ヤバすぎるMovable TypeのXML-RPC脆弱性をさらに修正するアップデートが緊急リリース

Movable TypeのXML-RPCの脆弱性を修正するアップデートが、12月16日付けでさらに追加でリリースされています。

これまでリリースされた脆弱性アップデートであるr.5003 / 6.8.3(2021/10/20 リリース)、r.5004 / 6.8.4(2021/12/1 リリース)では対策が不完全だったとして、さらに修正を加えたアップデートとなります。

続きを読む →

ブログエディター投稿でXML-RPCエラー、原因はサーバー側のセキュリティ対策だった

XMLRPC Error Xserver 02

ブログエディターから記事を投稿しようとしたらAPIのエラー表示。

エラーの内容は以下のようなものでした。

Can’t refresh blog for ブログ名 because the server reported an error: the server did not return a valid API response.

Often this is caused by the security configuration of a web server, by a faulty plugin on your blog, or by an incorrect API Endpoint URL setting in MarsEdit.

MovableTypeを使っているブログでのみ発生。

サーバーはXserverになります。

ブログエディターからサーバーに記事を送信したり更新するのは、XML-RPCというAPIを使っていますが、今回のエラーはそのAPIに接続できないことから発生しています。原因はサーバー側によるものということで調べてみると、Xserverのセキュリティ機能が影響しているという話がありました。

続きを読む →

WordPressのXML-RPCに、日本国内とCloudflareからのアクセスのみを許可する

WordPressのXML-RPCやログイン画面に、日本国外からアクセスを拒否する.htaccess を設定している場合、CDNサービスの「Cloudflare」からのアクセスも拒否してしまいます。

日本国外からのアクセスを拒否しながら、Cloudflareからのアクセスは許可するには、.htaccessにCloudflareのIPレンジを追記します。

続きを読む →

MovableTypeのXML-RPCで記事送信時にエラー、原因は「機種依存文字」

もはや、Movable Typeを使っている人はかなり少数だとは思いますが、念のため書いておきますね。

先日、ブログエディターを使って記事を作成して、XML-RPCでサーバーに送信すると「…XML/Parser.pm line 187」というエラーが出て送信できませんでした。調べると機種依存文字が含まれている場合に発生するエラーとのこと。

記事を見直すと「▲」が含まれていたので、文字に変更して再送信すると上手く行きました。同じ機種依存文字でも「○」は大丈夫だったのですが・・・よく分かりません。