インフォメーション
【注意喚起】WordPressのパスワードのリセット機能の脆弱性について
平素よりレンタルサーバーヘテムルをご利用いただき、誠にありがとうございます。
特定の条件でWordPressのサイトを運営している場合WordPressのパスワードの
リセット機能の脆弱性をつかれダッシュボード(WordPressの管理画面)のログイン情報を
不正に取得される可能性が確認されました。
以下対象サーバーをご利用で、かつ影響のあるサイトの1.と2.の両方の条件に当てはまる場合は、必ずご対応をお願いいたします。
----------------------------------------------------------------------
■脆弱性の詳細について
脆弱性を利用すると、パスワードリセットメールの受け取り先に関する偽装が可能となります。
ダッシュボード「一般設定」に登録してある、パスワードリセットメールの
送信先メールアドレスが受信できない場合、エラーメールを第三者が指定した
メールアドレスで受け取ることができます。
また、送信先で自動返信設定がされている場合もパスワードリセットメールの本文を
第三者が取得できます。
【影響のあるサイト】
1.独自SSL証明書を設定しているドメイン・サブドメインでWordPressのサイトを運営している
2.ダッシュボード「一般設定」の項目に受信ができないメールアドレスや
自動返信を設定しているメールアドレスを登録している
【影響のある対象サーバー】
webサーバーの番号がftpXXX
番号は、コントロールパネルにログイン後、画面右上にあるWebサーバー番号欄をご確認ください。
■対応方法
・ダッシュボード「一般設定」に正常に受信ができ、かつ自動返信設定をしていないメールアドレスを登録する
・同脆弱性に対応したWordPressの新バージョンがリリースされ次第、アップグレードを行う
>>WordPressのアップグレードについて
----------------------------------------------------------------------
サイトの改ざんを防ぐため、CMSツールやプラグインをご利用の際は
常に最新のバージョンをご利用ください。
また、その他のサイト改ざんへの具体的な対策方法をこちらのページにてご紹介しております。
お客様の大切なサイトを守るために、ご参照の上併せて対策をお願いいたします。