Heartbleed 関連のセキュリティ情報

WordPress.com では、最近発見された OpenSSL 関連のバグである Heartbleed 脆弱性の対応を行っています。

先週、非常に重大な OpenSSL のバグが公表されました。セキュアな通信を処理するオープンソースツールである OpenSSL は、ほとんどのインターネットサイトで使われています。この「Heartbleed」と名付けられたバグは、攻撃者が脆弱なサーバーから機密情報を読み取ることができるようにし、パスワード・Cookie・暗号化キーなどを盗むことができる可能性をもたらします。

WordPress.com も Heartbleed 脆弱性の影響を受けましたか ?

はい。WordPress.com のサーバーは、脆弱性を含む最新バージョンの OpenSSL を使っていました。私たちはユーザーのみなさんのために SPDY のようなパフォーマンス強化機能を有効化できるよう、通常最新バージョンの OpenSSL を採用しています。脆弱性を含まない OpenSSL のバージョンは二年前のものでした。

WordPress.com の問題は修正されていますか ?

はい。問題が公表されてから数時間内にすべてのサーバーにパッチを適用しました。

WordPress.com では SSL 証明書とプライベートキーをすべて入れ替えましたか ?

はい。十分な注意をするため、すべての SSL 証明書を入れ替え、紐付けられているプライベートキーを再生成しました。さらに、WordPress.com のサーバーは Forward Secrecy に対応しており、万が一プライベートキーが漏洩したとしても今後の暗号化されたトラフィックを解読することはできませんでした。

WordPress.com ではパスワードの強制リセットを行いますか ?

現時点では、パスワードの変更を強制する予定はありません。

WordPress.com のパスワードを変更すべきですか ?

変更したいようでしたら、そうして頂いても構いません。他のサイトなどで同じパスワードを使っている場合は、パスワードを変更することを強くおすすめします。また、今後パスワードを使い回さないようにしてください。

この記事は Barry が WordPress.com 英語版ブログに投稿した「Heartbleed Security Update」の訳です。機能について不明な点があればコメント欄または日本語フォーラムでご質問ください。

翻訳: 高野直子


WordPress.com の開発状況について最新情報を知りたい方は、以下の欄にメールアドレスを入力して今後の告知をメールで直接受け取りましょう。通知を開始する前に確認メールをお送りします。見つからない場合はスパムフォルダーをご確認ください。

現在230,851人フォロワーがいます。

新しいブログまたはサイトを無料で作成

始めてみよう

%d人のブロガーが「いいね」をつけました。