古いPHPバージョンでは、いずれ最新のWordpressやプラグインが利用できなくなります。
WordPressや、WPプラグインはPHPというプログラム言語を利用しています。
PHPは定期的にアップデートされ各バージョンには、サポート期間が設定されています。
サポート期間が終了したPHPバージョンは、セキュリティアップデートが終了するので脆弱性のリスクに晒されます。
PHPバージョンアップに合わせてWordpressや、WPプラグインも新しいPHPバージョンに合わせたアップデートが行われ、古いPHPバージョンは利用できなくなって行きます。
古いバージョンのPHPで運用しているWordpressサイトはWordPressやプラグインが対応しなくなる為、WordPressやプラグインが更新が出来なくなります。従って、現在のWordpressサイトをリニューアルせずに運用するには、どこかのタイミングで新しいPHPバージョンに切り替える必要がございます。
しかし、新しいPHPバージョンに切り替えた時WordPressサイトの方がそのPHPバージョンに対応していない部分がある場合がございます。
WordPressを使って、お客様独自の機能やデザインを施したウェブサイトを構築する為に、テーマファイルというデータを制作しますが、これもまたPHPで開発しています。従って、テーマファイルも切替したPHPバージョンに合わせて修正する必要がある場合がございます。
また、WPプラグインの中にはプラグイン提供元の更新がストップしてしまい新しいPHPバージョンに対応していないという事もあります。この場合は、そのプラグインの機能を諦めるか、代替策を施す必要があります。
予算などの都合上で、どちらも難しい場合はWordpressや、WPプラグインをアップデートしないで利用し続ける事になりますが、ウェブサイトは脆弱性に晒される事になります。また、サーバー側も古いPHPは利用できなくなる(提供を停止する)為、いつかはウェブサイトが正常な状態で表示されなくなります。
現在のWordpressサイトを新しいバージョンのPHPへ変更した場合の影響や古いPHPでWordpressを運用し続けるリスクについて詳しくは以下をご覧ください。
この様に、Wordpressサイトはどこかのタイミングで新しいバージョンのPHPへ切り替えて、切り替えたことで出現する不具合を解消してサイトを延命する必要がございます。
PHPのバージョンアップで発生する不具合
関数や構文の非推奨・削除
PHPの新しいバージョンでは、古い関数や構文が 非推奨になったり削除されることがあります。
この場合次の様な現象が発生する事があります。
- サイトの一部が表示されない
- サイトにエラーが表示される
- プラグインやテーマの機能が動かなくなる
- データベース接続が失敗する
型やエラー処理の仕様変更
PHPのバージョンが上がると、型のチェックやエラーの厳格さが変わる場合があります。
この場合次の様な現象が発生する事があります。
- 正常に動作していたコードがエラーを出す
- サイトの表示崩れやフォーム送信が失敗する
プラグインやテーマの互換性が合わない
WordPressやCMS、その他ライブラリは、特定のPHPバージョンで動作確認されています。
PHPのメジャーアップデートでバージョンが変わると、互換性のないプラグインやテーマがエラーを起こす可能性があります。
この場合次の様な現象が発生する事があります。
- 管理画面が開かない
- そのプラグインが処理する部分が表示しない、または表示崩れが発生
- そのプラグインやテーマが提供する機能が一部使えない
セキュリティ・拡張モジュールの影響
PHPのバージョンアップでは一部拡張モジュールが削除・非推奨になることがあります。
この場合次の様な現象が発生する事があります。
- 暗号化やメール送信、画像処理などの機能が動かない
動作環境依存の不具合
サーバーの OS や Webサーバーの設定、MySQL(データベース)バージョンとの組み合わせで、PHPアップデート後に予期せぬ動作不具合が発生することがあります。
この場合次の様な現象が発生する事があります。
- サイト表示が真っ白になる
- エラー表示が出る
WordPressサイトのPHPバージョンアップに伴う動作検証
ご依頼いただいたお客様には、次の作業を実施します。
1.作業前のバックアップ
作業開始の前に、次のデータをバックアップします。
- 本番環境のWordpressデータ全て※
- テストサイトのテーマファイル
- DBデータ(本番・テストサイト両方)
※ テーマファイルだけでなく、プラグインも含めた全てのデータをバックアップします。
バックアップしたデータは、弊社のローカル環境及びサーバーの別の場所(ドキュメントルートより上の階層)にZIPファイルで保存します。
2.テストサイトが無い場合はテストサイトを用意
テストサイトが無い場合は、テストサイトを用意します。
本番環境のPHPバージョンアップをした際に、未発見の不具合が出ない様にする為です。
テストサイト環境は、なるべく同じサーバー環境に用意します。これはPHPの設定や利用できるモジュール、許可されているウェブサーバーの設定がサーバーによって異なる為、なるべく本番環境のPHPを最新バージョンに切り替えた際に、再び不具合が発生するのを防ぐ目的です。
その他、テストサイトについてはこちらをご覧ください。
3.本番環境をテストサイトに同期
作業時点での本番環境をテストサイトに同期します。
本番環境のPHPバージョンアップをした際に、未発見の不具合が出ない様にする為です。
またテストサイトは、必ずアクセス制限を設定します。
その他、万が一にも検索登録されない様にnoindexの設定、All in one SEOを無効化します。
4.Wordpressとプラグインは全て最新に
WordPress本体や有効化されているプラグインに、更新通知が出ているにもかかわらずアップデートされていない場合は、まずPHPを最新バージョンに切り替えたうえで、WordPress本体・プラグインを更新してから動作検証を行います。
この手順は、次の事を目的としています。
- 利用中のプラグインが最新のPHPバージョンに対応しているかを確認するため
- プラグインを最新化し、ウェブサイトの脆弱性を軽減して安全性を高めるため
- サイトの安定稼働期間(寿命)を延ばすため
5.テストサイトのPHPを最新verに切り替えて動作検証
6.検証結果の報告
動作検証の結果を報告します。
検証の結果、不具合があった箇所はその対応策をご提案します。
詳しくはこちらをご覧ください。
不具合が無い場合や、無視できる程度の不具合(お客様判断)の場合は、再度DBのバックアップを取得した上で本番サイト側のPHPを最新のバージョンに切替、Wordpressやプラグインも最新のものにアップデートします。
ウェブサイト保守サービスご利用の場合
保守サービスをご利用の場合は、心配する必要はありません。弊社がWordPressやプラグインに加えて、PHPも利用中のバージョンのサポート期限が切れる前に、切替します。切り替えたことで出現する不具合についても全てではございませんが、保守費用内で不具合解消します。
保守サービスをご利用されていないお客様にも、安心して新しいバージョンのPHPへ切り替えを行う事が出来るPHPバージョンアップサービスをご用意しています。
このサービスをご利用できるWordpressサイト
弊社で制作したサイト
弊社で制作したサイトは、全てのサイトでご利用が可能です。
他社で制作したサイト
他社で制作したサイトも基本的には対応致しますが、Wordpress管理画面へのログイン情報、FTP接続の情報をお知らせいただいた上で事前調査が必要となります。調査の結果、可否をお知らせいたします。
※調査費用はかかりません。
ご利用中のサーバーについて
このサービスは、新しいバージョンのPHPがインストールされている又はインストールすることが出来るサーバーをご利用中であることが前提です。古いOSや古いバージョンのデータベースを利用している場合は、新しいバージョンのPHPをインストールすることが出来ない(出来ても不具合が発生する可能性が高い)為、PHPバージョンアップよりも前に新しいバージョンのOSがインストールされたサーバーへのサーバーリプレイスしてからになります。
※なお、弊社はUNIX系OSが専門です。Windows系OSをご利用の場合は、お断りするか別業者を相談致します。
同じサーバーで別サイトを運用している場合はご注意
同じサーバーで別サイトを運用している場合、PHPのバージョン切替を行うとそのWebサイトにも影響が出る場合がございます。
多くの共用サーバーでは、ドメイン単位でしかPHPのバージョン切替が出来ません。例えば、www.sample.comの為にバージョン切替したら、xxx.sample.com も切替られてしまいます。
従って、対象サイトのPHPバージョンをアップデートするには、別サイトも検証対象とするか、そのサイトを別サーバーに移転するかの選択が必要となります。
切替するPHPバージョン
切替するPHPバージョンは、共用サーバーの場合はそのサーバーで提供されている最新のバージョンに切替します。
専用・VPS・クラウドの場合
専用・VPS・クラウドの様な、root権限付サーバーは、お客様とご相談の上、決定致します。
root権限付サーバーはインストールされているOSがバックサポートしているPHPバージョンを利用することが望ましいのですが、OSバージョンによって古いバージョンのPHPとなることがございます。例えば、RockyLinux8.3ではPHP7.4が標準でインストールされておりバックサポートも2029年までと長く設定されていますが、7.4を使い続けるとWordpress側が対応しなくなります。その場合は、REMIリポジトリから取得できるPHPバージョンの中から、最新のものをインストールします。但し、REMIリポジトリから取得したものは、サポート期間が短い為、その後も定期的にバージョンアップが必要になります。
この様に、お客様によって事情が異なるので、どのバージョンのPHPが良いのか総合的に判断した上で、弊社からご提案いたします。
料金について
サイトの規模、利用中のプラグイン、その他提供中の機能によって、作業量が異なる為、ご利用するウェブサイトによって異なります。事前にお見積り提出致します。
作業期間について
こちらもサイトの規模、利用中のプラグイン、その他提供中の機能によって、作業量が異なる為、ご利用するウェブサイトによって異なります。お見積りと一緒に報告します。
テストサイトの用意について
PHPアップデートの動作検証は、必ずテストサイトで行います。
もしテストサイトが無い場合は、新たにテストサイトを用意します。本番環境での動作検証は、公開中コンテンツに不具合が発生しウェブサイトに不利益を発生させる恐れがある為、特別な事情がある場合を除き、検証を実施する事が出来ません。
既にテストサイトがある場合
既にテストサイトがある場合でも、本番環境と完全同期してから作業を行います。(テストサイト側が更新されていないことが多く、不具合を見逃さないため)
その関係で、管理画面へのログイン情報が本番用と同一になってしまいますのでご了承ください。
また購入情報や会員情報等の個人情報は、テストサイト側での個人情報流出を防ぐ目的に、同期直後全ての個人情報を削除させていただきますので、ご了承ください。
PHPの切替がドメイン毎の共用サーバーの場合
当社がお勧めしているXサーバーでは、PHPバージョンの切替がドメイン毎で行う仕様で、本番用ドメインのサブドメインを使ってPHPアップデートの動作検証が出来ません。
その為、テストサイト用に新たにドメイン取得をお願いする事になります。
幸いXサーバーでは、ドメインの永年無料特典※があり、既に本番用ドメインで利用していても、、.blog / .online / .site のドメインに限り2つ目の取得を無料という特典もございます。
※ 2025年夏時点の情報です。Xサーバーの事情で特典廃止される場合もございます。また、特典利用には条件がございます。詳しくはXサーバーの公式サイトをご覧ください。
ドメイン取得が難しい場合は、当社所有のテスト用ドメインを割り当てる事も可能です。
ドメイン毎でPHPの切替が出来ない共用サーバーの場合
PHPバージョンの切替が、契約単位の場合は当社で用意するテストサーバーを利用します。
但し、本番環境切替の際に多少の不具合が発生する可能性がございます。もし切替後のチェックで不具合が出た場合は、一旦切替を保留にして、その後の対応を協議させていただきます。
※ このケースの場合、切替前には必ずバックアップを取得してから行いますので、不具合発生の場合は元に戻した状態にします。
そもそもPHPバージョンが切替できない共用サーバーの場合
共用サーバーには、PHPバージョンが切り替えられない場合もございます。この様な共用サーバーは、多くの場合は同サービス間でのサーバーリプレイス(同じサービスで新しいソフトウェア環境の整ったサーバーへの引越し)が出来ると思われます。
同一サービス間で、引越しする場合はリプレイスの前に弊社テストサーバーで動作検証を行ってから、リプレイスします。
またこれを機会に、別のサーバーへのサーバーリプレイスもご検討ください。引越し先が、Xサーバーの場合は、リプレイス料金の割引サービス※のご用意がございます。
※ 但し、当社がお知らせするURLからの契約申込が必要です。
管理者権限付のLinuxサーバーを利用している場合
クラウド、VPS等管理者権限付(root権限付)のサーバーを利用している場合は、共用サーバーと比べ柔軟な対応が出来ますが、その管理を別の業者様に委託されている場合は、先ずはその業者様にご相談ください。
テスト環境の準備までを、その業者様に行っていただき、動作検証作業以降を当社が担当する方法でも構いません。
また一時的に管理者権限を付与していただける場合は、サーバーの設定作業も含めて当社が一括で行う事も可能です。
テストサイトで動作検証
テストサイト側で実際にPHPを切替して動作検証を行います。動作検証は以下の各項目でこのサービスの検証レベルは簡易検査となります。
この検査は、PHPをアップデートしても緊急に修正すべき不具合が発生していない状態で公開できるレベルの検査です。
つまり、考えられる限りの動作をチェックしている訳では無く、日常的に運用するレベルの動作のみチェックしています。
普段利用していない設定や使い方まで詳細にチェックしている訳ではございませんので、100%不具合が無いという事ではありません。予めご了承ください。
より詳細に動作確認を希望される場合は、作業オプションの詳細検査をご指定ください。また、脆弱性の検査を行っている訳ではございません。希望の場合は、別途脆弱性検査をご依頼ください。当社提携の脆弱性診断事業者をご紹介いたします。
フロント側の目視確認
公開側(フロント側)ページの表示確認を行います。PHPをアップデートした場合でよく発生するのは、こちらで説明している通り、エラー表示や一部機能が動作しない事による非表示、表示崩れです。
従って、その影響はそのほとんどが公開側(フロント側)ページに表れます。また、Webサイトに取ってPHPをアップデートによる影響が一番大きいのは、公開側(フロント側)ページの不具合ですので、動作検証では公開側(フロント側)ページの目視確認に重点を置いて確認します。
確認するページ
基本的には、全てのページをチェックします。対象ページは、Wordpressが吐き出しているsitemap.xmlを元にリストを作って、ひとつひとつアクセスして目視確認を行います。但し、膨大なページ数に及ぶ場合は、そのテンプレートを使ったページから数十ページを抜粋するのみとさせていただく場合もございます。
動的コンテンツの動作確認
簡易検査は、特に
- サイト内検索
- 一覧などの絞り込み機能
- 問い合わせフォーム
- ECサイト機能(カートから注文完了)
- 見積算出
PHPをアップデートした事で、これらの処理が一部機能しない事でエラーが発生したり、機能しなかったりする事がありますので、それをチェックします。
確認する動作
訪問者が行う、その機能の一連の動作をチェックします。例えば問い合わせフォームの場合は、問い合わせ入力~送信完了、実際にメールが送信されるか?をチェックします。ECサイトの場合も、適当な商品を選びカードに追加、注文手続き、注文完了までを行い実際に受注管理画面に反映されるまでをチェックします。
その他、必要と思われる機能(投稿機能など)の動作確認
簡易検査では、PHPをアップデートしても緊急に修正すべき不具合が発生していない状態で公開できるレベルの検査ですので、主に公開コンテンツのチェックを行いますが、特に影響が大きいと思われる投稿機能は、当社の判断によりチェックします。
その判断基準は、利用しているプラグインのうち1年以上アップデートされていないものが対象で、そのプラグインがお客様のWebサイトで利用している機能をチェックします。
その他、スクラッチ開発で別途開発したものは、PHPをアップデートで動作しない・不具合が発生する場合が多い為、これもチェックします。
動作検証の報告と本番環境のアップデート
全ての動作検証が完了しましたら、その結果を報告致します。
報告方法は、不具合箇所の報告と対処方法の提案、動作確認リスト(エクセルファイル)の提出を当社オンラインオーダーシステム※で行います。
※ 2025年9月以降 それ以前はメールによる報告
不具合が無い場合や、無視できる程度の不具合(お客様の判断次第)の場合は、改めて本番環境のデータベースを取得した上で本番サイト側のPHPを最新バージョンに切替して、Wordpress及び利用中のプラグインも全て最新の状態にアップデートします。
尚、検証の為に構築したテストサイトは、その後もご利用ください。
日常的なWordpressの更新、プラグインの更新の検証用として役立ててください。また、再びPHPをバージョンアップする際の検証用サイトとしても再度利用できます。その他、投稿の練習や設定変更時の動作確認等、テストサイトは本番サイトの保険として利用できますので、ご活用ください。
動作検証で不具合が発生したら
動作検証の結果、不具合が発生した場合は、その不具合箇所に応じた対応策を提案致します。
不具合解消の為の修正や代替策を提案する場合は、先ずは概算見積(おおよその見積)をお伝えしますので、これらのご提案をお客様サイドでご検討いただき、その後の方針(PHPの切替見送りも含めて)をご検討ください。
方針の検討段階で、不明点やご相談(こんな事が出来ないか?など)がございましたら、都度ご相談にの応じますので、お気軽にご相談ください。
またご検討の結果、修正をご依頼いただく場合、検証費用はサービスとさせていただく場合もございます。
動作検証のフローチャート
動作検証~それ以降の対応は、以下のフローチャートの通りになります。
- 動作検証
-
-
- 不具合なし
- 本番環境も
最新PHPへ切替(当社) - 検証費用を請求
-
- 不具合あり
- 対応策を提案。概算見積提示(当社)
- お客様サイドで方針を検討
-
- 最新PHPへ切替を決定
不具合箇所の修正を依頼 - 修正(当社)
- 再度テストサイトで確認
- 修正箇所を本番化
最新PHPへ切替(当社) - 検証費用+修正料金を請求
場合によっては検証費用はサービス
- 最新PHPへ切替を断念
- 本番サイトはそのまま運用
テストサイトは本番サイトと同じPHPに切替 - 検証費用のみ請求
- 最新PHPへ切替を決定
-
作業オプション
詳細検査
より細かい動作検証を行います。
公開されている全てのページを表示確認し、レスポンシブの場合はPC表示、スマートフォン表示それぞれの表示確認を行います。
また各機能について考えられる全てのパターンを検査します。
検証結果は、行った検査全てをリスト化して提出致します。
免責事項
当社のPHPアップデート検証サービスは、テストサイト上での動作確認を行う簡易的な検査です。検証内容は一部の動作確認に限られるため、全ての不具合や影響を検出できるものではありません。
本サービスの結果に基づき実施されたアップデートや変更により発生した損害については、当社は責任を負いかねます。
WordPressサイトのPHPバージョンアップに伴う動作検証サービスの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
PHPはWordpressを構成する最も重要なプログラム言語です。従って、使用するPHPをバージョンアップしたり、逆にWordpress側をバージョンアップするとWebサイトに不具合が出ることがあります。
理想は、WordPressとインストールされたプラグインを常に最新のバージョンにアップデートして、サポートが有効なPHPバージョンを利用することですが、利用しているサーバーの事情や、お客様のご予算の都合上難しい場合は、以下をお読みいただいた上で運用方針を決定してください。また、各ご事情を考慮した上でお客様に最適な運用方法をご提案(料金はかかりません)することも可能ですので、お気軽にご相談ください。
また、弊社がお客様に代わってWordpressとインストールされたプラグインを常に最新のバージョンにアップデート→動作確認→不具合が出た場合は修正を定額料金で行うお得な保守サービスもご用意しております。
WordPressが動作するPHPバージョン
WordPressは、どのバージョンのPHPでも動作するという訳ではありません。Wordpressのバージョンによって、対応するPHPバージョンがあります。例えば2023年12月現在で最新のVer6.4のWordpressでは以下の必要条件となります。
| メーラー名 | OS |
|---|---|
| PHP | バージョン7.4以上 |
| MySQL※ | バージョン5.7以上 |
| MariaDB※ | バージョン10.3以上 |
※ データベースのバージョンで、WordpressはMySQLかMariaDB(MySQL互換のDBサーバー)で動作します。
現在のWordpressサイトを新しいバージョンのPHPへ変更した場合の影響
WordPressもPHPも最新の状態で運用することが望ましいのですが、Wordpressサイトで利用するPHPを新しいバージョンのPHPへ変更した場合、サイト自体に不具合が発生する場合がございます。
具体的には以下の様に不具合が発生します。
- サイトのページに英語のエラーメッセージが表示される
- サイトのページが真っ白になってしまう
- WordPress重大なエラーが表示される
- サイトのページに英文でエラーメッセージが表示される・体裁崩れが起きている
- サイトの一部機能が動作しない
- 管理画面でエラー表示が表示される
- 管理画面で一部機能が動作しない
- 特定のプラグインが動作しない
上記の様な現象が発生した場合は、Webサイトを更新する必要がございます。具体的には以下の通りです。
テーマファイルが原因の不具合
テーマファイルとは弊社が制作したお客様のサイトを構成する為のPHPで制作したテンプレートファイルです。PHPで制作している為、新しいバージョンのPHPで動作しない又はエラー表示される場合がございます。
その場合、弊社では以下の対応をいたします。
保守サービスご利用の場合・納品後(新規)6か月以内の場合
多くの不具合は、保守サービス内で対応する為、追加費用などはかかりません。また、納品後6か月以内の場合は保守サービス同様の対応を致します。
サイト更新をご依頼いただいた場合
Webサイトの更新をご依頼いただいたWordpressサイトは、更新の種別によって対応が異なります為、個別にご対応させていただいています。
上記以外のお客様
有償にて動作検証・不具合修正を行っていますので、ご相談ください。
利用しているプラグインが原因の不具合
プラグインはWordpressとは別の開発者がサポートしている関係で、新しいバージョンのPHPでの動作は利用プラグイン次第ということになります。対応されるまでの期間もプラグインによって異なる為、一旦は新しいバージョンのPHPへの変更を保留し、プラグインの更新を待つことをお願いします。
一定期間経過してもプラグイン更新が無い場合
一定期間経過してもプラグイン更新が無い場合は、そのプラグイン開発者がサポートを止めてしまっている可能性がございます。その場合、そのプラグインがWebサイトにとっての重要度が低い場合は、利用の停止をお勧めします。重要度の高いプラグインの場合は、代替策(代替プラグインの利用など)を検討する必要があります。
古いPHPでWordpressを運用している場合
WordPressが対応外としているPHPバージョンの場合、Wordpressのダッシュボード※に以下のメッセージが表示されます。
※ 管理画面左メニューの「ダッシュボード」をクリックすると表示します。ただしサイトによっては、表示しない設定にしてある場合があります。
上記の場合、対応しているPHPのバージョンと利用しているPHPのバージョンが近いので、問題なく動作していますが、あまりにも古いPHPバージョンだと管理画面にアクセスしてもエラー表示が表示されたり、画面が真っ白となったりしてログインすることも出来ない場合があります。
プラグインの場合
プラグインもWordpress同様にPHPで構成されています。プラグインは、Wordpressとは別の開発者がサポートしている為、全てのプラグインが最新のWordpressが推奨するPHPバージョンに対応させているとは限りませんが、更新を頻繁に行っているプラグイン※ならば最新のWordpressに対応する形でアップデートされています。その為、プラグインが動作するPHPバージョンも新しいものに限られる場合がございます。その場合は、プラグイン一覧で以下の様に表示されます。
※ 弊社で制作したサイトは、特別な事情が無い限り更新サポートが頻繁に行われているプラグインを利用することをポリシーとしています。
古いPHPでWordpressを運用し続けるリスク
古いPHPのままWordpressサイトを運用し続ける場合、直ちに影響がある場合ではありませんが、何れは対応しないと以下の様なリスクがあります。
WordPressが更新できない
WordPressがそのPHPに非対応となる為、Wordpressを更新できない状態になります。そうなると、プラグインも更新が出来なくなる(利用しているWordpressバージョンにプラグイン側が対応しなくなる)事になります。
そのままの状態でもサイト運用に問題ないので、即リスクがある訳ではございませんが、もしWordPressや利用しているプラグインに脆弱性が発覚した場合、そのセキュリティリスクに晒される状態になります。
プラグインが更新できない
WordPress同様に、プラグインがそのPHPに対応しなくなる為、プラグインの更新が出来なくなります。プラグイン更新には、脆弱性の対応も含まれるのでやはりセキュリティリスクに晒される状態になります。
WordPressやプラグイン更新を放置した実例
WordPressやプラグインを古いまま使用していたサイトで実際に次の様な実例がございました。多くの場合、セキュリティについて甘く考えており、事が起こってからあわてて相談されるケースが後を絶ちません。
WordPress4.7でサイト制作してそのまま利用し続けたケース
近年で最も大きなWordPressの脆弱性被害は、2017年にあった150万サイト以上が改ざん被害で、弊社のお客様もその被害に合いました。バージョン4.7.0およびバージョン4.7.1の「攻撃に対する認証が不要」、「リクエストを送るだけで改ざん可能」といった脆弱性が利用され、サイト内のリンクが全て不正サイトに誘導されるという改ざんを受けました。Wordpres管理画面からサーバー内の全てファイルに操作可能な状態であった為、どのファイルが改ざんされているか特定困難だったのと、定期的なバックアップを取っていなかったこと、弊社で制作したサイトではない為、納品時のバックアップも取得できないという状態だった為、結果的に一時的なサイト閉鎖とサイトを全て作り直すということになりました。
プラグインの脆弱性を放置したケース
利用しているプラグインの脆弱性が発覚していたにも関わらず、その脆弱性に対応したプラグインを更新せず使い続けていた為、被害に合いました。プラグインのSQLインジェクションの脆弱性でデータベースの中身を参照・改ざん。結果的に管理者パスワードを抜き取られてWordPressの最高権限を取得された後、サイト全体がアダルトサイトへ誘導する為のサイトへ作り替えられていました。このサイトは、バックアップがあった為、バックアップから復元した後、Wordpress本体と全てのプラグインを更新、FTP、DB含む全てのパスワードを変更、かつWP管理ページには、2段階認証を導入した上で、特定のIPアドレスからしか接続できない様にする対策をしました。SQLインジェクションの脆弱性は、DBの中身を全て参照されてしまう危険性がある為、もし個人情報を保管しているDBの場合、その個人情報が流出してしまうという危険性もあります。
PHPのバージョンとWordPressの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
この脆弱性は、Wordpressで会員制サイトを運用し、その会員制サイト運用の為にプラグイン「Ultimate Member」を利用しているお客様が対象です。
このプラグインを使用しないで会員制サイトを構築している場合は、対象ではありません。
現在弊社のお客様で、このプラグインを導入して会員制サイトを構築しているお客様はおりませんので、通知メールは送信していませんが、特に緊急性の高い脆弱性の為サポートサイトにてお知らせ致します。
お客様サイドで、このプラグインを導入されている場合は、直ちにアップデートしてください。
Ultimate Memberとは
「WordPress」において会員制サイトを運用するための支援機能を提供するプラグインで、会員制サイト作成プラグインの中でもユーザー権限管理機能が充実している為、人気の高いプラグインです。
脆弱性の概要
セキュリティ企業DefiantのWordfence脅威インテリジェンスチームは2023年6月29日にこのプラグインに含まれる特権昇格の脆弱性がサイバー攻撃に利用されていると報告されました。
少なくとも5件のIPアドレスを発信元とする攻撃が観測され、この攻撃者によって「wpenginer」「wpadmins」「wpengine_backup」「se_brutal」「segs_brutal」といったアカウントの作成を試行する活動が確認されているそうです。
この脆弱性が悪用された場合、サイト上でのユーザの役割を制御するwp_capabilitiesユーザメタ値がadministratorに設定され、未認証の攻撃者が管理者としてサイトに登録されてしまう可能性があります。
もし攻撃者のアカウントが管理者権限を持った場合、登録会員情報の漏洩だけでなく、お客様及び登録会員に対し様々な不利益が予想されます。
影響を受けるバージョン
2.6.6以前
対処方法
7月1日にリリースした2.6.7にて同脆弱性を解消したとしています。既に管理者権限を作成されてしまっている場合もある為、このプラグインを利用しているお客様は次の対応を直ちに行ってください。
- プラグインのアップデート
- 身に覚えのない管理者アカウントがないか確認
- セキュリティ機能を強化するプラグインの利用
またこの脆弱性を悪用してログイン入力を盗聴するマルウェアなどが設置されている可能性もあるとし、全ユーザーのパスワードをリセットし、全てのサイト会員へ対し事態の説明をする様に求められています。
「Ultimate Member」にCVSS9.8の脆弱性が発見されました。利用しているお客様は直ちに最新版へアップデートしてください。の関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
このページはWordPress+MW WP Formご利用の方が対象です
このページは、2023年05月19日に作成したページです。
このページに掲載しているMW WP Formの仕様・機能・操作手順は、現在リリースされている最新バージョンのMW WP Formと異なる場合がございます。
- このページに掲載している
MW WP Formのバージョン: - MW WP Form4.4.2未満
当社で制作したWordpressを利用したウェブサイトにおいて、メールフォームを設置しているお客様の多くは日本製のプラグイン「MW WP Form」を利用しています。
2023年5月15日、このMW WP Formにディレクトリトラバーサルの脆弱性が発見されました。
MW WP Formの開発元により、脆弱性に対応したMW WP Form 4.4.3がリリースされています。
WordPressをご利用のお客様で、「MW WP Form 4.4.2未満」を導入しているWebサイトをご利用のお客様はアップデートしてください。
MW WP Formの開発元の株式会社モンキーレンチからのリリース情報
※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。
脆弱性の概要
4.4.2未満のMW WP Formには、ディレクトリトラバーサルの脆弱性が存在しています。
ディレクトリトラバーサルの脆弱性とは
ファイルやディレクトリを操作する際に、不正なパスを挿入されることによって意図しないディレクトリやファイルを参照、操作されてしまう問題です。悪意あるフォーム送信者は本来参照できないサーバー上のファイルを参照することができ、結果としてサーバのリソース枯渇による DoS または WordPress の再インストール(RCE)につながります。
アップデート対応について
WordPress保守契約をご利用のお客様または納品後3か月以内のお客様
既に当社にて対応済です。
納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様
お客様ご自身でアップデートしてください。
管理者権限のユーザーIDでWordpressにログインした後、こちらの方法でインストール済みプラグインへ移動します。
プラグイン一覧から、MW WP Formに「新バージョンの MW WP Form が利用できます。バージョン 4.4.5 の詳細を表示するか、更新してください。」と表示されていますので「更新」をクリックしてください。
アップデートによる不具合の可能性
このプラグインはウェブサイトの表示及び問い合わせフォームからのメール送信に関係するプラグインですので、特に古いバージョンのプラグインを利用している場合は、不具合が出る可能性は少なからずございます。テストサイトが利用できるお客様は、先ずはテストサイト側でアップデートしてウェブサイトに不具合が無いか確認してください。
テストサイトが無い場合や、ご心配なお客様は必ずバックアップを取った上でアップデートしてください。
バックアップするデータ
次のデータをバックアップします。
- WordPressが利用するDBデータ
- プラグインデータ
WordPressのディレクトリ/wp-content/plugins/mw-wp-form
アップデートした事で不具合が発生した場合
テストサイトでアップデートして不具合が発生している場合は、本番環境のアップデートを一旦保留にしてください。
そしてリスクを承知の上で※、同プラグインバージョンを使用するか、弊社に不具合の原因調査・修正を依頼するかお客様で判断してください。
※ 同プラグインバージョンを利用し続ける事で万が一、お客様に不利益な事象が発生しても当社は一切の責任を負う事は出来ません。予めご了承ください。
テスト環境が無く本番環境をアップデートした事で不具合発生してしまったお客様
バックアップデータを使って復元してください。復元方法が分からない場合は、弊社にご依頼いただければ弊社が復元致しますが、作業費用を頂戴する事となりますのでご了承ください。
※ 作業費用及び納期は、お客様によって異なります為、ご依頼前にお尋ねください。見積及び納期を提示致します。
【重要】「MW WP Form」ディレクトリトラバーサルの脆弱性が発見されました。最新版へアップデートしてください。の関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
このページはWordPressご利用の方が対象です
このページは、2022年08月01日に作成したページです。
このページに掲載しているWordPressの仕様・機能・操作手順は、現在リリースされている最新バージョンのWordPressと異なる場合がございます。
WordPressを利用したウェブサイトの固定ページの追加・更新や新規機能の追加、設定変更などを当社にご依頼された時、WordPress自体及び利用しているプラグインを最新の状態に更新した上で、修正作業を行わせていただきます。
このアップデートは、ご依頼されたウェブサイトのセキュリティ保持と、そのご依頼がその時点での最新環境で動作する状態での納品を行う為です。
その為、このアップデート作業については、修正料金の大小にかかわらず全てのご依頼に対して無償で行います。
但し、アップデート対象のWordpressバージョン、プラグインは以下の取り決めとさせていただきます。また、万が一アップデートによる不具合が発生してしまった場合の対応も以下の通りとさせていただきます。予めご了承ください。
アップデート対象のWordpressバージョン、プラグインについて
WordPressバージョンについて
WordPressは、同系バージョンの最新版へのアップデートとなります。
例えばご利用中のWordpressが4.x だった場合は、4系での最新バージョンへアップデート致します。2022年8月時点でのWordpress最新バージョンは6.0.1ですが4系・5系をご利用の場合、6.0.1へのアップデートは致しません。
これは、別系バージョンへのアップデートでの不具合発生の可能性がある為です。もし、古いWordpressをご利用のサイトを最新バージョンへアップデートしたい場合は、別途依頼いただくことになります。その場合は、有償となりますがアップデートの検証・不具合の対応等を行います。対応フローについて詳しくは、こちらをご覧ください。
プラグインについて
アップデートするプラグインは、そのサイトの初回制作時(リニューアル時)に当社の判断でインストールしたプラグインのみアップデートとなります。
お客様が、ご自身でインストールされたプラグインはアップデート致しません。
アップデート前のバックアップ
万が一アップデートにより、不具合が発生した場合でも元の状態に戻すことが出来る様に、依頼の大小にかかわらず次のデータバックアップを行っています。
- 更新前の全てのアップロードデータ
- 更新前の全てのデータベースデータ
本番サイト・テストサイト両方共、弊社が手を加える前のデータを保存しております。
アップデート後の動作確認について
その更新依頼に関連する部分の動作確認を行い、不具合が無い状態での更新を行います。
その他、ウェブサイトの簡単な表示確認・動作確認を行いますが、細かい動作確認等は更新依頼時には行っておりません。
万が一、お客様で不具合を発見された場合、以下の「アップデートにより不具合が発生した場合」の対応を行います。
アップデートにより不具合が発生した場合
万が一、Wordpress自体及び利用しているプラグインのアップデートでウェブサイトに不具合が発生した場合は、一旦元のバージョンに戻します。
その上で、その更新依頼部分を適応し動作確認した上で納品※致します。
また、今後のアップデートについての対応をお客様へ提案し、協議させていただければと思います。
※ アップデートで不具合が出てしまうので、その更新依頼自体を止めるとしても修正料金は頂戴することになります。予めご了承ください。
WordPressサイト更新依頼時のWP及びプラグインアップデートについての関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
このページはWelcartご利用の方が対象です
このページは、2021年08月04日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。
- このページに掲載している
Welcartのバージョン: - Welcart2.2.7以下
Welcart 2.2.7までの全てのバージョンに於いて脆弱性報告が発表されました。
Welcart 2.2.7までの全てのバージョンを使い続ける場合、受注データの漏洩の危険性のある重大な脆弱性が確認できました。既に修正を行い、7月31日にバージョン2.2.8をリリースしています。Welcartをご利用の方は直ちにアップグレードを行ってください。
保守契約ご利用中・開発中・納品後3か月以内のお客様
既にバージョン2.2.8へのアップデート対応済です。
アップデートにより、不具合が発生する場合で、サイト運用に重大な影響を与えるものは早急に修正対応致します。
それ以外の不具合は、追って修正スケジュールをお知らせ致します。
上記以外のお客様
出来る限り早急に、お客様ご自身でアップグレードしてください。
アップデートにより、不具合が発生する場合で、サイト運用に重大な影響を与える場合は、個別にご相談ください。
それ以外の不具合は、別途有償にて承ります。
テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証
お客様によっては、テストサイトをご用意しています。※
※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。
テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。
アップグレードの前には必ずバックアップを
万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。
上記ページの中でも、DBデータは必ずバックアップしてください。
対象バージョン
Welcart 2.2.7までの全てのバージョン
危険性
受注データおよび会員データの漏洩の危険性が高い
対処法
Welcart 2.2.8以降のバージョンにアップグレードします。
管理画面のプラグインの画面にて、「Welcart e-Commerce」に表示されている「更新」をクリックしてアップグレードを完了してください。
【重要】welcart 2.2.7以下での重大な脆弱性のお知らせの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
このページはWelcartご利用の方が対象です
このページは、2021年06月09日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。
- このページに掲載している
Welcartのバージョン: - Welcart2.2.3以下
テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証
お客様によっては、テストサイトをご用意しています。※ ※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。 テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。アップグレードの前には必ずバックアップを
万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。 上記ページの中でも、DBデータは必ずバックアップしてください。Welcart 2.2以降の主な修正
会員関連のセキュリティを強化
- 会員のスパム登録に対処するため、会員の新規登録時に Google reCAPTCHA v3 の利用ができるようオプション機能を実装
- 会員登録、パスワード変更時のパスワードポリシーを厳密にチェックおよびメッセージするよう仕様を改善
- 会員ログインに対するブルートフォース攻撃に対処するため、連続ログイン失敗時のアクセス拒否機能を実装
不具合の修正と機能の改善
PayPal関連
- 定期購入の自動受注で決済エラーになった後、再決済ができなかった不具合を修正
- 継続課金会員情報画面の取引金額が通貨フォーマットされていなかった不具合を修正
- PayPal を利用停止にすると、内容確認画面で JavaScript エラーが発生する不具合を修正
- 複数配送先プラグイン利用時、複数配送先を指定した注文を PayPal で決済するとき、決済ができない不具合を修正
ブルートフォース対策関連
- ブルートフォース対策オプション設定が更新できない不具合を修正
- ブルートフォース対策でログインエラーチェック漏れがあった不具合を修正
ウィジェット関連
- 「Welcart 最近の投稿」というウィジェットを利用した時、記事のタイトルが全て現在表示しているページのタイトルになってしまう不具合を修正
その他
- 管理画面の商品リストで、商品コードまたは商品名順で並び替えをした時に、並び替えの解除が行えるよう仕様を改善
- 最新のGoogle Analytics for WordPress by MonsterInsightsでコンバージョンが取れなくなった不具合を修正
- 商品リストで在庫状態を指定して検索した時に、2ページ目に遷移すると検索条件が解除されてしまう不具合を修正
- 基本設定「会員ポイント:付与する/付与しない」の表示を変更
- 会員システムを利用しないにしている場合にお客様情報ページに会員規約説明文が表示されてしまう不具合を修正
- PDF 出力時 PHP Notice エラーが表示される不具合を修正
- 管理画面の設定項目のヒントが、タイトルをクリックしても表示されない不具合を修正
- wc_templates用のテンプレートタグ(関数)を追加
【重要】welcart 2.2.3以下でのクロスサイトスクリプティングの脆弱性報告の関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
WordPressのサイトにアクセスした際、「現在メンテナンス中のため、しばらくの間ご利用いただけません」という表示となった場合、それがWordpressやプラグインなどのアップデート中ならば慌てる事はございません。
次の様な画面となります。
これは、WordPressのアップデートシステムがメンテナンスモードにする為です。
このメッセージが出たからと言って、サイトに不具合が起きているという事ではございません。
しばらくすると自動的に、この表示が解消されて通常通りの状態に戻ります。
メンテナンスモードのまま変化しない場合
メンテナンスモードが解消されず、いつまで経っても通常の状態に戻らない場合があります。
その原因の多くは、以下の通りです。
- 更新途中でブラウザーのタブを閉じてしまった場合
- プラグインアップデートが、タイムアウト等で失敗してしまった場合
- そのプラグインが誤動作を引き起こす、互換性の問題があった場合
メンテナンスモードを手動で解除する
メンテナンスモードを解除するのは簡単です。
FTPでウェブサイトの公開フォルダにアクセスして、「wp-config.php」などと同じ階層にある、.maintenanceファイル を削除するだけです。
このファイルを削除すると、通常通りにアクセスできるはずです。
ウェブサイトの機能に異常がないか?プラグイン一覧を確認して、アップデートしていたプラグインが正常にアップデートされているか?を確認してください。
「現在メンテナンス中のため、しばらくの間ご利用いただけません」と表示される場合の対処の関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
WordPressは、CMS CMSとは、Contents Management System(コンテンツ・マネジメント・システム)の略で、ウェブサイトのコンテンツを構成するテキスト・画像などをHTMLの知識が無くても作成したり更新したりする事が出来るシステムです。CMSはブログやWordを使える程度のPCスキルがあれば、ウェブサイトを更新する事が出来ます。当社では、Wordpress、MovableTypeやPowerCMSの他、お客様のサイトに合わせて開発するフルスクラッチ型CMSなど幅広く対応しております。 では世界で圧倒的なシェアを誇り、弊社でも最近は制作するウェブサイトの半数以上でwordpressを利用しています。
その世界シェアは2020年1月時点で、CMS CMSとは、Contents Management System(コンテンツ・マネジメント・システム)の略で、ウェブサイトのコンテンツを構成するテキスト・画像などをHTMLの知識が無くても作成したり更新したりする事が出来るシステムです。CMSはブログやWordを使える程度のPCスキルがあれば、ウェブサイトを更新する事が出来ます。当社では、Wordpress、MovableTypeやPowerCMSの他、お客様のサイトに合わせて開発するフルスクラッチ型CMSなど幅広く対応しております。 シェアのうち60%を超えていますが、人気故に攻撃対象となる事も多く、オープンソースが故に脆弱な個所が発見されやすく、そこを突いてきます。
しかし、その人気が高いので脆弱性を修正したパッチの提供も早く、頻繁に更新されています。
WordPressやプラグインアップデートのリスク
上記の通りwordpressやプラグインをアップデートは、常に最新の状態に保っておく事が望ましいのですが、稀にアップデートによりウェブサイトに不具合が発生してしまう場合がございます。
ワードプレスのアップデートでサイトが機能しなくなる場合があります
ワードプレス本体がアップデートで使えなくなる事は、あまり無いのですが※、使用しているプラグインとアップデートしたワードプレスバージョンとの互換性が原因で、サイトが機能しなくなる場合がございます。
※メジャーアップデートの場合は不具合が発生する場合があります。
メジャー・マイナーの違いについてはこちら(外部サイト)をご覧ください。
アップデートで不具合が出たら
保守サービスを利用していない場合で、弊社規定の期間(納品時にお渡しする書類に期間を記載)を過ぎている場合、その不具合の解消や代替案の施工は有償作業となります。
有償でもアップデートが必要か否かは、お客様自身の判断次第となりますが、そのアップデートが致命的な脆弱性への対応アップデートだった場合は、早急な対処をお勧めします。
詳しくはこちらをご覧ください。
そのアップデートが致命的な脆弱性に対するものか否かを判断するには
次のサイトを参照して判断してください。
尚、早急に対処が必要な脆弱性の場合は、弊社からメールでお知らせする場合もございます。
保守サービスをご利用されているお客様
弊社でサイト保守サービスをご利用されているお客様の場合は、ワードプレス本体と使用しているプラグインのアップデート(上記の検証含む)は、弊社で行う為お客様自身で行っていただく必要はありません。
アップデート前には、サイトデータのバックアップを
もしアップデートした事で、不具合が発生した場合、アップデート前の状態に戻す為には、サイトデータのバックアップを行ってからにしましょう。
テストサイトが用意されている場合
ワードプレスを使用したサイト制作をご依頼されたお客様は、サイトの本番化前のご確認用・検証用・開発用としてテストサイトを用意している場合がございます。
なお全てのお客様テストサイトを用意しているものではございません。テストサイトをご用意している場合は、予めテストサイトのURL・ワードプレスのログイン情報等をお知らせしています。
このテストサイトは、上記の通り本番化前の確認用が主な目的ですが、本番化後にはお客様自身でご利用いただく為のサイトとなります。
その主な目的は
- お客様がワードプレスの各種更新作業を行う為の練習用として
- ワードプレスのアップデートの検証用として
としてご利用ください。
ワードプレスのアップデートは、先ずテストサイトでテストしてから
ワードプレスは、定期的に更新されます。また、そこに組み込んで利用しているプラグインも更新されます。
お客様のサイトを納品した後は、弊社規定の期間(納品時にお渡しする書類に期間を記載)を過ぎると、保守サービスを利用されない場合は、そのサイトのアップデート対応はお客様自身で行っていただく必要があります。
ハッカーやクラッカーなど悪意を持った個人・団体からサイトを守る為にもアップデートの適用は是非行っていただきたいのですが、公開しているサイトをいきなりアップデートしてしまう事はなるべく避けてください。
本体・プラグインのアップデートは、先ずテストサイトで検証
上記の理由から、公開しているサイトをいきなりアップデートしてしまうのではなく、先ずテストサイトでアップデートをテストしてから、問題なければ公開サイト側もアップデートしましょう。
そうする事で、もしアップデートした後に、テストサイトに不具合があった場合でも
- アップデートしていない公開サイト側のアップデートを一旦延期し、テストサイト側で原因を探る事が出来る
- とりあえず問題の無い、公開サイト側のデータバックアップが出来る。→そのデータを使って、テストサイトを元の状態に戻す事が出来る。
のです。
WordPress利用ウェブサイトのWordPress及びプラグインのアップデートについての関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
WordPressやプラグインのアップデートで、ウェブサイトや管理画面の不具合が発生した場合の当社推奨の対応については、以下それぞれのフロー図をご覧ください。
WordPressアップデートで不具合が発生したら
もしWordpressをアップデートした事で、ウェブサイトや管理画面に不具合が発生した場合は、弊社にご相談いただければ有料となりますが原因を調査致します。
原因調査による、対応フローは以下の通りです。
「WordPress利用サイトのアップデート保守サービス」ご利用の方は、こちらをご覧ください。
上記で見積がNGの場合
WordPressプラグインアップデート
で不具合が発生したら
もしWordpressプラグインをアップデートした事で、ウェブサイトや管理画面に不具合が発生した場合は、弊社にご相談いただければ有料となりますが原因を調査致します。
原因調査による、対応フローは以下の通りです。
上記で見積がNGの場合
WordPressプラグイン削除による影響
プラグインを削除する事で、当然ながらそのプラグインが提供していた機能が使えなくなります。これが、例えばより運用上(管理上)若干不便になるものなら問題はありませんが、サイトの機能として、また表示する情報として不具合が出てしまう為、テーマ自体を修正する必要がございます。
プラグイン削除を提案する場合は、運用上若干不便にある様な場合や、削除による影響が軽微な場合にのみ、提案致します。
WordPressやプラグインのアップデートで不具合が発生した時の関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。