Movable Type News

記事一覧 RSS

2017年 2月 8日(水)

WordPressの REST API における脆弱性の発表に伴い、Movable Type Data API の安全性についてお知らせします

先日、オープンソース・ソフトウェアである WordPress 4.7 / 4.7.1 の REST API に、認証を回避してコンテンツを書き換えられる脆弱性があったと発表されました。極めて容易に攻撃でき、コンテンツの改ざんを行うことができる深刻な脆弱性のため、最新版へのアップデートが強く呼びかけられています。また実際に、全国で多数のウェブサイトが改ざんの被害にあっています。

WordPress の脆弱性については下記をご参照ください。

Movable Type Data API の安全性について

今回の WordPress の脆弱性が REST API に存在したことから、Movable Type(バージョン6.0以降)で搭載している Data API についても不安を感じられているお客様がいらっしゃるかもしれません。

Movable Type の Data API もREST形式のAPIで、これを利用して、公開されていない記事を取得したり、更新や削除を行うことが可能です。しかし、これらのエンドポイントへのリクエストでは、まずはじめに認証情報のチェックが行われます。そして、適切な認証情報が付与されていないリクエストはすべてこの段階で拒否されます。

また、ユーザー権限によるデータへのアクセスチェックについても管理画面と同様の仕組みで(管理画面でのアクセスと同様に)行われており、安全にご利用いただけますので、ご安心ください。

本件に関する技術仕様につきましては、MovableType.jp の下記記事をご参照ください。

CMSのセキュリティ対策について

インターネット上で利用されるソフトウェアは、必然的にセキュリティ問題と無縁ではいられません。シックス・アパートでは、Movable Type ならびに Movable Type Data API を安全に利用するためのセキュリティガイドを公開しています。こちらをぜひご一読ください。

マネージドサービス型のクラウドCMS、ウェブサービスCMSをおすすめします

ウェブサイト改ざんの攻撃の足掛りとしてCMSが狙われるケースは非常に多く、シックス・アパートでも迅速な脆弱性対応や、ユーザーの皆さまへのアップデートの呼びかけに力を入れています。合わせて、自社で脆弱性対策を行う必要がないマネージドサービス型のクラウドCMS「Movable Type クラウド版」や、ウェブサービスCMS「MovableType.net」の利用もおすすめしています。

Maki Sawa   10:00

Movable Type ソフトウェア版は無料トライアルが可能です。
ライセンスの購入、クラウド版の申し込みは、製品購入からお進みください。

Movable Type 全般に関しての疑問や、導入に際してのご相談など、コンサルタントに直接ご相談いただける予約制の相談会を開催しています。

Movable Type 導入相談会のご案内

ドキュメントやユーザー向けの情報はこちら

Movable Type のくわしい使い方や、タグリファレンス、開発者向けのドキュメントなどは、MovableType.jp で公開しています。プラグインやテーマは、プラグインディレクトリをご覧ください。