近日 a-blog cms へのフォームで、大量のスパムメールが送信されてしまう報告をいくつか受けております。 被害が発生している方は、以下対応策をいくつか用意していますので、大変お手数ですがご対応のほどお願いいたします。

reCAPTCHA以外の対策は、対応してもスパムが止まらない可能性がございますので、reCAPTCHAの導入をおすすめいたします。

reCAPTCHAの導入

お問い合わせ者が、ロボットか判断するGoogleの「reCAPTCHA」サービスと連携する方法がございます。 a-blog cms の拡張アプリとして用意されていますので、こちらご検討ください。

2021/12/07 19:50追記

reCAPTCHA拡張アプリに一部不具合がありましたので、 2021/12/07 19:50以前にダウンロードしている場合は、お手数ですが再度ダウンロードしてファイルを置き換えをお願いいたします。

ダウンロードURL: https://github.com/appleple/acms-recaptcha/raw/master/build/recaptcha.zip

reCAPTCHAの拡張アプリに関する詳細はGitHubページをご確認ください。

フォームのURL変更

攻撃はURL指定でされる可能性が高いです。根本的な解決にはなりませんが、ひとまず攻撃をさけるためにはフォームのURLを変更ください。

攻撃者のIPアドレスでブロック

.htaccessなどで、攻撃者のIPアドレスをブロックします。ただし複数のIPアドレスで攻撃される可能性が高いのでイタチごっこになってしまう可能性がございます。 order allow,deny allow from all deny from xxx.xxx.xxx.xxx deny from yyy.yyy.yyy.yyy

CMSのアップデート

2.11, 2.10, 2.9, 2.8 のそれぞれのバージョンでセキュリティフィックスをリリースいたしました。これは攻撃方法によって管理画面のフォーム設定の「入力チェック・変換」が効かない場合がある問題が修正されております。CMSアップデート後、フォーム設定の「入力チェック・変換」項目を確認・設定ください。

フォーム設定の修正

フォームのセキュリティ設定について、ドキュメントを更新させていただきました。できるだけ、こちらで紹介されている設定にしていただくようにお願いします。

今後とも a-blog cms をよろしくお願いいたします。

この記事では、2021年12月6日にリリースしたVer.2.11.41、Ver.2.11.40、Ver.2.10.43、Ver.2.10.42、Ver.2.9.39、Ver.2.9.38、Ver.2.8.74、Ver.2.8.73の改善・修正内容について紹介いたします。

現在お困りの問題に該当する項目がありましたら、お早めにバージョンアップのご検討をお願いいたします。

※静的書き出しはプロフェッショナル版以上の機能です。

静的書き出しをする時にオフセットディレクトリを指定していると、ファイルのリンク書き換え時に余分な文字列が入ってしまい、リンクが間違ったものになってしまう問題を修正しました。 書き換えが行われるファイルは config.server.php の REWRITE_PATH_EXTENSION で指定されている拡張子ファイルになります。

エントリーのバージョン公開時に空の画像フィールドがあると、その後に登録されている画像が詰まって登録されてしまう現象が発生していました。

Entry_Summary などのSummary系モジュールIDで異なるカテゴリーのエントリーを複数選択していると、正しくサマリー表示できない問題を修正しました。

2021年12月7日現在、セキュリティフィックスを行っている全てのバージョンに対し、フォーム周り、テーマテンプレート、接続元IP判定のセキュリティアップデートを行いました。
Ver.2.11.41、Ver.2.11.40、Ver.2.10.43、Ver.2.10.42、Ver.2.9.39、Ver.2.9.38、Ver.2.8.74、Ver.2.8.73未満のバージョンをご利用の場合はアップデートをお願いいたします。

また、今回のアップデートで先日より報告されておりましたフォームで大量のスパム送信される攻撃の対策をしておりますが a-blog cms ご利用のサイトにて設定が必要となります。被害が発生している方は下記記事も合わせてご確認お願いいたします。

また、Ver.2.12のリリース時期を考慮し、Ver.2.11 の メンテナンス期間延長を行いました。詳しくは下記記事をご確認ください。