PHPのバージョンとWordPress

WordPress

PHPはWordpressを構成する最も重要なプログラム言語です。従って、使用するPHPをバージョンアップしたり、逆にWordpress側をバージョンアップするとWebサイトに不具合が出ることがあります。

理想は、WordPressとインストールされたプラグインを常に最新のバージョンにアップデートして、サポートが有効なPHPバージョンを利用することですが、利用しているサーバーの事情や、お客様のご予算の都合上難しい場合は、以下をお読みいただいた上で運用方針を決定してください。また、各ご事情を考慮した上でお客様に最適な運用方法をご提案(料金はかかりません)することも可能ですので、お気軽にご相談ください。

 

また、弊社がお客様に代わってWordpressとインストールされたプラグインを常に最新のバージョンにアップデート→動作確認→不具合が出た場合は修正を定額料金で行うお得な保守サービスもご用意しております。

 

 

WordPressが動作するPHPバージョン

WordPressは、どのバージョンのPHPでも動作するという訳ではありません。Wordpressのバージョンによって、対応するPHPバージョンがあります。例えば2023年12月現在で最新のVer6.4のWordpressでは以下の必要条件となります。

メーラー名OS
PHP バージョン7.4以上
MySQL バージョン5.7以上
MariaDB バージョン10.3以上

※ データベースのバージョンで、WordpressはMySQLかMariaDB(MySQL互換のDBサーバー)で動作します。

現在のWordpressサイトを新しいバージョンのPHPへ変更した場合の影響

WordPressもPHPも最新の状態で運用することが望ましいのですが、Wordpressサイトで利用するPHPを新しいバージョンのPHPへ変更した場合、サイト自体に不具合が発生する場合がございます。

具体的には以下の様に不具合が発生します。

 

  • サイトのページに英語のエラーメッセージが表示される
  • サイトのページが真っ白になってしまう
  • WordPress重大なエラーが表示される
    Wordpress重大なエラー
  • サイトのページに英文でエラーメッセージが表示される・体裁崩れが起きている
  • サイトの一部機能が動作しない
  • 管理画面でエラー表示が表示される
  • 管理画面で一部機能が動作しない
  • 特定のプラグインが動作しない

 

上記の様な現象が発生した場合は、Webサイトを更新する必要がございます。具体的には以下の通りです。

テーマファイルが原因の不具合

テーマファイルとは弊社が制作したお客様のサイトを構成する為のPHPで制作したテンプレートファイルです。PHPで制作している為、新しいバージョンのPHPで動作しない又はエラー表示される場合がございます。

その場合、弊社では以下の対応をいたします。

 

保守サービスご利用の場合・納品後(新規)6か月以内の場合

多くの不具合は、保守サービス内で対応する為、追加費用などはかかりません。また、納品後6か月以内の場合は保守サービス同様の対応を致します。

 

サイト更新をご依頼いただいた場合

Webサイトの更新をご依頼いただいたWordpressサイトは、更新の種別によって対応が異なります為、個別にご対応させていただいています。

 

上記以外のお客様

有償にて動作検証・不具合修正を行っていますので、ご相談ください。

 

利用しているプラグインが原因の不具合

プラグインはWordpressとは別の開発者がサポートしている関係で、新しいバージョンのPHPでの動作は利用プラグイン次第ということになります。対応されるまでの期間もプラグインによって異なる為、一旦は新しいバージョンのPHPへの変更を保留し、プラグインの更新を待つことをお願いします。

 

一定期間経過してもプラグイン更新が無い場合

一定期間経過してもプラグイン更新が無い場合は、そのプラグイン開発者がサポートを止めてしまっている可能性がございます。その場合、そのプラグインがWebサイトにとっての重要度が低い場合は、利用の停止をお勧めします。重要度の高いプラグインの場合は、代替策(代替プラグインの利用など)を検討する必要があります。

 

 

古いPHPでWordpressを運用している場合

WordPressが対応外としているPHPバージョンの場合、Wordpressのダッシュボードに以下のメッセージが表示されます。

※ 管理画面左メニューの「ダッシュボード」をクリックすると表示します。ただしサイトによっては、表示しない設定にしてある場合があります。

 

WordpressのPHP警告

 

上記の場合、対応しているPHPのバージョンと利用しているPHPのバージョンが近いので、問題なく動作していますが、あまりにも古いPHPバージョンだと管理画面にアクセスしてもエラー表示が表示されたり、画面が真っ白となったりしてログインすることも出来ない場合があります。

プラグインの場合

プラグインもWordpress同様にPHPで構成されています。プラグインは、Wordpressとは別の開発者がサポートしている為、全てのプラグインが最新のWordpressが推奨するPHPバージョンに対応させているとは限りませんが、更新を頻繁に行っているプラグイン※ならば最新のWordpressに対応する形でアップデートされています。その為、プラグインが動作するPHPバージョンも新しいものに限られる場合がございます。その場合は、プラグイン一覧で以下の様に表示されます。

※ 弊社で制作したサイトは、特別な事情が無い限り更新サポートが頻繁に行われているプラグインを利用することをポリシーとしています。

 

古いPHPでのプラグイン更新表示

 

 

古いPHPでWordpressを運用し続けるリスク

古いPHPのままWordpressサイトを運用し続ける場合、直ちに影響がある場合ではありませんが、何れは対応しないと以下の様なリスクがあります。

WordPressが更新できない

WordPressがそのPHPに非対応となる為、Wordpressを更新できない状態になります。そうなると、プラグインも更新が出来なくなる(利用しているWordpressバージョンにプラグイン側が対応しなくなる)事になります。

そのままの状態でもサイト運用に問題ないので、即リスクがある訳ではございませんが、もしWordPressや利用しているプラグインに脆弱性が発覚した場合、そのセキュリティリスクに晒される状態になります。

 

プラグインが更新できない

WordPress同様に、プラグインがそのPHPに対応しなくなる為、プラグインの更新が出来なくなります。プラグイン更新には、脆弱性の対応も含まれるのでやはりセキュリティリスクに晒される状態になります。

 

WordPressやプラグイン更新を放置した実例

WordPressやプラグインを古いまま使用していたサイトで実際に次の様な実例がございました。多くの場合、セキュリティについて甘く考えており、事が起こってからあわてて相談されるケースが後を絶ちません。

WordPress4.7でサイト制作してそのまま利用し続けたケース

近年で最も大きなWordPressの脆弱性被害は、2017年にあった150万サイト以上が改ざん被害で、弊社のお客様もその被害に合いました。バージョン4.7.0およびバージョン4.7.1の「攻撃に対する認証が不要」、「リクエストを送るだけで改ざん可能」といった脆弱性が利用され、サイト内のリンクが全て不正サイトに誘導されるという改ざんを受けました。Wordpres管理画面からサーバー内の全てファイルに操作可能な状態であった為、どのファイルが改ざんされているか特定困難だったのと、定期的なバックアップを取っていなかったこと、弊社で制作したサイトではない為、納品時のバックアップも取得できないという状態だった為、結果的に一時的なサイト閉鎖とサイトを全て作り直すということになりました。

 

プラグインの脆弱性を放置したケース

利用しているプラグインの脆弱性が発覚していたにも関わらず、その脆弱性に対応したプラグインを更新せず使い続けていた為、被害に合いました。プラグインのSQLインジェクションの脆弱性でデータベースの中身を参照・改ざん。結果的に管理者パスワードを抜き取られてWordPressの最高権限を取得された後、サイト全体がアダルトサイトへ誘導する為のサイトへ作り替えられていました。このサイトは、バックアップがあった為、バックアップから復元した後、Wordpress本体と全てのプラグインを更新、FTP、DB含む全てのパスワードを変更、かつWP管理ページには、2段階認証を導入した上で、特定のIPアドレスからしか接続できない様にする対策をしました。SQLインジェクションの脆弱性は、DBの中身を全て参照されてしまう危険性がある為、もし個人情報を保管しているDBの場合、その個人情報が流出してしまうという危険性もあります。