2019
4/23
WordPress(ワードプレス)PHP5.6以下のサイトは、 至急アップデートが必要
記事概要
先日、WordPress(ワードプレス)の開発者が、PHP5.2〜5.5のバージョンのサポートを終了すると発表いたしました。PHP5.2〜5.5のバージョンを使ってWEBサイトを構築しているサイトは、これからバグがある状態で運用するリスクもあり、できるだけ早く、PHP5.6以上のバージョンにアップデートする必要があります。今回のブログでは、PHP5.6以下のサイトのバージョンアップのすすめと、バージョンアップしなかった場合のリスクなどについて説明いたします。
この記事の目次
PHPバージョン5.6以下は速やかにアップデートを
先日(2019年3月20日)、WordPress(ワードプレス)の開発者が、PHP5.2〜5.5のバージョンのサポートを終了すると発表いたしました。
(https://core.trac.wordpress.org/changeset/44950)
こちらの記事は、暫くの間、該当バージョンでプログラム上のバグが発見された場合には、ケースバイケースで対応するという表明であり、ようするに、PHP5.2〜5.5のバージョンに関しては、必ずしもバグが修正されるバージョンではなくなったことを示しています。
以上の事から、PHP5.2〜5.5のバージョンを使ってWEBサイトを構築しているサイトは、これからバグがある状態で運用するリスクもあり、できるだけ早く、PHP5.6以上のバージョンにアップデートする必要があります。
現在、WordPress(ワードプレス)でWEBサイトを構築しているサイトのうち、20%くらいがPHP5.6以下のバージョンを使用しているというデータもあり、管理者側にてPHPのアップデートが急がれます。
古いバージョンのPHPを使い続けると、それらがもつ脆弱性を狙った攻撃をうける可能性もあり、WEBサイトの不正改ざんやウイルス感染などのリスクが高まります。WordPress(ワードプレス)でWEBサイトを運用するためには、脆弱性に対する定期的なアップデートは必須であり、ひとたび不正改ざんやウイルス感染が発生したときのダメージは計り知れません。
今回のブログでは、PHP5.6以下のサイトのバージョンアップのすすめと、バージョンアップしなかった場合のリスクなどについて説明いたします。
PHPアップデートが必要な対象について
今回、WordPress(ワードプレス)のアップデート対象となっているバージョンはPHP5.2〜5.5のサイトです。PHPのバージョンはサイト更新用の管理画面に表示されているバージョンとは異なりますので注意が必要です。
PHPとは、HTMLに埋め込むことができる、Web開発でよく使用されるスクリプト言語です。データベースと連携させ、様々なWEBサイトを構築することができます。PHPとは、普段はお客様が触れたりすることはありません。あくまでもサーバ側で用意されているものですので、サーバのコントロールパネルで確認することができます。
ここで、一つ注意点があります。
実は、サーバ側によって提供されるPHPのバージョンは微妙に異なりという事です。
ちなみに、WordPressの開発者サイドが推奨するPHPの環境は、7.3以上としています。(引用:https://ja.wordpress.org/about/requirements/)
さらに、こちらのサイトでは、今後のPHPバージョンのサポート期間が閲覧できます。
https://php.net/supported-versions.php
グリーンは『Active support(バグやセキュリティの問題を解決するためにアップデートする)』です。
また、それぞれの今後のサポート期間も、こちらのサイトから確認できます。PHP5.6〜PHP7.0は2018年12月31日でセキュリティサポート期間も終了してしまいました。現在は、PHP7.1はセキュリティサポート期間(アクティブサポートは終了)、PHP7.2以上はアクティブサポート期間ですので安全です。
しかし、これらも無期限ではありません。
PHP7.1は2020年を目前にセキュリティサポート期間も終了しますし、7.2や7.3もセキュリティサポート期間の終了目安も表明されています。随時、PHPのバージョンを上げていく必要があることが、この図からわかります。
しかし、ここで一つ問題があります。
サーバによっては、最新バージョンが7.2.6だったり、7.3.1だったりするということです。必ずしも、PHP7.3以上のものを提供しているとは限らないのです。そのため、可能な限り7.0以上にしておけば安心かと思います。できるだけ7.0以上にさせておくことが無難です。
まずは、それぞれのサーバのコントロールパネルにログインして、ご自身のサイトのPHPバージョンを確認する必要があります。この確認のやり方はサーバによって異なります。ご不明な方はお気軽にご相談ください。
そこで確認されたPHPのバージョンが5.6以下であれば、できるだけ速やかに、アップデートが必要になります。
PHPアップデートをしなかった場合のリスク
それでは、PHPのバージョンアップをしないで運用していく場合のリスクをまとめておきます。
まず、最も重要なのは脆弱性への対応です。セキュリティサポート期間は、PHPに脆弱性などが見つかった場合には修正を行うという事を示しています。
そのため、セキュリティサポート期間を過ぎてしまったバージョンは、脆弱性に対しての修正は行われません。非常に危険な状態になります。要するに、セキュリティサポート期間を終了したPHPのバージョンで構成されたWEBサイトは脆弱性があることを認識しておかなければなりません。
ここは、とても重要な部分ですので正しくご承知おきください。
PHPに脆弱性がある場合には、悪意のあるWEBサイトの改ざんなどの攻撃をうけるリスクがあります。ひとたび、大きな攻撃をうけると、WEBサイトを閲覧しているユーザーに迷惑をかけるばかりか、Google側の警告をうけてしまうと、検索結果に警告を表示される、もしくは正しくWEBサイトが表示されなくなってしまいます。
ひとたびGoogleから警告を受けると、これらが完全に改善されるまでは検索結果に正しく表示されません。改善が非常に困難になります。
また、悪意をもったWEBサイトの改ざんを修復するには、多額のコストがかかります。改ざんされる前のデータに戻す事ができればよいのですが、そのバックアップがとれていなかった場合などには、一から作り直ししなければなりません。最初にWEBサイトを作成した時と同じくらいのコストがかかると言っても過言ではありません。
以上の事から、できるだけ、これら改ざんリスクを回避するよう務める必要があります。
PHPアップデートをした場合のリスク
それでは、次に、PHPのバージョンをアップデートした場合のリスクについて説明します。
PHPのアップデートはしなかった場合のリスクもありますが、一方で、アップデートした場合のリスクもあります。
WordPressは、安価に高機能のWEBサイトを構築するのに優れたプログラムです。機能性を高めるために、様々なプラグインをインストールして構成されています。そして、これら様々なプラグインはその時々のPHPバージョン(または、WordPressバージョン)で動くようにプログラミングされています。そのため、稀に、バージョンアップしたPHPに対応仕切れない事が発生します。
これまで機能していたものが、PHPのバージョンアップで機能しなくなった、という事が発生するリスクがあります。その場合には、新たに新しいPHPバージョンにあった機能に付け替える必要がでてきます。
これらは、プログラムエラーとは異なります。いわば、経年劣化のようなものです。昔は正常に動いていたものでも、度重なるプログラムのバージョンアップでは、合わなくなる場合もあります。そういう意味では、プログラムとは随時手直しをしながら使い続けるものとご理解ください。
物はなんでもメンテナンスが必要です。
こまめにメンテナンスし続ければ、良い状態のままで、より長い間使い続ける事ができます。それと同じ理屈ですのでご理解ください。
PHPアップデートにかかるコスト
それでは最後に、PHPのバージョンアップデートにかかるコストについて説明します。
PHPのバージョンアップは、さほど難しいものではありません。お客様自身が、各々、サーバのコントロールパネルにログインしてあげることも可能です。しかし問題なのは、その後です。PHPのバージョンをあげたばっかりに、これまで正常に動いていた一部の機能が、機能不全に陥ったりします。
さらに問題なのが、正しく機能していないことに、お客様自身が気づかなかったりした場合です。できれば、PHPのバージョンアップは、製作者が行ったほうが安全です。そういう意味でも弊社にご相談いただければと思います。
その際のコストですが、当社が制作したWEBサイトについてはPHP最新バージョンにアップデートすることと、微小な不具合対応で、一式 5,000円頂戴しています。ただし、大きな不具合が生じた場合には、その不具合の内容によって別見積りとなります。(当社制作したWEBサイト以外は、ご相談ください)
しかしながら、ここでPHPのバージョンをあげなかったばっかりに、後々被る多大な被害を想像したら、ここで潰しておく方が安全であることがおわかりいただけるかと思います。お気軽にご相談ください。