お知らせ

【緊急】WordPressに関連するセキュリティ対策実施のお知らせ

お客様各位

2013年9月19日
J-webサポートセンター

時下益々ご清祥のこととお喜び申し上げます。
平素は、格別のご高配を賜り厚く御礼申し上げます。

過日他社サーバ会社様においてサーバに設置されているWordPressが
悪意ある第三者によって次々に乗っ取られ改ざんされる事案が多数発生いたしました。
 
ホームページ改ざんの原因として、
WordPressの設定ファイル(wp-config.php)のパーミッション設定が不適切だったことや、
apacheの設定にある「FollowSymLinks」を使って各ユーザーのwp-config.phpを
侵入したユーザーのwebサイトから見えるように細工することにより
MySQLのアカウントが盗み出されてしまったことが判明しております。

これまでに多数のサイトで上記事由に起因する被害が報告されており
弊社ではセキュリティ強化のため下記時間帯にセキュリティ対策を実施いたします。

■日時
2013年9月30日(月)22:30から深夜2時頃
※状況によって前後する可能性がございます。
■対策内容
htaccessでも設定できないようFollowSymLinks/Allオプションを無効化いたします。
なお、パーミッションの設定につきましてはすでに対策が完了しております。
お客さまへの影響
FollowSymLinks/Allオプションを無効化した場合
htaccessに記述があるだけでエラーになってしまい
そのページが表示されなくなってしまいます。
大変お手数ですが実施までにhtaccessの記述を変更していただくようお願いいたします。
変更の詳細は以下のとおりです。
htaccess内の記述を以下のように変更してください。
 
(1) 「Options +FollowSymLinks」は次のように書き換えてください。
 ↓
 Options +SymLinksIfOwnerMatch
 
(2) 「Options FollowSymLinks」は次のように書き換えてください。
 ↓
 Options SymLinksIfOwnerMatch
  ※「+」がある場合と無い場合で意味が異なりますのでご注意ください。
 
(3) 「Options All」は次のように書き換えてください。
 ↓
 Options ExecCGI Includes Indexes SymLinksIfOwnerMatch
 
(4) 「Options +FollowSymLinks」は次のように書き換えてください。
 ↓
 Options +SymLinksIfOwnerMatch
FollowSymLinks以外のオプションもある場合
 
(5) 「Options +FollowSymLinks +Indexes」は次のように書き換えてください。
 ↓
 Options +SymLinksIfOwnerMatch +Indexes
 
(6) 「Options FollowSymLinks ExecCGI Includes」は次のように書き換えてください。
 ↓
 Options SymLinksIfOwnerMatch  ExecCGI Includes

また、上記以外にも修正が必要となる可能生もございます。
オプション無効化後速やかにサイトをご確認いただき
不具合等がございましたら弊社サポートセンターまでお知らせくださいませ。

ご不明な点がございましたら担当営業または下記サポートセンターまでお問い合わせください。
お客様にはご不便をおかけいたしますこと、お詫び申し上げるとともに、
ご理解を賜りますようお願い申し上げます。

お問い合わせ先

オールインワンソリューション株式会社(AIOSL)
J-webサポートセンター

メール support@jnetstation.com(受付:随時 対応:平日10時〜18時)
電話 03-6438-8874(受付/対応:平日10時〜18時)
FAX 03-3405-8000(受付:随時 対応:平日10時〜18時)