皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、まだリリースされたばかりなのでレンタルサーバーなどにも設置されていませんが、今日は『PHP』の最新版『PHP 7.4』をご紹介します。

PHPの最新版PHP7.4がリリースされる

『PHP 7』がリリースされてから約4年が経過しましたが、今回で4回目のフィーチャーアップデート版『PHP 7.4』がリリースされました。

（概ね1年毎にフィーチャーアップデート版がリリースされています。）

そして、『PHP 7.4.0』の新機能と改善は以下のように公開されています。

・クラスプロパティにおける型宣言のサポート

・関数定義を簡略化するためのアロー関数の導入

・制限された共変戻り値型と反変引数をサポート

・Null合体代入演算子をサポート

・配列内展開機能の導入

・数値理テラス区切り記号を導入

・弱い参照を導入

・_toString()からの例外を許可するように機能を変更

・Opcacheのプリロード機能導入

・一部の拡張機能をCoreから削除

・一部の機能を非推奨へ変更

といった感じです。

例によってパフォーマンスの改善も行われているようで、おそらく『PHP 7.3』までのものよりもパフォーマンスは良くなると予想されます。

残念なことは、『WordPress』での『PHP 7』の使用率はまだ約50%程度のようで、残りの半数は『PHP 5.6以下』のものが使われていることです。

現在の『WordPress』の要件は『PHP 7.3以上』となっていることもあり、早い段階で『PHP 7』への移行を検討してほしいものです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

私もここ最近で気づかされたことがあります。

Webサーバーの『Apache』が『Apache 2.4』からアクセス制御の記述方法が大きく変わっていることを。

Apache2.4におけるアクセス制御

『.htaccess』などに記述するアクセス制御ですが、『Apache 2.2』と『Apache 2.4』では記述方法が異なります。

例えば、すべての要求を拒否する場合に『Apache 2.2』では

Order deny,allow
Deny from all

と記述していましたが、『Apache 2.4』では

Require all denied

と記述します。

ただし、多くのホスティング会社では従来の『Apache 2.2』の記述方法でアクセス制御が可能となるよう、『Apache』に『モジュール』を追加して対応していると思われます。

それならば問題はないのでは？

となるところですが、

サーバーの高負荷などが原因でその『モジュール』が正常に動作しないことが発生すれば別です。

『500 Internal Server Error』となりWebサイトが表示されなくなります。

つまり、そういったエラーの要因を一つでも減らしておくには『Apache 2.4』の記述に変更すべきと言えるわけです。

明日に続く。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『レンタルサーバーを信用していますか？』と聞かれた場合、普通は『YES』と答えるでしょう。

しかし、レンタルサーバーも人間が作った機械を場所貸ししているに過ぎませんので、時には問題も発生します。

また、ウェブ制作業者に保守としてお任せの場合、その保守契約の内容はどのような内容になっていますか？

レンタルサーバのバックアップ

レンタルサーバーによってはバックアップをセットにしていたり、オプション扱いにしているものもありますが、そのサービスがない場合もあります。

ここでまず言えるのは、バックアップサービスがないレンタルサーバーであれば自身でバックアップを取得するべきだということです。

先にも述べた通り、レンタルサーバーも機械ですから故障もあります。

ということは、万が一の際、直前の状態まで復元できるものがなかったらどうしますか？

元の状態に戻すことはできませんよね。

また、バックアップサービスのあるレンタルサーバーを借りている場合においても、そのバックアップサービスが正常に作動しなかった場合はどうしますか？

結局のところ、どれも絶対ではないということです。

ではどのようにすれば良いのか？

バックアップサービスがあるレンタルサーバーであれば、そのバックアップが正常に取得できているのかを定期的に確認することです。

バックアップサービスがないレンタルサーバーであれば、定期的にバックアップを実行し、ローカルのパソコンにも保管しておくことです。

また、ウェブ制作業者の保守としてお任せの場合、有事の際には最新の状態に戻すことまで約束された契約であるのかを確認しておく必要があります。

今日お話しした話しは非常に極端な話しかもしれませんが、会計・給与・販売購買在庫などの業務システムを日々バックアップ取得しているのと同様、ウェブに関しても同じくらい重要なもので、万が一の際の備えはいくつか用意しておく必要があるということをお伝えしたかったのが趣旨です。

ご参考までに。

パーミッションとは、ファイルやディレクトリごとに対する読み取り、書き込み、実行に対するアクセス許可情報のことを言います。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ウェブサイトを管理している方、特にWordPressで構築されたウェブサイトの管理者なら『パーミッション』という言葉を聞いたことがあるかと思います。

これは、ファイルやディレクトリごとに対するアクセス権になりますので、設定次第では危険にさらされた状態であったりします。

では、どのように設定しておくのが良いのでしょうか？

パーミッションとは

まず、パーミッションは3つのユーザーと3つの権限の組み合わせになります。

ユーザーには、

１．所有者（ファイル・ディレクトリのオーナー）

２．所有者と同じグループ（同一サーバーを利用できるユーザー）

３．その他のユーザー（その他の第三者）

があり、権限としては、

１．読み取り権限（読んで良いか？）：r

２．書き込み権限（書いて良いか？）：w

３．実行する権限（動かして良いか？）：x

があります。

これらをすべて並べると、rwxrwxrwx（777）となります。

パーミッションの設定

一般的なパーミッションの設定としては、

１．htmlファイルや画像ファイル：644（rw-r–r–）

２．ディレクトリ：755（rwxr-xr-x）

３．cgi実行ファイル：755（rwxr-xr-x）

４．cgiやJavaScriptのライブラリ：644（rw-r–r–）

といった感じに設定したりしますが、

１の場合、所有者であるオーナーは読むことも書くことも可能で、所有者と同じグループとその他の第三者は読むことだけの権限という設定になります。

また、３の場合はプログラムを動かす必要性があるため、すべてのユーザーに実行する権限が付与されています。

ただし、多くの事業者は共用のレンタルサーバーを使ってウェブサイトを公開していることが多いため、所有者と同じグループの権限を付与してしまうと、共用サーバー内の他者が操作をできてしまうことになってしまいます。

そのため、所有者と同じグループの部分は権限を付与しない方が良いです。

従って、644（rw-r–r–）であれば604（rw—r–）、755（rwxr-xr-x）であれば705（rwx—r-x）としておく方がお勧めです。

また、WordPressを使っている場合においては『wp-config.php』というファイルがありますが、これは所有者だけが読み込むことができる400（r——–）としておくことが最も安全な設定となります。

（共用サーバーで400が設定できない場合は600（rw——-）がお勧めです。）

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭でお書きしたことは、特にWordPressなどのオープンソースのCMSツールを使っている場合のことを意味しています。

以前もWordPressアップデート不可の記事にて書かせていただきましたが、いくつかの理由でWordPressは定期的にアップデートされています。

セキュリティ関連の修正も含まれているため本来はアップデートを行った方が良いわけですが、レンタルサーバーが対応していないなどの理由によりアップデートができないケースが存在するのも事実です。

そのような場合はどのような方法にて対処するのが良いのか？

WAFを用いたセキュリティ対策

アップデートができない以上、何らかの対策を行っていないとウェブが非常に危険な状態にさらされることは言うまでもありません。

その場合、WAF（ウェブアプリケーションファイアウォール）というものを使ってウェブアプリケーションの脆弱性を補っておくことが望ましいです。

このWAFは、通常のファイアウォールやIPSでは対処できない『SQLインジェクション』や『クロスサイトスクリプティング』などの攻撃からウェブアプリケーションを守ってくれるもので、ウェブアプリケーションの脆弱性対策アップデートが行えない以上、これくらいのことをしておくくらいしか正直手段がありません。

レンタルサーバーと自社サーバー

レンタルサーバーの場合、探せばオプションとしてWAFが使えるところはありますので、アップデートができない場合はこのようなオプション契約をされることをお勧めします。

費用的には月額500円程度で利用可能でしょう。

また、自社サーバーの場合はUTMなどの統合型セキュリティを導入されることが望ましいです。

ウェブアプリケーションそのものは脆弱性対策がとられていたとしても攻撃を受けないわけではありませんので、被害の確率を減少させるためにもUTMなどは導入していただきたいものです。

では、何故新しいバージョンにアップデートできないことがあるのでしょうか？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

あまり気にされていない方も多いかもしれませんが、WordPressもPHPプログラムですので脆弱性があったりします。

その場合、当然ながら脆弱性を修正したバージョンにアップデートするべきなのですが、それ以前の問題として、WordPressがアップデートできないケースがあったりします。

レンタルサーバーが対応していない

レンタルサーバーには、PHP、MySQLやPostgreSQLなどを固定バージョンで提供している会社、PHPのバージョンが選択可能で、データベースソフトはそれらに対応させている会社があります。

前者の場合、ウェブサイトを制作してもらった時に契約したレンタルサーバーのそれぞれのバージョンが新しいものであったとしても、数年後には新しいWordPressのバージョンに対応できないケースがあります。

WordPressの実行環境に変化があるからです。

この場合、レンタルサーバーを新しいバージョンが使えるプランに移行するか、レンタルサーバー会社を変える必要があります。

その理由は前述の通り、WordPressにも脆弱性が見つかった場合は修正のアップデートが行われますので、それに対応するには新しいバージョンが稼働する環境へ移行するしかないのです。

（移行しないのであればリスクを抱えたまま使用することになります。）

制作会社が自動更新を止めている

別の理由として、ウェブサイトを制作した業者がWordPressの自動更新を止めている可能性が考えられます。

これは業者が悪いのではなく、たいていの場合はWordPressというツールを使ってユーザー向けにカスタマイズをしていることから、何でもかんでもアップデートされてしまうと逆に不具合が生じる可能性があるのを避けるためです。

その場合、業者には常にアップデートを行ってほしい旨の申し入れをしておいた方が良いでしょう。

また、その回答にもよりますが、おそらく業者はテスト環境にてアップデートを行っても問題が起きないかどうかをテストし、問題が起きないことを確認してから本番環境のアップデートを行いますのでそこそこの労力がかかります。

保守契約内容にもよりますが、これらの作業が保守契約に含まれていなかったとしても、セキュリティ的なことを考えると行ってもらうべきものとして考えるのが妥当です。

発信元のIPアドレスを調べた限りでは、インドのムンバイから発信されています。

皆さん、こんにちは。

業務コンサルタントの高橋です。

先月中旬、私のところにも毎日海外からスパムメールが送られてきました。

件名には、『invoice』や『Payment』といった請求支払を思わせるタイトルが付けられ、それには必ず添付ファイルが付いていたのです。

不明な添付ファイルの顛末

これらの不明なメールの添付ファイルを開くと、パソコン内の文書や画像などが勝手に暗号で書換えされてしまいます。

その後、この暗号で書換えされてしまったものを解除するキーとの引換えとして、仮想通貨（実際にはビットコイン）での支払いを求められることになってしまうのです。

このようになってしまった場合、バックアップから復元してみたりセキュリティベンダーのツールを利用してみたりと、復旧を試みる手段はありますが、最悪の場合は身代金を支払っても復旧はできませんので、初期化してクリーンインストールするしかありません。

身代金の支払はしてはいけないということです。

不明な添付ファイルは開かない

一番重要なことは、不用意に不明なメールの添付ファイルを開かないことです。

何か資料が送られてくる予定があれば相手はわかっているはずですから、その予定もなく、かつ、相手が知らないところからのメールであれば無視して削除してしまえば良い話しです。

これらは、セキュリティソフトの迷惑メール対策を使えばある程度は識別できるように振り分けをしてくれます。

レンタルサーバー契約があるのであれば、レンタルサーバー側にて迷惑メールに対するフィルタリングをかけることもできます。

そういった事前の対策をしておき、それでもすり抜けて受信してしまった不明なメールに関しては、絶対に添付ファイルなどを開かず削除してしまうことを意識付けて下さい。

『なんだろう？』と不思議がってクリックしてしまった後の代償は、非常に厳しいものとなってしまいます。

現代はこういったものが常に付きまとっていることを意識・注意していればかなりのものは防ぐことが可能です。

今すぐ意識を変えてみて下さい。