Tag Archive PHP

他のプログラム言語やスクリプト言語と同様に、PHPにはバグの修正・新しい機能の追加を行うアクティブサポート期限と脆弱性に対する修正を行うセキュリティサポート期限があります。

公式のPHPのサポートは、アクティブサポートを2年間の後、セキュリティサポートを1年間の計3年間というのが通例となっています。

セキュリティサポート期限が過ぎたPHPを使用し続けることは基本的に推奨しませんので、WordPressなども含む含むPHPを使ったWebサイトは以下の「PHPのセキュリティのバックポートサポート期間」が過ぎる前に、PHPのバージョンアップと、そのバージョンへ対応したWebサイトのアップデートを行っていただくことをお勧めします。

アップデートするPHPバージョンに対応したWebサイトのアップデートについて

WordPress、EC-CUBEなどの汎用CMSをご利用の場合

アップデートするPHPバージョンに対応した汎用CMSのアップデートと、使用するプラグインもそのPHPバージョンに対応したバージョンへアップデートします。ただし、使用するCMSやプラグインによっては、新しいPHPバージョンに対応していない場合がございます。

スクラッチ開発したWebシステムの場合

PHPのバージョンアップすることで、エラー表示や不具合が出る場合があります。

PHPのセキュリティのバックポートサポート期間

PHPはリリースから3年間でサポートが終了しますが、OSによって公式サポートのセキュリティサポートが終了したものがインストールされる場合があります。

この場合、脆弱性はバックポートによって対策されます。

従って、各PHPバージョンについて問題なく利用できる^※1期間は以下の通りとなります。

※1 あくまでCVEによって指摘された脆弱性に対しての修正であり、完全にセキュリティを担保するものではありません。また、バックポートサポートによる対応は公式のPHPで行われるものと比べ遅い為、その期間脆弱性に晒されることになります。

RHEL 9 / AlmaLinux 9 / Rocky Linux 9 ^※2の場合

RHEL 8 / CentOS Strem 8 / AlmaLinux 8 / Rocky Linux 8 ^※2の場合

RHEL 7 / CentOS 7 ^※2の場合

※2 弊社の共用サーバーで利用しているOS及び保守対応しているOSです。他社サーバーご利用の場合は、異なる場合がございます。

共用サーバーのPHPセキュリティサポート

弊社がお勧めしているXサーバー含め、他社が提供する共用サーバーでのPHPのバージョンは、そのサーバーによって異なっています。Xサーバーでは、複数のバージョンから選択出来ます。

脆弱性に対する対応は、サポートが有効なPHPしか利用できない場合、OSのバックポートに依存している場合、そのサーバーで独自に対応している場合などもサーバーによって異なります。利用できるPHPバージョンを知りたい場合は、そのサーバー会社へお問い合わせください。^※3

※3 弊社お取引のお客様で、サーバー接続情報をお知らせしていただいている場合は、弊社で調べることも可能です。(料金はかかりません)

なお、多くのサーバー事業者の場合、特定のPHPバージョンのサポートが終了する場合、そのPHPバージョンは利用不可になり、半年～1年前には予告がされると思います。

PHPの公式サポート期限

公式のPHPではリリースから2年間がアクティブサポート期間とされ、その後1年間がセキュリティサポート期間とされリリースから3年間でサポートが終了します。

但しバックポートによりサポートが終了したものでも、利用中のOSの期間内であれば、脆弱性の対応は行われます。

より正確なサポート期間は、公式サイト(英語)をご確認ください。

PHPのサポートバージョン

他のプログラム言語やスクリプト言語と同様に、PHPにはサポートされるバージョンがあります。

例えば同じWindowsでもXP、Vista、Windows7、10…といった様にリリースされてから、数年後に一新してそれまでの古いバージョンは開発(更新)が終了となります。

これと同様に、PHPもそのバージョン(PHP7、PHP8…)はリリース後、数年後には開発(更新)が終了となります。PHPのメジャーアップデートは、およそ3年周期で行われています。

PHPとは

お客様のウェブサイトやウェブシステムを開発する為に利用するプログラム言語のひとつです。CMS(WordPress含む)を使ったサイトや、ECサイト、問い合わせフォームなど単純に情報を見せるのではなく、ユーザーに合わせて表示内容を変えたり、処理したりする機能を実装する為に利用することが多い言語です。

PHPの新しいバージョンで改善されること

PHPの新しいバージョンでは次の様な事が行われます

• 新しい機能の追加
• パフォーマンスの向上(処理がより高速となる為、サイト回遊のストレスが軽減する)
• 新たなセキュリティ対策

PHPのサポート期間に行われること

アクティブサポート

通常リリースから2年間は、アクティブサポート期間として次の様なアップデートが行われます。

• 新しい機能の追加
• バグの修正
• 脆弱性への修正

セキュリティサポート

アクティブサポート期間の後、1年間は脆弱性への対応が行われます。またOSのリポジトリ(そのOSのソフトウェア保管場所)で用意されているPHPはバックサポート期間が設けられており、このサポート期間は発覚した脆弱性に対して対応されます。

新しいバージョンのPHPへの切り替え

PHPは利用中のサーバーに対してインストールされているものなので、新しいバージョンのPHPが利用できるか否かは利用中サーバーの事情によってとなります。

従って、新しいバージョンのPHPに切り替えたくても、サーバー側が対応していない関係で切り替えできないという場合もあります。サーバーが新しいバージョンのPHPに対応しているか否かはご利用中のサーバー事業者へご確認ください。

弊社提供のサーバーの場合

弊社提供の共用サーバーサービス(マネジメントプラン含む)をご利用のお客様は、バージョンの指定はできませんが、サポートされているPHPをインストールしています。

弊社がお勧めしたサーバーの場合

root権限がある(AWS、専用サーバー、VPS、クラウド)サーバーの場合

有償となりますが新しいバージョンのPHPをインストール、設定を行います。ただし既にサポートが切れているOSをご利用(CentOS6など)のお客様は、サポート中のOSに切り替え(有償)も含めてお願いすることになります。

サーバー保守サービスご利用の場合

サーバー保守サービスご利用の場合は、ご指示いただければ希望のバージョンのPHPへのバージョンアップ、初期設定を行います。

Xサーバーの場合

Xサーバーは、複数のバージョン※からドメイン単位で切替が出来ます。

※サポートが終了したPHPも利用できますが、古い順から順次利用不可となっていきます。

既存のPHPから新しいバージョンのPHPへ切り替えした場合の影響

PHPをバージョンアップすると、それまでのPHPバーバョンを利用して開発されたWebサイトはエラー表示が出たり、画面が真っ白になる、一部分が表示されないなど、何等かの不具合が発生する可能性がございます。その場合は対象のWebサイトに対し不具合解消の為の修正を施す必要がございます。

Webサイト保守サービスご利用の場合

Webサイト保守サービスをご利用の場合は、バージョンアップによって生じた不具合解消もサービスに含まれております。

サポートの終了したPHPを使い続けることの影響

サポートが終了したPHPを使い続けると次の様な影響が考えられます。

セキュリティリスク

セキュリティ更新が提供されない為、脆弱性が発見されても修正されません。

他のサーバーアプリケーションと比べ、脆弱性についてあまり話題になりませんが、PHPも他のサーバーアプリケーション同様に多くの脆弱性が発見され、その度に修正されています。例えば、2016年は特にPHPのセキュリティ脆弱性の問題が多く発生した年で、100件以上が報告されました。

WordPressを含む汎用型CMSがアップデートできない→セキュリティリスク

WordPressの様な汎用CMSは、定期的にアップデートされています。このアップデートには新機能の追加・バグの修正・脆弱性に対する修正が含まれています。

多くの汎用CMSのアップデートは、サポートが有効のPHPでの動作が前提ですので、古いPHPのまま、その汎用CMSをアップデートするとエラー表示がされたり、不具合が発生したり、最悪完全に動作しなくなってしまうことがございます。

その影響を考えそのCMS自体は、警告を出しつつも古いPHPでも動作する様に設計されていることが多いのですが、CMSに後から追加できるプラグインは不具合が発生する場合が多いです。

その為、そのCMSやプラグイン自体をアップデートできないという状態となります。そうなると、PHPとCMS(プラグイン含む)両方の脆弱性を抱えたまま運用することになる為、よりセキュリティリスクがあります。