セキュリティ対策 | ネオワーカーズサポートサイト

2022/08/26

このページはMovableTypeご利用の方が対象です

このページは、2022年08月26日に作成したページです。
このページに掲載しているMovableTypeの仕様・機能・操作手順は、現在リリースされている最新バージョンのMovableTypeと異なる場合がございます。

このページに掲載している MovableTypeのバージョン:: MovableType4.0以上

Movable type 4.0 以上（Advanced、Premium も含む)にて緊急性の高いセキュリティ上の問題（脆弱性）が確認され、提供元のシックスアパート社により脆弱性対策の施された修正版（Movable Type 7 r.5301、Movable Type 6.8.7、Movable Type Premium 1.53）がリリースされました。

[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）

脆弱性の内容

コマンドインジェクションの脆弱性 (CWE-74) が存在します。Movable Type の XMLRPC API に、細工したメッセージを POST メソッドで送信することで、任意の Perl スクリプトを実行可能であり、これを通じて OS コマンドの実行も可能です。開発者によると、本脆弱性を悪用してもコマンドの引数に任意の値を与えて実行することはできないとのことです。

XMLRPC APIとは

XMLRPCとは、簡単に言うとXML形式のデータをHTTP通信でやり取りをする為のAPI(アプリケーション・プログラミング・インターフェイス ※)です。

※アプリケーション、ソフトウェアとプログラムを繋ぐ仕組み

Movable TypeのXML-RPC APIについて詳しくは、こちらをご覧ください。

対象となるMovableType

r.5202、6.8.6、Premium 1.52 以前のすべてのバージョン

Movable Type (Advanced) 7 r.4207 - r. 5202
Movable Type (Advanced) 6.0.0 - 6.8.6
Movable Type Premium (Advanced Edition) 1.0 - 1.52

この脆弱性は Movable Type 4.0 以降のすべてのバージョンに存在します。

MovableTypeバージョン毎の対策

MovableType7系ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 7 r.5301にアップデートしてください。

Movable Type 7 r.5301は当セキュリティ問題のほか、多数の修正および機能改善を行っているそうです。

Movable Type 7 r.5301 リリースノート

MovableType6.5.x以降ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 6.8.7　にアップデートしてください。

Movable Type 6.8.7は、 2022年 5月19日にリリースした Movable Type 6.8.6 向けパッチを含むセキュリティ問題の修正のみの対応しているそうです。

Movable Type 6.8.7 リリースノート

MovableType4以降～MovableType6.3.x以前ご利用の方

既にサポート終了しているバージョンの為、MovableTypeからアップデート版のリリースはありません。
次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。

mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する

対策作業について

ご利用中のMovableTypeバージョンに該当する対策を実施してください。

保守契約をご利用のお客様または納品後3か月以内のお客様

ご利用中のMovableTypeが7又は6.5.x以降の場合

当社でアップデート作業を行います。(追加費用なし)

ご利用中のMovableTypeが6.3.x以前の場合

暫定処置として、アップデートがすぐに行えない場合の対処方法を当社で行います。(追加費用なし)

納品後3か月以上のお客様で保守契約をご利用されていないお客様

ご利用中のMovableTypeに応じた対策をお客様で行ってください。

当社が代行して行う事も出来ますが、別途費用が必要となります。
※費用はお客様毎によって異なりますので、見積依頼をしてください。

このページの関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

WordPress ・プラグインアップデート

LAST UPDATE 2021/09/10

このページはWordPressご利用の方が対象です

このページは、2021年09月10日に作成したページです。
このページに掲載しているWordPressの仕様・機能・操作手順は、現在リリースされている最新バージョンのWordPressと異なる場合がございます。

WordPressバージョンとPHPバージョンの関係

リリースされるWordpressは、現在ご利用中のサーバーにインストールされているPHPが古いバージョンの場合、インストールできない場合があります。

現在利用中のサーバーにインストールされたPHPで、アップグレードできるWordpressバージョンは、WordPressバージョンとPHPバージョンの対応表をご確認ください。

動作するPHPバージョンではない場合

WordPressの更新をした際に、現在ご利用中のサーバーにインストールされているPHPが古い為、特定バージョン以上のWordpressにアップグレードできない場合は、インストールされているPHPで動作するWordPressバージョンまでは、アップグレードされますが、次の様に表示されます。

推奨する対応

脆弱性が発覚していないWordpressバージョンをご利用する分には、特に問題はございませんが脆弱性が発覚したWordpressバージョンを使い続ける事は危険です。

使用しているWordPressに脆弱性が発覚しているか確認するには、JVN iPediaのサイトで確認してください。

使用しているWordPressに脆弱性が発覚している場合は、最新のWordpressバージョンを利用する為に、サーバー側の対応が必要となります。

上位VerのPHPへ切り替えが可能な場合

サーバーによっては、使用できるPHPバージョンが選択できる機能がございます。

一番新しいPHPバージョンに切替をする事をお勧め致します。

上位VerのPHPへ切り替えができない場合

利用中のサーバー事業者にPHPバージョンのアップグレードが出来ないかご相談ください。

アップグレードが出来ない場合は、別のサーバーへの乗り換えをご検討ください。

推奨するPHPバージョンではない場合

最新のWordPressが動作しても、PHPが推奨バージョンよりも低い場合は、次の様に表示されます。

推奨バージョンよりも低いPHPバージョンであった場合でも、動作バージョンのWordPressはインストールできます。

但し、そのWordPressに合わせてアップグレードされた一部のプラグインが動作しない事がございます。

また、近い将来リリースされるWordPressバージョンで動作対象から外れる事が予測できますので、緊急ではありませんが最新のPHPバージョンへの切替(切替不可の場合は、サーバー乗り換え)を計画してください。

WordPressバージョンとPHPバージョンの対応表

WordPress バージョン	動作する PHPバージョン	推奨される PHPバージョン	WordPress リリース日
4.0	5.2.4 ～ 5.6	5.6以上	2014年9月4日
4.4～4.6	5.2.4 ～ 7.0	5.6以上	4.4 - 2015年12月8日 4.5 - 2016年4月12日 4.6 - 2016年8月16日
4.7 ～ 4.8	5.2.4 ～ 7.1	7.0以上	4.7 - 2016年12月6日 4.8 - 2017年6月8日
4.9.0～4.9.4	5.2.4 ～ 7.2	7.0以上	4.9 - 2017年11月15日
4.9.5 ～ 4.9.x	5.2.4 ～ 7.2	7.2以上	4.9.5 - 2018年4月3日
5.0 ～ 5.1	5.2.4 ～ 7.3	7.3以上	5.0 - 2018年12月6日 5.1 - 2019年2月21日
5.2	5.6.2 ～ 7.3	7.3以上	5.2 - 2019年3月7日
5.3 ～ 5.4	5.6.2 ～ 7.3	7.3以上	5.3 - 2019年11月12日 5.4 - 2020年3月31日
5.5	5.6.2 ～ 7.4	7.4以上	5.5 - 2020年8月11日
5.6	5.6.2 ～ 8.0	7.4以上	5.6 - 2020年12月8日
5.7 ～ 5.8	5.6.2 ～ 8.0	7.4以上	5.7 - 2021年3月9日 5.8 - 2021年7月20日

このページの関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

サイトの動作確認

LAST UPDATE 2021/01/08

公開前の動作確認URLにアクセスしたら表示される認証

サイトの開発中や、制作完了時などに、その制作物をお客様に確認していただく為に、テストサーバーや本番環境にアップロードしたURLをご確認していただきます。

その際に、そのURLをクリックすると、IDとパスワード入力を求められ正しいID・パスワードを入力しないとアクセスできない事があります。

その場合は、事前にBasic認証情報をお知らせしますので、お知らせした情報でログインしてください。

Basic認証とは

BASIC認証とはサーバー上の機能で、設定をすれば特定のディレクトリに対してパスワードロックをかけることができます。

BASIC認証でロックをしたコンテンツはIDとパスワードが合致しなければ閲覧することができないため、公開前のサイトや特定の人だけに見せたいサイトなどに使用します

ログイン方法

ブラウザによって、ログイン画面のデザインに違いはありますが、ログイン方法は同じです。

お知らせしたBasic認証情報に記載のユーザーID、パスワードをコピーして、入力欄にペーストしてログインください。

必ず、コピー&ペーストで入力

必ず、コピー&ペーストで入力してください。

コピー&ペーストを使う事で、入力ミスによるログインエラーを防ぐ他、キーロガー対策(入力した文字を監視するスパイウェア)にもなります。

ログインできない場合

ログインに失敗すると上の画像の様な、エラー画面が出て先に進む事が出来ません

コピー&ペーストで入力しているのに、エラー画面となる場合は次の原因が考えられます。

ユーザーIDとパスワードが逆。又は両方ともユーザーID
ユーザーID、パスワードの前又は後ろに半角スペースが入っている

このページの関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

LAST UPDATE 2021/01/08

常時SSL化をお勧めする訳

従来のHTTP通信は、訪問者に送信するデータを平文(暗号化されていない状態)のまま送信します。この方式では盗聴・盗聴からのデータ改竄、悪意のあるサイトへの誘導、ウェブサイトのなりすましなどの被害の糸口となります。

昨今はより生活におけるインターネットの依存度が高くなった影響で、運営側・訪問者双方に対する被害も急増しており、手口も巧妙になって来ております。

SSLは、サーバーと訪問者間の通信を暗号化し、サーバーの正当性を証明する事で、より安全な通信を実現します。SSL証明書をご利用中のサーバーにインストールする事で、常時SSL化ウェブサイトとして運営する事ができます。

SSL証明書について詳しくはこちら

常時SSL化によって、全ての被害を防ぐ事は出来ませんが、ウェブサイトの脆弱性対策として有効です。未だSSL化されていないウェブサイトを運営されているお客様がおりましたら、是非常時SSLをご検討ください。

SSLを導入されていないお客様向けに、常時SSL化設定代行サービスをご用意しております。ぜひご検討ください。

常時SSL化設定代行サービスについて

常時SSL化とは

ウェブサイトの一部コンテンツだけに、SSLを導入するのではなくサイト全体にSSLを導入する事です。

数年前まで、SSL証明書を導入するウェブサイトは問い合わせフォームや、アンケートフォームなどフォームを設置したサイトの限られたコンテンツのみに導入するのが、通常でした。

ウェブサイト全体にSSLを導入するサイトは、ECサイトやグループウェアなどサイト全体がセキュアである必要があるウェブサイトくらいでしたが、昨今はどんなサイトでも、サイトのどのページでもSSL通信すべきという傾向にあります。

今やウェブサイトに常時SSL化は欠かせない。その訳は?

常時SSL化がウェブサイトの標準となったのは、2018年7月に公開されたGoogleのブラウザ「Chrome68」がきっかけです。既に世界シェア一位の座にあるブラウザの、このバージョンでは全てのHTTP通信(SSL暗号化されていない)ウェブサイトに対し、「保護されていない通信」と表示される様になりました。

他のブラウザもこれに倣い、SSLで無いウェブサイトに対してアドレスバーに何らかの警告を出す様になりました。

各ブラウザの警告

google chromeの場合

FireFoxの場合

MicroSoft Edgeの場合

SEO対策への影響

常時SSL化が普及したきっかけは、常時SSL化にすればSEO対策になるという噂が流れた事も原因かと思われます。

確かにgoogleは、HTTPS対応したウェブページを優遇するというコメントを出しています。

(参考)開発者向けのブログでのコメント

但し、これはインターネット全体を安全にする為の、グーグルからの飴であり単なる基準の一つに過ぎません。

このページの関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る

一覧に戻る

Tag Archive セキュリティ対策

このページはMovableTypeご利用の方が対象です

脆弱性の内容

XMLRPC APIとは

対象となるMovableType

MovableTypeバージョン毎の対策

MovableType7系ご利用の方

MovableType6.5.x以降ご利用の方

MovableType4以降～MovableType6.3.x以前ご利用の方

対策作業について

保守契約をご利用のお客様または納品後3か月以内のお客様

ご利用中のMovableTypeが7又は6.5.x以降の場合

ご利用中のMovableTypeが6.3.x以前の場合

最新版のMovableTypeにアップデートする場合

納品後3か月以上のお客様で保守契約をご利用されていないお客様

このページの関連記事

このページはWordPressご利用の方が対象です

WordPressバージョンとPHPバージョンの関係

動作するPHPバージョンではない場合

推奨する対応

上位VerのPHPへ切り替えが可能な場合

上位VerのPHPへ切り替えができない場合

推奨するPHPバージョンではない場合

WordPressバージョンとPHPバージョンの対応表

このページの関連記事

公開前の動作確認URLにアクセスしたら表示される認証

Basic認証とは

ログイン方法

必ず、コピー&ペーストで入力

ログインできない場合

このページの関連記事

常時SSL化をお勧めする訳

常時SSL化とは

今やウェブサイトに常時SSL化は欠かせない。その訳は?

各ブラウザの警告

SEO対策への影響

このページの関連記事

カテゴリー