古いPHPバージョンでは、いずれ最新のWordpressやプラグインが利用できなくなります。
WordPressや、WPプラグインはPHPというプログラム言語を利用しています。
PHPは定期的にアップデートされ各バージョンには、サポート期間が設定されています。
サポート期間が終了したPHPバージョンは、セキュリティアップデートが終了するので脆弱性のリスクに晒されます。
PHPバージョンアップに合わせてWordpressや、WPプラグインも新しいPHPバージョンに合わせたアップデートが行われ、古いPHPバージョンは利用できなくなって行きます。
古いバージョンのPHPで運用しているWordpressサイトはWordPressやプラグインが対応しなくなる為、WordPressやプラグインが更新が出来なくなります。従って、現在のWordpressサイトをリニューアルせずに運用するには、どこかのタイミングで新しいPHPバージョンに切り替える必要がございます。
しかし、新しいPHPバージョンに切り替えた時WordPressサイトの方がそのPHPバージョンに対応していない部分がある場合がございます。
WordPressを使って、お客様独自の機能やデザインを施したウェブサイトを構築する為に、テーマファイルというデータを制作しますが、これもまたPHPで開発しています。従って、テーマファイルも切替したPHPバージョンに合わせて修正する必要がある場合がございます。
また、WPプラグインの中にはプラグイン提供元の更新がストップしてしまい新しいPHPバージョンに対応していないという事もあります。この場合は、そのプラグインの機能を諦めるか、代替策を施す必要があります。
予算などの都合上で、どちらも難しい場合はWordpressや、WPプラグインをアップデートしないで利用し続ける事になりますが、ウェブサイトは脆弱性に晒される事になります。また、サーバー側も古いPHPは利用できなくなる(提供を停止する)為、いつかはウェブサイトが正常な状態で表示されなくなります。
現在のWordpressサイトを新しいバージョンのPHPへ変更した場合の影響や古いPHPでWordpressを運用し続けるリスクについて詳しくは以下をご覧ください。
この様に、Wordpressサイトはどこかのタイミングで新しいバージョンのPHPへ切り替えて、切り替えたことで出現する不具合を解消してサイトを延命する必要がございます。
PHPのバージョンアップで発生する不具合
関数や構文の非推奨・削除
PHPの新しいバージョンでは、古い関数や構文が 非推奨になったり削除されることがあります。
この場合次の様な現象が発生する事があります。
- サイトの一部が表示されない
- サイトにエラーが表示される
- プラグインやテーマの機能が動かなくなる
- データベース接続が失敗する
型やエラー処理の仕様変更
PHPのバージョンが上がると、型のチェックやエラーの厳格さが変わる場合があります。
この場合次の様な現象が発生する事があります。
- 正常に動作していたコードがエラーを出す
- サイトの表示崩れやフォーム送信が失敗する
プラグインやテーマの互換性が合わない
WordPressやCMS、その他ライブラリは、特定のPHPバージョンで動作確認されています。
PHPのメジャーアップデートでバージョンが変わると、互換性のないプラグインやテーマがエラーを起こす可能性があります。
この場合次の様な現象が発生する事があります。
- 管理画面が開かない
- そのプラグインが処理する部分が表示しない、または表示崩れが発生
- そのプラグインやテーマが提供する機能が一部使えない
セキュリティ・拡張モジュールの影響
PHPのバージョンアップでは一部拡張モジュールが削除・非推奨になることがあります。
この場合次の様な現象が発生する事があります。
- 暗号化やメール送信、画像処理などの機能が動かない
動作環境依存の不具合
サーバーの OS や Webサーバーの設定、MySQL(データベース)バージョンとの組み合わせで、PHPアップデート後に予期せぬ動作不具合が発生することがあります。
この場合次の様な現象が発生する事があります。
- サイト表示が真っ白になる
- エラー表示が出る
WordPressサイトのPHPバージョンアップに伴う動作検証
ご依頼いただいたお客様には、次の作業を実施します。
1.作業前のバックアップ
作業開始の前に、次のデータをバックアップします。
- 本番環境のWordpressデータ全て※
- テストサイトのテーマファイル
- DBデータ(本番・テストサイト両方)
※ テーマファイルだけでなく、プラグインも含めた全てのデータをバックアップします。
バックアップしたデータは、弊社のローカル環境及びサーバーの別の場所(ドキュメントルートより上の階層)にZIPファイルで保存します。
2.テストサイトが無い場合はテストサイトを用意
テストサイトが無い場合は、テストサイトを用意します。
本番環境のPHPバージョンアップをした際に、未発見の不具合が出ない様にする為です。
テストサイト環境は、なるべく同じサーバー環境に用意します。これはPHPの設定や利用できるモジュール、許可されているウェブサーバーの設定がサーバーによって異なる為、なるべく本番環境のPHPを最新バージョンに切り替えた際に、再び不具合が発生するのを防ぐ目的です。
その他、テストサイトについてはこちらをご覧ください。
3.本番環境をテストサイトに同期
作業時点での本番環境をテストサイトに同期します。
本番環境のPHPバージョンアップをした際に、未発見の不具合が出ない様にする為です。
またテストサイトは、必ずアクセス制限を設定します。
その他、万が一にも検索登録されない様にnoindexの設定、All in one SEOを無効化します。
4.Wordpressとプラグインは全て最新に
WordPress本体や有効化されているプラグインに、更新通知が出ているにもかかわらずアップデートされていない場合は、まずPHPを最新バージョンに切り替えたうえで、WordPress本体・プラグインを更新してから動作検証を行います。
この手順は、次の事を目的としています。
- 利用中のプラグインが最新のPHPバージョンに対応しているかを確認するため
- プラグインを最新化し、ウェブサイトの脆弱性を軽減して安全性を高めるため
- サイトの安定稼働期間(寿命)を延ばすため
5.テストサイトのPHPを最新verに切り替えて動作検証
6.検証結果の報告
動作検証の結果を報告します。
検証の結果、不具合があった箇所はその対応策をご提案します。
詳しくはこちらをご覧ください。
不具合が無い場合や、無視できる程度の不具合(お客様判断)の場合は、再度DBのバックアップを取得した上で本番サイト側のPHPを最新のバージョンに切替、Wordpressやプラグインも最新のものにアップデートします。
ウェブサイト保守サービスご利用の場合
保守サービスをご利用の場合は、心配する必要はありません。弊社がWordPressやプラグインに加えて、PHPも利用中のバージョンのサポート期限が切れる前に、切替します。切り替えたことで出現する不具合についても全てではございませんが、保守費用内で不具合解消します。
保守サービスをご利用されていないお客様にも、安心して新しいバージョンのPHPへ切り替えを行う事が出来るPHPバージョンアップサービスをご用意しています。
このサービスをご利用できるWordpressサイト
弊社で制作したサイト
弊社で制作したサイトは、全てのサイトでご利用が可能です。
他社で制作したサイト
他社で制作したサイトも基本的には対応致しますが、Wordpress管理画面へのログイン情報、FTP接続の情報をお知らせいただいた上で事前調査が必要となります。調査の結果、可否をお知らせいたします。
※調査費用はかかりません。
ご利用中のサーバーについて
このサービスは、新しいバージョンのPHPがインストールされている又はインストールすることが出来るサーバーをご利用中であることが前提です。古いOSや古いバージョンのデータベースを利用している場合は、新しいバージョンのPHPをインストールすることが出来ない(出来ても不具合が発生する可能性が高い)為、PHPバージョンアップよりも前に新しいバージョンのOSがインストールされたサーバーへのサーバーリプレイスしてからになります。
※なお、弊社はUNIX系OSが専門です。Windows系OSをご利用の場合は、お断りするか別業者を相談致します。
同じサーバーで別サイトを運用している場合はご注意
同じサーバーで別サイトを運用している場合、PHPのバージョン切替を行うとそのWebサイトにも影響が出る場合がございます。
多くの共用サーバーでは、ドメイン単位でしかPHPのバージョン切替が出来ません。例えば、www.sample.comの為にバージョン切替したら、xxx.sample.com も切替られてしまいます。
従って、対象サイトのPHPバージョンをアップデートするには、別サイトも検証対象とするか、そのサイトを別サーバーに移転するかの選択が必要となります。
切替するPHPバージョン
切替するPHPバージョンは、共用サーバーの場合はそのサーバーで提供されている最新のバージョンに切替します。
専用・VPS・クラウドの場合
専用・VPS・クラウドの様な、root権限付サーバーは、お客様とご相談の上、決定致します。
root権限付サーバーはインストールされているOSがバックサポートしているPHPバージョンを利用することが望ましいのですが、OSバージョンによって古いバージョンのPHPとなることがございます。例えば、RockyLinux8.3ではPHP7.4が標準でインストールされておりバックサポートも2029年までと長く設定されていますが、7.4を使い続けるとWordpress側が対応しなくなります。その場合は、REMIリポジトリから取得できるPHPバージョンの中から、最新のものをインストールします。但し、REMIリポジトリから取得したものは、サポート期間が短い為、その後も定期的にバージョンアップが必要になります。
この様に、お客様によって事情が異なるので、どのバージョンのPHPが良いのか総合的に判断した上で、弊社からご提案いたします。
料金について
サイトの規模、利用中のプラグイン、その他提供中の機能によって、作業量が異なる為、ご利用するウェブサイトによって異なります。事前にお見積り提出致します。
作業期間について
こちらもサイトの規模、利用中のプラグイン、その他提供中の機能によって、作業量が異なる為、ご利用するウェブサイトによって異なります。お見積りと一緒に報告します。
テストサイトの用意について
PHPアップデートの動作検証は、必ずテストサイトで行います。
もしテストサイトが無い場合は、新たにテストサイトを用意します。本番環境での動作検証は、公開中コンテンツに不具合が発生しウェブサイトに不利益を発生させる恐れがある為、特別な事情がある場合を除き、検証を実施する事が出来ません。
既にテストサイトがある場合
既にテストサイトがある場合でも、本番環境と完全同期してから作業を行います。(テストサイト側が更新されていないことが多く、不具合を見逃さないため)
その関係で、管理画面へのログイン情報が本番用と同一になってしまいますのでご了承ください。
また購入情報や会員情報等の個人情報は、テストサイト側での個人情報流出を防ぐ目的に、同期直後全ての個人情報を削除させていただきますので、ご了承ください。
PHPの切替がドメイン毎の共用サーバーの場合
当社がお勧めしているXサーバーでは、PHPバージョンの切替がドメイン毎で行う仕様で、本番用ドメインのサブドメインを使ってPHPアップデートの動作検証が出来ません。
その為、テストサイト用に新たにドメイン取得をお願いする事になります。
幸いXサーバーでは、ドメインの永年無料特典※があり、既に本番用ドメインで利用していても、、.blog / .online / .site のドメインに限り2つ目の取得を無料という特典もございます。
※ 2025年夏時点の情報です。Xサーバーの事情で特典廃止される場合もございます。また、特典利用には条件がございます。詳しくはXサーバーの公式サイトをご覧ください。
ドメイン取得が難しい場合は、当社所有のテスト用ドメインを割り当てる事も可能です。
ドメイン毎でPHPの切替が出来ない共用サーバーの場合
PHPバージョンの切替が、契約単位の場合は当社で用意するテストサーバーを利用します。
但し、本番環境切替の際に多少の不具合が発生する可能性がございます。もし切替後のチェックで不具合が出た場合は、一旦切替を保留にして、その後の対応を協議させていただきます。
※ このケースの場合、切替前には必ずバックアップを取得してから行いますので、不具合発生の場合は元に戻した状態にします。
そもそもPHPバージョンが切替できない共用サーバーの場合
共用サーバーには、PHPバージョンが切り替えられない場合もございます。この様な共用サーバーは、多くの場合は同サービス間でのサーバーリプレイス(同じサービスで新しいソフトウェア環境の整ったサーバーへの引越し)が出来ると思われます。
同一サービス間で、引越しする場合はリプレイスの前に弊社テストサーバーで動作検証を行ってから、リプレイスします。
またこれを機会に、別のサーバーへのサーバーリプレイスもご検討ください。引越し先が、Xサーバーの場合は、リプレイス料金の割引サービス※のご用意がございます。
※ 但し、当社がお知らせするURLからの契約申込が必要です。
管理者権限付のLinuxサーバーを利用している場合
クラウド、VPS等管理者権限付(root権限付)のサーバーを利用している場合は、共用サーバーと比べ柔軟な対応が出来ますが、その管理を別の業者様に委託されている場合は、先ずはその業者様にご相談ください。
テスト環境の準備までを、その業者様に行っていただき、動作検証作業以降を当社が担当する方法でも構いません。
また一時的に管理者権限を付与していただける場合は、サーバーの設定作業も含めて当社が一括で行う事も可能です。
テストサイトで動作検証
テストサイト側で実際にPHPを切替して動作検証を行います。動作検証は以下の各項目でこのサービスの検証レベルは簡易検査となります。
この検査は、PHPをアップデートしても緊急に修正すべき不具合が発生していない状態で公開できるレベルの検査です。
つまり、考えられる限りの動作をチェックしている訳では無く、日常的に運用するレベルの動作のみチェックしています。
普段利用していない設定や使い方まで詳細にチェックしている訳ではございませんので、100%不具合が無いという事ではありません。予めご了承ください。
より詳細に動作確認を希望される場合は、作業オプションの詳細検査をご指定ください。また、脆弱性の検査を行っている訳ではございません。希望の場合は、別途脆弱性検査をご依頼ください。当社提携の脆弱性診断事業者をご紹介いたします。
フロント側の目視確認
公開側(フロント側)ページの表示確認を行います。PHPをアップデートした場合でよく発生するのは、こちらで説明している通り、エラー表示や一部機能が動作しない事による非表示、表示崩れです。
従って、その影響はそのほとんどが公開側(フロント側)ページに表れます。また、Webサイトに取ってPHPをアップデートによる影響が一番大きいのは、公開側(フロント側)ページの不具合ですので、動作検証では公開側(フロント側)ページの目視確認に重点を置いて確認します。
確認するページ
基本的には、全てのページをチェックします。対象ページは、Wordpressが吐き出しているsitemap.xmlを元にリストを作って、ひとつひとつアクセスして目視確認を行います。但し、膨大なページ数に及ぶ場合は、そのテンプレートを使ったページから数十ページを抜粋するのみとさせていただく場合もございます。
動的コンテンツの動作確認
簡易検査は、特に
- サイト内検索
- 一覧などの絞り込み機能
- 問い合わせフォーム
- ECサイト機能(カートから注文完了)
- 見積算出
PHPをアップデートした事で、これらの処理が一部機能しない事でエラーが発生したり、機能しなかったりする事がありますので、それをチェックします。
確認する動作
訪問者が行う、その機能の一連の動作をチェックします。例えば問い合わせフォームの場合は、問い合わせ入力~送信完了、実際にメールが送信されるか?をチェックします。ECサイトの場合も、適当な商品を選びカードに追加、注文手続き、注文完了までを行い実際に受注管理画面に反映されるまでをチェックします。
その他、必要と思われる機能(投稿機能など)の動作確認
簡易検査では、PHPをアップデートしても緊急に修正すべき不具合が発生していない状態で公開できるレベルの検査ですので、主に公開コンテンツのチェックを行いますが、特に影響が大きいと思われる投稿機能は、当社の判断によりチェックします。
その判断基準は、利用しているプラグインのうち1年以上アップデートされていないものが対象で、そのプラグインがお客様のWebサイトで利用している機能をチェックします。
その他、スクラッチ開発で別途開発したものは、PHPをアップデートで動作しない・不具合が発生する場合が多い為、これもチェックします。
動作検証の報告と本番環境のアップデート
全ての動作検証が完了しましたら、その結果を報告致します。
報告方法は、不具合箇所の報告と対処方法の提案、動作確認リスト(エクセルファイル)の提出を当社オンラインオーダーシステム※で行います。
※ 2025年9月以降 それ以前はメールによる報告
不具合が無い場合や、無視できる程度の不具合(お客様の判断次第)の場合は、改めて本番環境のデータベースを取得した上で本番サイト側のPHPを最新バージョンに切替して、Wordpress及び利用中のプラグインも全て最新の状態にアップデートします。
尚、検証の為に構築したテストサイトは、その後もご利用ください。
日常的なWordpressの更新、プラグインの更新の検証用として役立ててください。また、再びPHPをバージョンアップする際の検証用サイトとしても再度利用できます。その他、投稿の練習や設定変更時の動作確認等、テストサイトは本番サイトの保険として利用できますので、ご活用ください。
動作検証で不具合が発生したら
動作検証の結果、不具合が発生した場合は、その不具合箇所に応じた対応策を提案致します。
不具合解消の為の修正や代替策を提案する場合は、先ずは概算見積(おおよその見積)をお伝えしますので、これらのご提案をお客様サイドでご検討いただき、その後の方針(PHPの切替見送りも含めて)をご検討ください。
方針の検討段階で、不明点やご相談(こんな事が出来ないか?など)がございましたら、都度ご相談にの応じますので、お気軽にご相談ください。
またご検討の結果、修正をご依頼いただく場合、検証費用はサービスとさせていただく場合もございます。
動作検証のフローチャート
動作検証~それ以降の対応は、以下のフローチャートの通りになります。
- 動作検証
-
-
- 不具合なし
- 本番環境も
最新PHPへ切替(当社) - 検証費用を請求
-
- 不具合あり
- 対応策を提案。概算見積提示(当社)
- お客様サイドで方針を検討
-
- 最新PHPへ切替を決定
不具合箇所の修正を依頼 - 修正(当社)
- 再度テストサイトで確認
- 修正箇所を本番化
最新PHPへ切替(当社) - 検証費用+修正料金を請求
場合によっては検証費用はサービス
- 最新PHPへ切替を断念
- 本番サイトはそのまま運用
テストサイトは本番サイトと同じPHPに切替 - 検証費用のみ請求
- 最新PHPへ切替を決定
-
作業オプション
詳細検査
より細かい動作検証を行います。
公開されている全てのページを表示確認し、レスポンシブの場合はPC表示、スマートフォン表示それぞれの表示確認を行います。
また各機能について考えられる全てのパターンを検査します。
検証結果は、行った検査全てをリスト化して提出致します。
免責事項
当社のPHPアップデート検証サービスは、テストサイト上での動作確認を行う簡易的な検査です。検証内容は一部の動作確認に限られるため、全ての不具合や影響を検出できるものではありません。
本サービスの結果に基づき実施されたアップデートや変更により発生した損害については、当社は責任を負いかねます。
WordPressサイトのPHPバージョンアップに伴う動作検証サービスの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
PHPのバージョンとWordPress
PHPはWordpressを構成する最も重要なプログラム言語です。従って、使用するPHPをバージョンアップしたり、逆にWordpress側をバージョンアップするとWebサイトに不具合が出ることがあります。
理想は、WordPressとインストールされたプラグインを常に最新のバージョンにアップデートして、サポートが有効なPHPバージョンを利用することですが、利用しているサーバーの事情や、お客様のご予算の都合上難しい場合は、以下をお読みいただいた上で運用方針を決定してください。また、各ご事情を考慮した上でお客様に最適な運用方法をご提案(料金はかかりません)することも可能ですので、お気軽にご相談ください。
また、弊社がお客様に代わってWordpressとインストールされたプラグインを常に最新のバージョンにアップデート→動作確認→不具合が出た場合は修正を定額料金で行うお得な保守サービスもご用意しております。
WordPressが動作するPHPバージョン
WordPressは、どのバージョンのPHPでも動作するという訳ではありません。Wordpressのバージョンによって、対応するPHPバージョンがあります。例えば2023年12月現在で最新のVer6.4のWordpressでは以下の必要条件となります。
| メーラー名 | OS |
|---|---|
| PHP | バージョン7.4以上 |
| MySQL※ | バージョン5.7以上 |
| MariaDB※ | バージョン10.3以上 |
※ データベースのバージョンで、WordpressはMySQLかMariaDB(MySQL互換のDBサーバー)で動作します。
現在のWordpressサイトを新しいバージョンのPHPへ変更した場合の影響
WordPressもPHPも最新の状態で運用することが望ましいのですが、Wordpressサイトで利用するPHPを新しいバージョンのPHPへ変更した場合、サイト自体に不具合が発生する場合がございます。
具体的には以下の様に不具合が発生します。
- サイトのページに英語のエラーメッセージが表示される
- サイトのページが真っ白になってしまう
- WordPress重大なエラーが表示される
- サイトのページに英文でエラーメッセージが表示される・体裁崩れが起きている
- サイトの一部機能が動作しない
- 管理画面でエラー表示が表示される
- 管理画面で一部機能が動作しない
- 特定のプラグインが動作しない
上記の様な現象が発生した場合は、Webサイトを更新する必要がございます。具体的には以下の通りです。
テーマファイルが原因の不具合
テーマファイルとは弊社が制作したお客様のサイトを構成する為のPHPで制作したテンプレートファイルです。PHPで制作している為、新しいバージョンのPHPで動作しない又はエラー表示される場合がございます。
その場合、弊社では以下の対応をいたします。
保守サービスご利用の場合・納品後(新規)6か月以内の場合
多くの不具合は、保守サービス内で対応する為、追加費用などはかかりません。また、納品後6か月以内の場合は保守サービス同様の対応を致します。
サイト更新をご依頼いただいた場合
Webサイトの更新をご依頼いただいたWordpressサイトは、更新の種別によって対応が異なります為、個別にご対応させていただいています。
上記以外のお客様
有償にて動作検証・不具合修正を行っていますので、ご相談ください。
利用しているプラグインが原因の不具合
プラグインはWordpressとは別の開発者がサポートしている関係で、新しいバージョンのPHPでの動作は利用プラグイン次第ということになります。対応されるまでの期間もプラグインによって異なる為、一旦は新しいバージョンのPHPへの変更を保留し、プラグインの更新を待つことをお願いします。
一定期間経過してもプラグイン更新が無い場合
一定期間経過してもプラグイン更新が無い場合は、そのプラグイン開発者がサポートを止めてしまっている可能性がございます。その場合、そのプラグインがWebサイトにとっての重要度が低い場合は、利用の停止をお勧めします。重要度の高いプラグインの場合は、代替策(代替プラグインの利用など)を検討する必要があります。
古いPHPでWordpressを運用している場合
WordPressが対応外としているPHPバージョンの場合、Wordpressのダッシュボード※に以下のメッセージが表示されます。
※ 管理画面左メニューの「ダッシュボード」をクリックすると表示します。ただしサイトによっては、表示しない設定にしてある場合があります。
上記の場合、対応しているPHPのバージョンと利用しているPHPのバージョンが近いので、問題なく動作していますが、あまりにも古いPHPバージョンだと管理画面にアクセスしてもエラー表示が表示されたり、画面が真っ白となったりしてログインすることも出来ない場合があります。
プラグインの場合
プラグインもWordpress同様にPHPで構成されています。プラグインは、Wordpressとは別の開発者がサポートしている為、全てのプラグインが最新のWordpressが推奨するPHPバージョンに対応させているとは限りませんが、更新を頻繁に行っているプラグイン※ならば最新のWordpressに対応する形でアップデートされています。その為、プラグインが動作するPHPバージョンも新しいものに限られる場合がございます。その場合は、プラグイン一覧で以下の様に表示されます。
※ 弊社で制作したサイトは、特別な事情が無い限り更新サポートが頻繁に行われているプラグインを利用することをポリシーとしています。
古いPHPでWordpressを運用し続けるリスク
古いPHPのままWordpressサイトを運用し続ける場合、直ちに影響がある場合ではありませんが、何れは対応しないと以下の様なリスクがあります。
WordPressが更新できない
WordPressがそのPHPに非対応となる為、Wordpressを更新できない状態になります。そうなると、プラグインも更新が出来なくなる(利用しているWordpressバージョンにプラグイン側が対応しなくなる)事になります。
そのままの状態でもサイト運用に問題ないので、即リスクがある訳ではございませんが、もしWordPressや利用しているプラグインに脆弱性が発覚した場合、そのセキュリティリスクに晒される状態になります。
プラグインが更新できない
WordPress同様に、プラグインがそのPHPに対応しなくなる為、プラグインの更新が出来なくなります。プラグイン更新には、脆弱性の対応も含まれるのでやはりセキュリティリスクに晒される状態になります。
WordPressやプラグイン更新を放置した実例
WordPressやプラグインを古いまま使用していたサイトで実際に次の様な実例がございました。多くの場合、セキュリティについて甘く考えており、事が起こってからあわてて相談されるケースが後を絶ちません。
WordPress4.7でサイト制作してそのまま利用し続けたケース
近年で最も大きなWordPressの脆弱性被害は、2017年にあった150万サイト以上が改ざん被害で、弊社のお客様もその被害に合いました。バージョン4.7.0およびバージョン4.7.1の「攻撃に対する認証が不要」、「リクエストを送るだけで改ざん可能」といった脆弱性が利用され、サイト内のリンクが全て不正サイトに誘導されるという改ざんを受けました。Wordpres管理画面からサーバー内の全てファイルに操作可能な状態であった為、どのファイルが改ざんされているか特定困難だったのと、定期的なバックアップを取っていなかったこと、弊社で制作したサイトではない為、納品時のバックアップも取得できないという状態だった為、結果的に一時的なサイト閉鎖とサイトを全て作り直すということになりました。
プラグインの脆弱性を放置したケース
利用しているプラグインの脆弱性が発覚していたにも関わらず、その脆弱性に対応したプラグインを更新せず使い続けていた為、被害に合いました。プラグインのSQLインジェクションの脆弱性でデータベースの中身を参照・改ざん。結果的に管理者パスワードを抜き取られてWordPressの最高権限を取得された後、サイト全体がアダルトサイトへ誘導する為のサイトへ作り替えられていました。このサイトは、バックアップがあった為、バックアップから復元した後、Wordpress本体と全てのプラグインを更新、FTP、DB含む全てのパスワードを変更、かつWP管理ページには、2段階認証を導入した上で、特定のIPアドレスからしか接続できない様にする対策をしました。SQLインジェクションの脆弱性は、DBの中身を全て参照されてしまう危険性がある為、もし個人情報を保管しているDBの場合、その個人情報が流出してしまうという危険性もあります。
PHPのバージョンとWordPressの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
「Ultimate Member」にCVSS9.8の脆弱性が発見されました。利用しているお客様は直ちに最新版へアップデートしてください。
この脆弱性は、Wordpressで会員制サイトを運用し、その会員制サイト運用の為にプラグイン「Ultimate Member」を利用しているお客様が対象です。
このプラグインを使用しないで会員制サイトを構築している場合は、対象ではありません。
現在弊社のお客様で、このプラグインを導入して会員制サイトを構築しているお客様はおりませんので、通知メールは送信していませんが、特に緊急性の高い脆弱性の為サポートサイトにてお知らせ致します。
お客様サイドで、このプラグインを導入されている場合は、直ちにアップデートしてください。
Ultimate Memberとは
「WordPress」において会員制サイトを運用するための支援機能を提供するプラグインで、会員制サイト作成プラグインの中でもユーザー権限管理機能が充実している為、人気の高いプラグインです。
脆弱性の概要
セキュリティ企業DefiantのWordfence脅威インテリジェンスチームは2023年6月29日にこのプラグインに含まれる特権昇格の脆弱性がサイバー攻撃に利用されていると報告されました。
少なくとも5件のIPアドレスを発信元とする攻撃が観測され、この攻撃者によって「wpenginer」「wpadmins」「wpengine_backup」「se_brutal」「segs_brutal」といったアカウントの作成を試行する活動が確認されているそうです。
この脆弱性が悪用された場合、サイト上でのユーザの役割を制御するwp_capabilitiesユーザメタ値がadministratorに設定され、未認証の攻撃者が管理者としてサイトに登録されてしまう可能性があります。
もし攻撃者のアカウントが管理者権限を持った場合、登録会員情報の漏洩だけでなく、お客様及び登録会員に対し様々な不利益が予想されます。
影響を受けるバージョン
2.6.6以前
対処方法
7月1日にリリースした2.6.7にて同脆弱性を解消したとしています。既に管理者権限を作成されてしまっている場合もある為、このプラグインを利用しているお客様は次の対応を直ちに行ってください。
- プラグインのアップデート
- 身に覚えのない管理者アカウントがないか確認
- セキュリティ機能を強化するプラグインの利用
またこの脆弱性を悪用してログイン入力を盗聴するマルウェアなどが設置されている可能性もあるとし、全ユーザーのパスワードをリセットし、全てのサイト会員へ対し事態の説明をする様に求められています。
「Ultimate Member」にCVSS9.8の脆弱性が発見されました。利用しているお客様は直ちに最新版へアップデートしてください。の関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
【重要】「MW WP Form」ディレクトリトラバーサルの脆弱性が発見されました。最新版へアップデートしてください。
このページはWordPress+MW WP Formご利用の方が対象です
このページは、2023年05月19日に作成したページです。
このページに掲載しているMW WP Formの仕様・機能・操作手順は、現在リリースされている最新バージョンのMW WP Formと異なる場合がございます。
- このページに掲載している
MW WP Formのバージョン: - MW WP Form4.4.2未満
当社で制作したWordpressを利用したウェブサイトにおいて、メールフォームを設置しているお客様の多くは日本製のプラグイン「MW WP Form」を利用しています。
2023年5月15日、このMW WP Formにディレクトリトラバーサルの脆弱性が発見されました。
MW WP Formの開発元により、脆弱性に対応したMW WP Form 4.4.3がリリースされています。
WordPressをご利用のお客様で、「MW WP Form 4.4.2未満」を導入しているWebサイトをご利用のお客様はアップデートしてください。
MW WP Formの開発元の株式会社モンキーレンチからのリリース情報
※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。
脆弱性の概要
4.4.2未満のMW WP Formには、ディレクトリトラバーサルの脆弱性が存在しています。
ディレクトリトラバーサルの脆弱性とは
ファイルやディレクトリを操作する際に、不正なパスを挿入されることによって意図しないディレクトリやファイルを参照、操作されてしまう問題です。悪意あるフォーム送信者は本来参照できないサーバー上のファイルを参照することができ、結果としてサーバのリソース枯渇による DoS または WordPress の再インストール(RCE)につながります。
アップデート対応について
WordPress保守契約をご利用のお客様または納品後3か月以内のお客様
既に当社にて対応済です。
納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様
お客様ご自身でアップデートしてください。
管理者権限のユーザーIDでWordpressにログインした後、こちらの方法でインストール済みプラグインへ移動します。
プラグイン一覧から、MW WP Formに「新バージョンの MW WP Form が利用できます。バージョン 4.4.5 の詳細を表示するか、更新してください。」と表示されていますので「更新」をクリックしてください。
アップデートによる不具合の可能性
このプラグインはウェブサイトの表示及び問い合わせフォームからのメール送信に関係するプラグインですので、特に古いバージョンのプラグインを利用している場合は、不具合が出る可能性は少なからずございます。テストサイトが利用できるお客様は、先ずはテストサイト側でアップデートしてウェブサイトに不具合が無いか確認してください。
テストサイトが無い場合や、ご心配なお客様は必ずバックアップを取った上でアップデートしてください。
バックアップするデータ
次のデータをバックアップします。
- WordPressが利用するDBデータ
- プラグインデータ
WordPressのディレクトリ/wp-content/plugins/mw-wp-form
アップデートした事で不具合が発生した場合
テストサイトでアップデートして不具合が発生している場合は、本番環境のアップデートを一旦保留にしてください。
そしてリスクを承知の上で※、同プラグインバージョンを使用するか、弊社に不具合の原因調査・修正を依頼するかお客様で判断してください。
※ 同プラグインバージョンを利用し続ける事で万が一、お客様に不利益な事象が発生しても当社は一切の責任を負う事は出来ません。予めご了承ください。
テスト環境が無く本番環境をアップデートした事で不具合発生してしまったお客様
バックアップデータを使って復元してください。復元方法が分からない場合は、弊社にご依頼いただければ弊社が復元致しますが、作業費用を頂戴する事となりますのでご了承ください。
※ 作業費用及び納期は、お客様によって異なります為、ご依頼前にお尋ねください。見積及び納期を提示致します。
【重要】「MW WP Form」ディレクトリトラバーサルの脆弱性が発見されました。最新版へアップデートしてください。の関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。
