インフォメーション
平素はヘテムルをご利用いただき誠にありがとうございます。
この度、WordPress のプラグイン「All in One SEO」について
脆弱性が確認され修正版が公表されました。
ヘテムルでも WordPress を多くのお客様にご利用いただいているためご案内いたします。
脆弱性の概要としては、サイト攻撃者によるサイトの乗っ取り、データベースに記録された
情報の盗み出しなどの恐れがあるという内容です。
SUCURIでの報告(英語サイト)
■ 対象となるお客様かどうかの確認方法
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
WordPressのダッシュボードにログインした際、「プラグイン」の一覧に
「All in One SEO」があり影響を受ける以下バージョンとなっているかご確認ください。
■ 脆弱性の影響を受けるバージョン
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
All in One SEO 4.0.0 から 4.1.5.2
■ 対応方法
 ̄ ̄ ̄ ̄ ̄ ̄
該当プラグインのアップデート
・WordPressの管理ページ(ダッシュボード)にログイン後、「プラグイン」の項目で
最新バージョン 4.1.5.3 へのアップデートを行ってください。
セキュリティプラグインの導入
・「プラグイン」>「新規追加」から、Wordfence等のセキュリティプラグインを
追加していただくなど、セキュリティの強化をお願いいたします。
WPScanによる定期的な脆弱性チェック
・WPScanを利用することでWordPressサイトの脆弱性チェックを行うことができます。
なお、CMSツールやプラグインのご利用については脆弱性によるサイトの
不正利用や不正ファイル設置を防ぐため、常時最新のバージョンをご利用ください。
ヘテムルでも安心してご利用いただけるようサービスの提供に努めてまいります。
大切なサイトへの被害を防ぐため、ご確認、ご対応をお願い申し上げます。
平素はヘテムルをご利用いただき、誠にありがとうございます。
冬季期間中のサポート期間は、下記の通りとなります。
ご不便をおかけいたしますが、何卒ご理解の程よろしくお願いいたします。
【 サポート対応の休業期間 】
◆ 年末年始 休業期間
メールサポート
2021年12月30日(木)〜 2022年1月3日(月) まで
電話サポート
2021年12月28日(火)13時 〜 2022年1月3日(月) まで
設定おまかせサポート・ホームページ制作サービス
2021年12月27日(月)17時 〜 2022年1月3日(月) まで
データ取得申し込み
2021年12月28日(火)〜 2022年1月3日(月) まで
※ サーバー監視業務は通常通り 24 時間対応いたします。
【 冬季期間中のご利用料金のご入金について 】
◆ 銀行振込
銀行振込の年内最終受付は 12月28日(火)正午分までとなります。
それ以降の入金は、2022年1月4日(火)からの確認となります。
2021年12月28日(火)午後 〜 2022年1月3日(月) にご入金を行われたい方は
「おさいぽ!」または「クレジットカード決済」にてお願いいたします。
≫『契約更新方法』はこちら
入金処理が混雑する可能性がございますので、
支払い期限と重なる場合は、お早めにお支払いいただきますよう
お願いいたします。
◆ クレジットカード決済
年末年始問わず決済が可能です。
お急ぎの場合はクレジットカード決済を推奨いたします。
【 独自SSL の新規・更新のお手続きについて 】
グローバルサイン社の証明書発行業務につきましても
年末年始で休業期間がございます。
年内に新規・更新手続きを希望される場合は、お早めに
お手続きいただきますようお願いいたします。
詳細は下記ページをご確認ください。
≫独自SSLについて
今後ともヘテムルレンタルサーバーをよろしくお願いいたします。
平素はヘテムルをご利用いただき、誠にありがとうございます。
年末年始の独自SSL証明書の新規発行・更新に関しましてご案内いたします。
<独自SSL証明書の新規発行・更新を年内にご希望の場合>
お申込みの独自ドメインによっては詳細な審査が必要となる場合がございます。
弊社及びグローバルサイン社に年末年始に休業期間がございますので、その期間は審査などが行われません。
年内に新規発行・更新が必要な場合はお早めにお手続きを完了いただきますようお願いいたします。
◆ 独自SSL 年末年始 休業期間
2021年12月28日(火) 〜 2022年1月3日(月)
※年末年始対応期間に独自SSLのお申込み後、証明書発行審査が必要な場合、
【 2022年1月4日(火)】より審査が開始されますのでご留意ください。
お手続きの方法は、下記ページをご確認いただきますようお願いいたします。
≫独自 SSL 設定マニュアル
≫独自 SSL の更新方法
年末年始の休業期間の詳細については、下記ページを併せてご参照ください。
≫グローバルサイン社:年末年始の営業についてのご案内
≫年末年始のサポート体制及び入金に関するお知らせ
お客様にはご不便をおかけいたしますが、何卒ご理解のほどよろしくお願いいたします。
平素はヘテムルをご利用いただき誠にありがとうございます。
このたび、Movable Type 4.0 以上のバージョン(Advanced、Premium も含む)で
第三者による任意のOSコマンドを実行できる可能性のある脆弱性が報告されています。
なお、開発元のシックス・アパート社で脆弱性に対応した修正バージョンが
公開されていましたが、修正が不十分であったため、新たなセキュリティアップデートが
リリースされています。
[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート) | Movable Type ニュース
対象の Movable Type をご利用中の場合、以下セキュリティ対策をお願いいたします。
■ 対象 Movable Type
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
Movable Type 4.0 以上(Advanced、Premium も含む)が対象
■ 対策方法
 ̄ ̄ ̄ ̄ ̄ ̄
発見されたセキュリティ問題を解消した修正バージョンへアップデートください。
Movable Type の最新バージョンへのアップデート手順については
シックス・アパート社提供のドキュメントサイトをご活用ください。
Movable Type 7 をアップデートする
旧バージョンから Movable Type 7 へアップグレードする
ご利用バージョンによりアップデートが難しい場合には以下内容をご確認ください。
古い Movable Type を利用していてアップデートがすぐに行えない場合の対処方法について
お客様の大切なホームページへの被害を防ぐため、Movable Type をご利用のお客様は
早急なご確認とご対応をお願いいたします。
平素はヘテムルをご利用いただき誠にありがとうございます。
Javaのロギングライブラリーの1つである「Apache Log4j(バージョン2)」に任意のコード実行の脆弱性(CVE-2021-44228)が報告されております。
ヘテムルではこの脆弱性の影響がないことを確認しておりますのでご安心ください。
なお、この脆弱性は特定の文字列をログに記録させることで任意のコードを外部から実行できる危険性があります。詳細は下記のCVEやIPA/情報推進処理機構のアナウンスをご参照ください。
▽CVE-2021-44228 - CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
▽Apache Log4j の脆弱性対策について(CVE-2021-44228) - IPA/情報推進処理機構
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
今後ともヘテムルをよろしくお願い申し上げます。
