https – 業務改善コンサルティング情報ブログ

WPサイトの多くは非推奨PHP

Shingo Takahashi — Mon, 09 Sep 2019 11:01:44 +0900

『PHP』というプログラミング言語はWeb上で最も多く使用されているとされる言語ですが、Webサイト構築に用いられる『WordPress』は『PHP』で開発されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたようなことは百も承知かと思いますが、この『PHP』で開発されている『WordPress』サイトで使われている『PHP』の現状は少々驚くべきものがあります。

WordPressサイトの多くは非推奨PHP

まず、『PHP』が使われているWebサイトで見てみると、

『PHP 5』が未だに約66%も使われており、『PHP 7』は約33%に留まっています。

（『PHP 4』や『PHP 3』もごくわずかに存在している。）

そして、これを『WordPress』で構築されたサイトで見てみると、

・『PHP 7.3』：8.2%

・『PHP 7.2』：21%

・『PHP 7.1』：13.4%

・『PHP 7.0』：15.4%

・『PHP 5.6』：27%

・『PHP 5.5』：3.3%

・『PHP 5.4』：6.3%

・『PHP 5.3』：3.8%

・『PHP 5.2』：1.6%

（WordPress公式分析より）

となっています。

『PHP 7.3』は未だに1割にも満たず、『PHP 5系』を使っているユーザーは未だ4割以上も存在します。

しかし、現在の『WordPress』公式要件はと言うと、

・PHPバージョン7.3以上

・MySQL バージョン 5.6 以上、または MariaDB バージョン 10.1 以上

・HTTPS対応

です。

『PHP 7』は『PHP 5.6』と比較して圧倒的に高速になった『ハイパフォーマンスPHP』バージョンなため、パフォーマンスを考慮すべき現在のWebからすれば『PHP 7』にしない方がデメリットと言えるほどです。

また、既にサポートが終了している『PHP 5系』と『PHP 7.0』を使い続けることはセキュリティ的にもリスクがあります。

私が見ている限り、日本国内のよく知られたホスティング会社の多くは『PHP 7.3』に対応しているはずですから、早い段階で『PHP 7.3』ベースに切り替えられることをお勧めします。

HSTSのList登録ができない時

Shingo Takahashi — Fri, 26 Jul 2019 12:02:38 +0900

過去に、『セキュリティ性を高めるHSTS』という記事にて『HSTS（HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ)』に関して触れましたが、これがGoogleの『HSTS Preload List Submission』に登録できない場合があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた『HSTS Preload List Submission』は登録できなかったとしても特別問題はないのですが、『共用サーバ』を使っている場合には登録できないケースがあったりします。

HSTSのPreload Listが登録できない

『共用サーバ』の場合、全く知らない個人や事業者が同一のサーバに同居していますが、そのすべてのユーザーが適切に『HTTPS化』できているとは限りません。

その場合にホスティング会社はどのようなセッティングをするか？

『HSTS』は使えても『includeSubDomains』や『Preload』を無効にすることがあります。

理由として、『HTTPS化』への対応が適切にされていなかったりすることで表示上の問題が発生するケースがあるからです。

その場合、『HSTS Preload List Submission』の要件にある『includeSubDomains』と『Preload』が満たせないために登録できないということになります。

これを何とかしたい場合には以下の内容を『.htaccess』に記述してみて下さい。

Header always unset Strict-Transport-Security
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

これで何とかなるケースがあります。

また、『www』サブドメインで正規化している場合、『.htaccess』でのリダイレクトではなくhtmlの『meta refresh』を使ったリダイレクトでないとうまく行かないことがありますので、苦肉の策ではありますがそれを使います。

（Googleは『meta refresh』を推奨していませんが、『やむを得ない場合』にはNGとはしていないので問題ないかと思います。）

日本郵便の偽サイトに注意あれ

Shingo Takahashi — Thu, 09 May 2019 11:32:57 +0900

今朝の一部の報道番組などにおいても取り上げられていたように『日本郵便の偽サイト』が登場しており、見た目が非常に酷似しているため注意が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

GW（ゴールデンウイーク）明けの休みボケを狙ってなのか、『日本郵便の偽サイト』が出てきました。

被害に遭う前に特徴を把握しておいてください。

日本郵便の偽サイトにご注意

まず、5月7日に日本郵便が注意喚起を行った部分をご紹介します。

ご注意ください

当社の名前を装った迷惑メール及び架空Webサイトにご注意ください。

当社を装った迷惑メールおよび架空のWebサイトが発見されました。
このWebサイトにアクセスしますと、お客さまの情報を盗み出そうとしたり、不正なアプリケーションがダウンロードされるおそれがありますのでご注意ください。
なお、当社ではショートメールによるご不在連絡のお知らせは行っておらず、また、Webサイト等に掲載するURLにおいて「.com」を使用しておりません。

このような不審なサイトを発見された場合は、アクセスすることのないよう、ご注意ください。

迷惑メールの文面（例）
お客さま宛にお荷物のお届けにあがりましたが、不在のため持ち帰りました。下記よりご確認ください。
http://jppost-●●●.com

偽サイトの画面
（Android端末からアクセスした場合）
不正なアプリケーションのダウンロードが行われます。

（iPhoneからアクセスした場合）
リンクをタップすると、Apple IDの入力を求められます。

もしパソコン版でも同様のサイトがあった場合、セキュリティソフトを入れていれば警告をしてくれるはずですが、スマートフォンの場合はセキュリティソフトを入れていないことが多いです。

その場合、URLを確認するなどして見極める必要があります。

日本郵便（郵便局）は『.jp』ですが、偽サイトは『.com』です。

また、日本郵便（郵便局）は暗号化された『https』サイトですが、偽サイトは『http』サイトになっています。

その他、迷惑メールの場合においても差出人や本文中のURLなどに注意を払う必要があります。

HTTP/3でWEBが効率化される

Shingo Takahashi — Mon, 21 Jan 2019 11:17:04 +0900

Webアクセスに使われるプロトコルであるHTTP（Hypertext Transfer Protocol）は、新たに『HTTP/3』が登場することになりそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

現在、Webアクセスのプロトコルは『HTTP/1.1』と通信効率を改善した『HTTP/2』が使われていますが、近い将来、『HTTP/3』が登場し、さらに効率化されたものとなりそうです。

HTTP/3の登場で効率化されるWEB

まず、現状使われている『HTTP/1.1』や『HTTP/2』は以下のように動作しています。

＜HTTP/1.1＞

・基本的には1回のリクエストで1回のレスポンスを返す

・主にTCPを使う

・リクエスト数などによってはレスポンスが重い

＜HTTP/2＞

・1回のTCPコネクションで複数のリクエストを通信し、並列処理を可能にしているためHTTP/1.1と比べWebサイトのパフォーマンスが向上する

・実質的にはHTTPS（SSL/TLS通信）であるため安全性も確保される

そして、新バージョンとなる『HTTP/3（HTTP over QUIC）』は以下のように改善されるようです。

＜HTTP/3（HTTP over QUIC）＞

・TCPではなくUDPを使うため効率的な通信が行える

・TLS1.2より効率の良いTLS1.3を使った暗号化となる

このように改善されます。

（詳細にはもっとあると思います。)

TCPではなくUDPを使うことに対してセキュリティ的に疑問視する方もおられるようですが、その部分は新たに採用される『TLS1.3』などにおいて安全性にも優れいていることがテストで証明されているようです。

安全性が保持され、さらにパフォーマンスが向上するのであれば非常にありがたい話しです。

今、モバイル通信が『5G』へと進化しようとしていることもあり、Webにおいても早い段階で『HTTP/3（HTTP over QUIC）』が導入されることに期待ができそうです。

2018年の投稿記事を総括する

Shingo Takahashi — Fri, 28 Dec 2018 11:38:36 +0900

早いもので2018年ももうすぐ終わりが近づいておりますが、この2018年に投稿させていただいた記事を振り返り、総括してみたいと思います。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

いよいよ今年も残りわずかとなりました。

そこで、今年最後の投稿は今年の記事を総括していきます。

ITと情報セキュリティ

ITや情報セキュリティ関連に関しては以下のようなキーワードが浮かびます。

・CPU脆弱性問題（Meltdown（メルトダウン）とSpectre（スペクター））

メルトダウンとスペクター対応

・QRコードとキャッシュレス決済

新QRコードによる決済サービス

・Windows 7のサポート終了への準備

・ビジネスメール詐欺（BEC）

・ルータへの攻撃

・SMSによる宅配業者偽装

・Windows 10 October Update 2018の配信停止

October 2018 Updateの問題

・Mozilla Thunderbird 64bit版登場

Thunderbird60系の64bit版

・Wi-Fiセキュリティの強化とVPN活用

Wi-Fiのセキュリティが強化へ

※　過去の記事へのリンクは一部のみ記載しています。

httpsとWebの高速化

Web関連に関しては以下のようなキーワードが浮かびます。

・Google Chrome、Mozilla Firefox の非HTTPSサイト（ページ）への警告

Chrome68は非HTTPSに警告

・WordPress 4.9.3でのアップデート不可バグ

WordPress4.9.3で嫌な不具合

・Webの高速化、高速パブリックDNS、PHP 7のススメ

・TLS1.0/1.1の終了

・GDPR（EU一般データ保護規則）

・WordPressのコメントスパム対策

・EC-CUBE 4の登場

※　過去の記事へのリンクは一部のみ記載しています。

会計・制度・法律

その他、会計、制度、法律関連に関しては以下のようなキーワードが浮かびます。

・2019年10月の消費税改正

・IT導入補助金

・会社説明会の変化

・厚生年金パートへの適用拡大

・働き方改革関連法

・社保未加入の建設業者

・有期契約労働者の無期転換申請

・制作物の著作権

・GDPR（EU一般データ保護規則）

・特定電子メール法

※　過去の記事へのリンクは一部のみ記載しています。

他にも是非再読いただきたい記事はたくさんありますが、全体の中からピックアップして総括させていただきました。

最後に、今年もこのブログにお付き合いいただきましてありがとうございました。

たまに事業者向けなのか？という記事もなくはないですが、そこは従業員の方へ事業者からアナウンスしていただきたいという意味もあって投稿しております。

来年も事業者に役立つ記事の投稿を心がけて参りますので、どうぞよろしくお願い申し上げます。

年明けは2019年1月7日（月）から投稿を予定しております。

どうぞ良いお年をお迎えくださいませ。

Chrome70リリースと赤色警告

Shingo Takahashi — Wed, 17 Oct 2018 11:36:06 +0900

今朝確認をしたところ、Googleのブラウザ『Chrome』が『Chrome 70（70.0.3538.67）』に更新されました。

正式に『Chrome 70』がリリースされたということです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

とうとうGoogle Chrome 70がリリースになりました。

これにより、HTTPS化（常時SSL化）されていないWebサイト（ページ）ではさらに注意が必要となります。

Chrome70リリースで赤色警告始まる

今回のChrome 70で気をつけたいのは、ノーマル色（グレー）の『！保護されていない通信』に加えてフォームなどへのデータ入力においては『！保護されていない通信』のように赤色の警告表示に変わるようになることです。

ノーマルなグレーであれば気づかない可能性もありますが、フォームなどにデータを入力したと同時に赤色の警告表示に変わりますのでさすがに目立ちます。

これが意味するものは『信頼性の低下』、つまり『イメージダウン』です。

安全性以外にも心理的な要素がありますので、人によっては問い合わせなどを止めてしまう可能性も秘めています。

ユーザーが不安を覚え、Webサイトから離脱してしまい、問い合わせや商品購入の減少を招く可能性があるとしたらどうしますか？

この段階においてもHTTPS化（常時SSL化）を行わないことにメリットはありません。

早急に対応を行うべきです。

また、ほとんどが対応済みかと思いますが、2016年6月1日以前にシマンテック、GeoTrust、RapidSSLが発行したSSL/TLSサーバ証明書はChrome 70より完全に信頼が停止されます。

証明書の再発行費用は発生しないため、まだ再発行を受けていない方は早急に対応されることをお勧めします。

警告対象であるかが不明な場合は以下のサイトからチェックしてみてください。

『Google Chromeによる警告をチェックする』

Chrome 69リリースで新機能

Shingo Takahashi — Wed, 05 Sep 2018 11:48:00 +0900

Google（グーグル）は9月4日（米時間）、同社のWebブラウザ『Chrome』の最新安定版である『Chrome 69（69.0.3497.81）』をリリースしました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、GoogleのWebブラウザ『Chrome 69』の最新安定版がリリースされました。

Chromeブラウザが公開から10周年ということもあり、今回はいくつかの新機能などが搭載されています。

Chrome 69リリースでの新機能

まず、最新版にアップデート後に直ぐに気付くものとして、デザインが変わっています。

なかなか感じの良いデザインで、随所に円の要素が出ています。

次に、ログインパスワードをChromeブラウザが自動生成するようになり、生成されたパスワードはGoogleアカウントに保存され、ツールバー上のアカウントアイコン内の『パスワード』で一覧できるようになっています（要設定）。

その他、検索クエリとURLの両方を入力する『Omnibox』において、検索内容次第では検索候補の表示のみで情報が得られるようになっていることや、Chromeブラウザのユーザーに名前とアイコンが設定できるようになり、ユーザーごとに管理することも可能です。

セキュリティ面においては40件ほどの脆弱性修正がされ、通信の暗号化が行われているHTTPS採用のWebページに対してはアドレスバーに表示される鍵マークが『緑色』から『灰色』になり、『保護された通信』の文字も表示がなくなりました。

通信の暗号化が行われていないHTTPページに関しては『保護されていない通信』として残っており、現状は警告文字が灰色の表示となっています。

10月リリース予定のChrome 70からは『赤色』での警告に変わる予定ですが、現状でも文字表示されるものは危険を伴うという認識に変わっている感じです。

ご参考までに。

Chrome68にて警告表示始まる

Shingo Takahashi — Thu, 26 Jul 2018 11:48:30 +0900

米国時間の7月24日、Googleのブラウザ『Chrome 68』が正式にリリースされました。

これにより、非HTTPSサイト（ページ）への影響が見込まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前より申し上げてきた通り、とうとうChromeブラウザにて警告表示が始まりました。

今日はその話題を少しだけ。

Chrome68リリースで警告表示始まる

今回のChrome 68では、暗号化されていないサイト（ページ）、つまりHTTPSではない、HTTPのままのサイト（ページ）に対して以下のように警告を表示します。

『！保護されていません｜www.example.com』

この警告はアドレスバーの先頭に表示されます。

さらに、10月にリリース予定の『Chrome 70』では、HTTPのままのサイト（ページ）でユーザーがパスワードを入力しようとした際、もっと目立つように色付きの警告表示になる予定です。

『！保護されていません｜www.example.com』

このような感じにです。

これらの警告表示による訪問者の離脱は避けたいところですので、まだ『HTTPS化』をされていない方、早急に対応されることをお勧めします。

PS：Firefoxではもっと影響度の高い警告表示になる可能性があります。

Chrome68の警告に認識不足も

Shingo Takahashi — Fri, 20 Jul 2018 10:20:37 +0900

2月に投稿した『Chrome68は非HTTPSに警告』という記事でもご紹介した通り、来週の7月24日リリース予定のGoogleのブラウザ『Chrome 68』では、『非HTTPS』に対して全面的に警告が行われます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

このブログでも何度となく取り上げてきた『WebのHTTPS化』に関して、2月にもお伝えした通り、Googleのブラウザ『Chrome』では全面的な警告が行われるようになります。

しかし、これに対する認識が不足している事業者もまだまだ残っているため、再度お伝えすることにします。

Chrome68では全面的な警告になる

以前からお伝えしている通り、Googleのブラウザ『Chrome』の『バージョン68』からは『非HTTPS』サイト（ページ）に対して全面的な警告表示を出します。

そのようになってしまう『Chrome 68』は来週の7月24日にリリース予定となっています。

現時点では、お問い合わせフォームなどのフォームに文字入力をした時に『！保護されていません』と警告するにとどまっていますが、来週リリース予定のバージョンではそうはいきません。

お問い合わせなどのフォームに文字入力するか否かは関係なくなり、シンプルに『非HTTPS』サイト（ページ）すべてに警告表示をするようになります。

これはGoogleのブラウザ『Chrome』に限った話しではなく、Mozillaのブラウザ『Firefox』においても同じ方向へ切り替わります。

あなたがそのウェブサイト（ウェブページ）を閲覧しようとするユーザー（訪問者）であった場合、それはどのように感じるでしょうか？

おそらく、大半の方は『危険』とか、『怪しい』とかのマイナスのイメージを持ってしまい、直ぐにそのサイト（ページ）から離れてしまうことでしょう。

それが自社や自店のサイト（ページ）にて起こってしまう。

つまり、『イメージダウン』、『信用低下』といったことを招くことになってしまいます。

それを回避する方法は1つしかありません。

ウェブサイト（ページ）を全面的に『HTTPS化（暗号化）』することです。

余談ですが、このような話しを何度お伝えしても理解を示さない方がおられるのも事実です。

おそらく、実際に何かが起きてみないと実感がわかないのだろうと思います。

HTTPS化にJPRSのSSL証明書

Shingo Takahashi — Thu, 24 May 2018 17:50:37 +0900

JPRS（株式会社日本レジストリサービス）とは、トップレベルドメイン『.jp』の登録・管理を行っている会社で、元々はJPNIC（一般社団法人日本ネットワークインフォメーションセンター）が行っていた管理業務を移管し、その業務を行っている組織です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、ネットワークやインターネット関連の携わっている方なら誰でも知っている『JPRS』ですが、ドメインの管理だけではなく、実はHTTPS化に必須なSSL（サーバー）証明書の発行サービスも行っています。

今日はそれに関してお伝えします。

HTTPS化にJPRSのSSL証明書を使う

今やWebのHTTPS化は必須ともなってきており、それを行うにはSSL（サーバー）証明書が必要になります。

どうせHTTPS化を行うのに必要ならばイメージの良いところのものを使いたい。

しかし、できることならば安価なものがありがたい。

そんな事業者の方には『JPRS』のSSL（サーバー）証明書が良いかもしれません。

取り扱い事業者（指定事業者）を通じての購入になりますが、証明書の申請者が証明書に記載のドメイン名について登録者または管理者であることを証明する『ドメイン認証型』であれば、一番安い取り扱い事業者で972円/1年（税込）という安さでサイトシール（日本語、英語の2言語対応）もついています。

さらに、ルート証明書は『SECOM（セコムトラストシステムズ）』が運営しているため安心度も高いものになります。

HTTPS化に伴って高い信頼性などのイメージ的なアピールをされたい事業者の方には非常にお勧めなSSL（サーバー）証明書です。