PHP 7.2 – 業務改善コンサルティング情報ブログ https://www.trilogyforce.com/blog 業務改善で収益改善! Mon, 17 Jun 2024 01:21:12 +0900 ja hourly 1 https://wordpress.org/?v=6.9.1 WPサイトの多くは非推奨PHP https://www.trilogyforce.com/blog/many-wp-sites-are-deprecated-php/ Mon, 09 Sep 2019 11:01:44 +0900 https://www.trilogyforce.com/blog/?p=8006 『PHP』というプログラミング言語はWeb上で最も多く使用されているとされる言語ですが、Webサイト構築に用いられる『WordPress』は『PHP』で開発されています。

WordPressサイトで使用されているPHPバージョン

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたようなことは百も承知かと思いますが、この『PHP』で開発されている『WordPress』サイトで使われている『PHP』の現状は少々驚くべきものがあります。

WordPressサイトの多くは非推奨PHP

まず、『PHP』が使われているWebサイトで見てみると、

『PHP 5』が未だに約66%も使われており、『PHP 7』は約33%に留まっています。

(『PHP 4』や『PHP 3』もごくわずかに存在している。)

そして、これを『WordPress』で構築されたサイトで見てみると、

・『PHP 7.3』:8.2%

・『PHP 7.3』:8.2%

・『PHP 7.2』:21%

・『PHP 7.1』:13.4%

・『PHP 7.0』:15.4%

・『PHP 5.6』:27%

・『PHP 5.5』:3.3%

・『PHP 5.4』:6.3%

・『PHP 5.3』:3.8%

・『PHP 5.2』:1.6%

WordPress公式分析より

となっています。

『PHP 7.3』は未だに1割にも満たず、『PHP 5系』を使っているユーザーは未だ4割以上も存在します。

しかし、現在の『WordPress』公式要件はと言うと、

・PHPバージョン7.3以上

・MySQL バージョン 5.6 以上、または MariaDB バージョン 10.1 以上

・HTTPS対応

です。

『PHP 7』は『PHP 5.6』と比較して圧倒的に高速になった『ハイパフォーマンスPHP』バージョンなため、パフォーマンスを考慮すべき現在のWebからすれば『PHP 7』にしない方がデメリットと言えるほどです。

また、既にサポートが終了している『PHP 5系』と『PHP 7.0』を使い続けることはセキュリティ的にもリスクがあります。

私が見ている限り、日本国内のよく知られたホスティング会社の多くは『PHP 7.3』に対応しているはずですから、早い段階で『PHP 7.3』ベースに切り替えられることをお勧めします。

]]> PHP・Apache・HTTP/2脆弱性 https://www.trilogyforce.com/blog/php-apache-http2-vulnerability/ https://www.trilogyforce.com/blog/php-apache-http2-vulnerability/#respond Fri, 23 Aug 2019 13:28:56 +0900 https://www.trilogyforce.com/blog/?p=7942 2019年8月1日付で『PHP』、8月20日付で『Apache HTTP Web Server 2.4 系』と『HTTP/2』に関する脆弱性情報が公開されています。

注意

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日はWeb系の脆弱性情報をお伝えします。

PHP・Apache・HTTP/2の脆弱性について

8月1日と8月20日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

<PHP にバッファオーバーフローの脆弱性>

PHP には、バッファオーバーフローの脆弱性があり、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性がある。

対象は、

・PHP 7.3.8 より前のバージョン

・PHP 7.2.21 より前のバージョン

・PHP 7.1.31 より前のバージョン

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

<Apache HTTP Web Server 2.4 に複数の脆弱性>

Apache HTTP Web Server 2.4 系に以下の脆弱性があり、情報改ざん、悪意のあるページへのリダイレクト、情報漏えい、サービス運用妨害(DoS)攻撃の影響を受ける可能性がある。

・mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性

・mod_rewrite に潜在的なオープンリダイレクトの脆弱性

・mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性

・mod_http2 にメモリ破壊の脆弱性

・mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性

・mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性

対象は、Apache HTTP Web Server 2.4.41 より前のバージョン

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

<HTTP/2 の実装に対するサービス運用妨害(DoS)攻撃>

HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害(DoS)状態に関する検討が行われている(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっている。

・Data Dribble

・Ping Flood

・Resource Loop

・Reset Flood

・Settings Flood

・0-Length Headers Leak

・Internal Data Buffering

・Empty Frame Flooding

各 HTTP/2 実装者が提供するアップデートの適用を実施。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

]]> https://www.trilogyforce.com/blog/php-apache-http2-vulnerability/feed/ 0