月別アーカイブ: 2017年5月

BestWebSoft製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性

WordPressで人気のプラグインの一種であるBestWebSoft製 複数のプラグインにおいて、クロスサイトスクリプティングの脆弱性が発表されました。

■JVN#24834813
複数の BestWebSoft 製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性
 http://www.jpcert.or.jp/at/2017/at170006.html

エクスクラウドのWordPressホスティングでもセキュリティ対策の一環として、ログイン二重認証の実装をBestWebSoft製プラグイン『Captcha』を用いて実装しておりますが、『Captcha』は2017年4月14日に公開されておりますバージョン4.3.0以降では脆弱性の影響を受けないものとなります。

なお、WordPressホスティングではご契約時に最新バージョンのプラグインが適用されるようになっておりますが、2017年4月14日以前にご契約をされた環境はWordPress管理画面より手動でバージョンアップ作業が必要となっております。

コンテンツの改ざん被害の恐れがありますので、『Captcha』をご利用のお客様は、以下を参考にバージョンアップを行ってください。

■プラグインアップデート方法

WordPress管理画面 > プラグインメニューに『Captcha by BestWebSoft』があり、バージョンが4.3.0以前であれば更新のリンクからアップデートいただけます。

標準設定ではプラグイン更新時にkusanagiユーザーの認証情報が必要です。
入力する情報が不明の場合は以下ガイドも合わせて参照ください。

関連ガイド:プラグインやテーマを新規にインストール/削除したいのですが接続情報がわかりません

プラグインやテーマを新規にインストール/削除したいのですが接続情報がわかりません【WPH】

本脆弱性以外にも、脆弱性のあるプラグインを悪用されるケースや、 また簡易なパスワードを利用している場合に悪用されるケースも ございますので併せてセキュリティ対策をお願いします。

また、WordPressホスティングでは標準でWAFの提供も行っておりますので、まだお申し込みをされていないお客様はWAFの利用もご検討ください。

■WordPressホスティングやクラウドVPSのWAFはどういう仕組みが採用されますか【WPH】【VPS】
https://ex-cloud.jp/support/question/q-791

■オプションについて(申し込み方法)【WPH】
https://ex-cloud.jp/support/question/g-791#waf