インフォメーション

平素よりレンタルサーバーヘテムルをご利用いただき、誠にありがとうございます。

特定の条件でWordPressのサイトを運営している場合WordPressのパスワードの
リセット機能の脆弱性をつかれダッシュボード（WordPressの管理画面）のログイン情報を
不正に取得される可能性が確認されました。

以下対象サーバーをご利用で、かつ影響のあるサイトの１．と２．の両方の条件に当てはまる場合は、必ずご対応をお願いいたします。

----------------------------------------------------------------------
■脆弱性の詳細について

脆弱性を利用すると、パスワードリセットメールの受け取り先に関する偽装が可能となります。
ダッシュボード「一般設定」に登録してある、パスワードリセットメールの
送信先メールアドレスが受信できない場合、エラーメールを第三者が指定した
メールアドレスで受け取ることができます。
また、送信先で自動返信設定がされている場合もパスワードリセットメールの本文を
第三者が取得できます。

【影響のあるサイト】

１．独自SSL証明書を設定しているドメイン・サブドメインでWordPressのサイトを運営している
２．ダッシュボード「一般設定」の項目に受信ができないメールアドレスや
　自動返信を設定しているメールアドレスを登録している

【影響のある対象サーバー】

webサーバーの番号がftpXXX

番号は、コントロールパネルにログイン後、画面右上にあるWebサーバー番号欄をご確認ください。

■対応方法

・ダッシュボード「一般設定」に正常に受信ができ、かつ自動返信設定をしていないメールアドレスを登録する
・同脆弱性に対応したWordPressの新バージョンがリリースされ次第、アップグレードを行う
>>WordPressのアップグレードについて

----------------------------------------------------------------------

サイトの改ざんを防ぐため、CMSツールやプラグインをご利用の際は
常に最新のバージョンをご利用ください。
また、その他のサイト改ざんへの具体的な対策方法をこちらのページにてご紹介しております。
お客様の大切なサイトを守るために、ご参照の上併せて対策をお願いいたします。