り当てられたアドレスを使用する）』設定になっていると思いますが、それを手動設定に変更してしまうだけです。

（※　社内的に変更して良いかは確認する必要があります。）

『IPv4』と『IPv6』の両方が変更可能なのであれば両方とも変更してしまって問題ありません。

『IPv4』しかなければ『IPv4』のみで大丈夫です。

この部分の『プライマリDNS』と『セカンダリDNS』に各社が提供しているパブリックDNSの『IPアドレス』を入れてあげればOKです。

（Windows PCなどの端末側への手動設定と同じです。）

その際、Windows PCなどの端末側のDNS設定も手動設定したものを残した方が効果的な場合がありますので、気にならないのであればそのまま残しておくことがお勧めです。

たったこれだけで結果的には回線速度の向上がかなり期待できます。

ただし、回線業者の地域網における回線速度は低下する可能性があります。

しかし、これは低下しても問題ありません。

低下したとしてもインターネットの回線速度より地域網の回線速度の方が遅くなることはなく、実際に重要なのは地域網の先のインターネット回線速度です。

インターネットの回線速度が気になる方、一度試してみてください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、WordPressの更新版であるWordPress4.9.7が公開されました。

今日はそのニュースをお伝えします。

WordPress3.7以降のすべてに向けたリリース

WordPressのブログニュースを見ると、今回のリリースもWordPress3.7以降のすべてのバージョンのセキュリティ及びメンテナンスリリースで、直ぐにWordPressをアップデートをすることが強く推奨されています。

また、WordPress4.9.6以前では、特定の権限を持つユーザーがuploadsディレクトリ外のファイルを削除しようとするメディアの問題の影響を受ける可能性があるともされています。

これ以外にも、

・用語クエリのキャッシュ処理の改善

・ログアウト時の投稿パスワードのCookieのクリア・

・ウィジェット管理画面のサイドバー説明に基本的なHTMLタグを許可する

など、17のバグ（不具合）修正も行われています。

いつもながら、マイナーアップデートが自動更新になっている場合はそのまま自動的に更新がなされます。

ただし、以前にもご紹介した通り、『WordPress4.9.3』において自動バックグラウンド更新をサポートするサイトが自動的に更新されないというバグ（不具合）があったため、手動で4.9.4以降にアップデートされていない場合は自動更新されることはないと思われますので、念のため管理画面で確認をしておくことをお勧めします。

マイナーアップデートも自動更新を『オフ』にしている場合は早めにアップデートされることがお勧めです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

WordPressを使ったウェブサイトで、マイナーアップデートの自動更新機能をオンにしている方（デフォルトはオン）は普段気にされないかもしれませんが、今回は気にする必要性があります。

※　デフォルトでの設定は、マイナーアップデートはオン、メジャーアップデートはオフです。

WordPressのバックグラウンド更新サポートにバグ（不具合）が出てしまいました。

WordPress4.9.3で見つかった嫌な不具合

WordPressは現在、4年程前のバージョン3.7からサポートされたマイナーアップデートの自動更新機能がデフォルトで備わっているため、通常であればバグ（不具合）修正やセキュリティメンテナンスを自動で更新してくれます。

しかし、昨日リリースされた『WordPress4.9.3』にて、自動バックグラウンド更新をサポートするサイトが自動的に更新されないというバグ（不具合）が出てしまいました。

それにより、管理画面にログインして『WordPress4.9.4』に手動で更新する作業が必要になります。

これを行わなかった場合はどうなるのか？

WordPress4.9.3のバージョンでストップしたまま、その後はバグ（不具合）修正もセキュリティメンテナンスも適用されないことになります。

これを放置しておくと脆弱性をつかれてしまう可能性も出てくることになりますので、今直ぐ『WordPress4.9.4』へ手動で更新した方が良いでしょう。

万が一のため、データベースなどのバックアップを予め行ってから実施されることをお忘れなく。

保守管理をウェブ制作業者さんにお任せされている方はウェブ制作業者さんにご確認を。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては昨日、WordPressの更新版WordPress4.8.2が公開されました。

今日はそのニュースをお伝えします。

WordPress4.8.1以前は影響を受ける

WordPressのニュースを見ると、以下のことが書かれています。

WordPress 4.8.2 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

（WordPress 4.8.2が利用可能になりました。これは以前のすべてのバージョンのセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。）

WordPress versions 4.8.1 and earlier are affected by these security issues.

（WordPressバージョン4.8.1およびそれ以前のバージョンは、次のセキュリティ問題の影響を受けます。）

これに続き、9つの影響内容が書かれており、SQLインジェクションの脆弱（ぜいじゃく）性と複数のクロスサイトスクリプティング（XSS）の脆弱性に対する修正が行われています。

これらの脆弱性が悪用された場合、Webサイトをリモート制御されてしまう可能性もあるとしているセキュリティ機関もあります。

WordPressの更新を自動更新にしている場合は自動的にメンテナンスされますが、自動更新を停止している場合はすぐに更新をされることをお勧めします。

また、自動更新にしている場合であっても管理画面にログインし、アップデートの確認だけはされた方が良いでしょう。

しかし、注意しなければいけないこともあります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

最近では、WordPressなどのCMSをレンタルサーバ側にて用意してくれているところも多くあります。

また、それらの管理画面へのログインに対して『海外からのログインを制限する』といったボタンを用意してくれているところもあります。

しかし、これに関しては注意しなければいけないこともあります。

海外からのログインを制限する上での注意

WordPressなどのCMSで作られたウェブサイトが攻撃を受ける場合、多くは海外からのものにはなります。

それを回避するために海外からの管理画面へのログインを制限してしまうことを行うわけですが、海外のキャッシュサーバ、CDNなどを使っている場合においては注意が必要です。

例えば、レンタルサーバ側に海外からのログインを制限する項目があったとして、それを有効にしているとします。

この場合、多くはwp-login.phpと/wp-admin/に対して制限がかかるわけですが、前述のように海外のCDNなどを使っていた場合においては問題が起きるケースがあります。

ユーザー名、パスワード、（認証コード）を入れてログインボタンを押した際、wp-login.phpのGET POST処理が走り、この時に問題は起きます。

403エラーとなってしまうことがあるのです。

通常、海外のCDNなどを使っていて、そのIPアドレスが海外のものであったとしても物理的な場所は日本であったりもします。

しかし、これがローテーションで物理的な場所が日本以外のIPアドレスとなった場合、403エラーになるわけです。

403エラーに対する対処法

この場合、一番手っ取り早いのは海外からの管理画面へのログイン制限をオフにすることですが、どうにもすべてを可能な状態にしておくのも少々不安であるとも思えます。

ではどうするか？

.htaccessなどにwp-login.phpファイルにおけるGET POST処理を制限する記述を加えます。

<Limit GET POST>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from xxx.xxx.xxx.xxx
</Limit>

allow from xxx.xxx.xxxの部分はCDNなどにて使われるIPアドレスをすべて記述していきます。

これでCDNなどの物理的なIPアドレスが海外であったとしても問題なく、それ以外のIPアドレスからは制限されることになります。

そしてもう1つ、一番簡単な方法としては記事を投稿するなど管理画面にログインしなければいけない時だけ海外からの管理画面へのログイン制限をオフにし、作業が終わったらオンに戻すといったことであればもっとシンプルではあります。

ただし、この方法はオンに戻すことを忘れてしまった場合のリスクはありますので注意が必要です。

皆さん、こんにちは。

業務コンサルタントの高橋です。

WordPressを使っているウェブサイトやブログサイトは、海外から管理画面に不正アクセスされるなどの被害が結構あります。そこで、このような対策をしておくと良いです。

WordPress管理画面へのログインを拒否

海外からWordPressの管理画面に不正アクセスされないよう、日本国内のIPアドレスのみを許可し、海外のIPアドレスを拒否する設定を『.htaccess』ファイルに記述します。

対象は、wp-login.phpファイルとwp-adminディレクトリ

wp-login.phpを日本国内のIPアドレスのみにする記述例として、

<files wp-login.php>

order deny,allow
deny from all

allow from 1.0.16.0/20
.
.
.
</files>

日本国内に配布されているIPアドレスのリストを全て記述しておき、WordPressが設置されているルートディレクトリに.htaccessファイルを設置します（wp-login.phpと同じ階層）。

また、wp-adminディレクトリ部分に関しては、

<files ***>
</files>

のファイル指定を除いた部分を記述した.htaccessファイルを設置しておきます。

日本国内のIPアドレスリストは、

http://ftp.apnic.net/stats/apnic/

https://www.nic.ad.jp/ja/ip/list.html

などから取得できます。

上記のような措置を施しておくことにより、日本国内のIPアドレス以外、つまり海外のIPアドレスからは管理画面にアクセスできないことになりますのでお勧めです

ただし、最近はホスティング会社側にてこういった対処をしてくれているホスティング会社もありますので、その場合はこういった記述は必要ありません。