2020年も引き続きお付き合いいただきます様お願い申し上げます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、2020年最初の記事は『WordPress』に関しての投稿からスタートしたいと思います。

昨年12月の記事、『PHPの最新版PHP7.4リリース』にて『PHP』の最新バージョン『PHP 7.4』に関して触れましたが、『WordPress』における対応状況はどうなっているのか？

今日はそれについてです。

WordPressのPHP7.4対応状況は？

『WordPress 5.3 “Kirk（カーク）”』がリリースされたのが2019年11月12日、『PHP 7.4』がリリースされたのが2019年11月28日ではありますが、現在の『WordPress 5.3系』は『PHP 7.4』で正常動作するレベルにはあります。

『wordpress.org』のニュース記事を見ても、『WordPress 5.3はPHP 7.4を完全にサポートすることを目指しており、非推奨機能を削除し、互換性を確保するための複数の変更が含まれている。』とされています。

ただし、細かいところでは未だ完全ではないところもあるようですが、それは『将来的にはエラーになる』とか、『非推奨』への対応が残っているといった程度で、動作する上では全く問題ないと言えるレベルにはあります。

これは『プラグイン』にも言えることで、一部のプラグインにおいても同程度の状態にあります。

（これらは単純に、『デバッグモード』で動作させてみればわかります。）

私の場合、幸いなことにサーバーが早い段階で『PHP 7.4』に対応してくれたこともあり、年末年始の休暇中にテスト環境にて『PHP 7.4』を試すことができました。

（最近は面倒なのでローカル環境を構築していません。。。）

現在の『WordPress』の推奨ホスティング環境は『PHP 7.3以上』ですから、無理に『PHP 7.4』に変更する必要性はないとは思いますが、今後、『PHP』はさらにパフォーマンス改善を図っていきますので、WEBにおいてパフォーマンスがある程度重視される昨今においてはプラス材料にはなるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、まだリリースされたばかりなのでレンタルサーバーなどにも設置されていませんが、今日は『PHP』の最新版『PHP 7.4』をご紹介します。

PHPの最新版PHP7.4がリリースされる

『PHP 7』がリリースされてから約4年が経過しましたが、今回で4回目のフィーチャーアップデート版『PHP 7.4』がリリースされました。

（概ね1年毎にフィーチャーアップデート版がリリースされています。）

そして、『PHP 7.4.0』の新機能と改善は以下のように公開されています。

・クラスプロパティにおける型宣言のサポート

・関数定義を簡略化するためのアロー関数の導入

・制限された共変戻り値型と反変引数をサポート

・Null合体代入演算子をサポート

・配列内展開機能の導入

・数値理テラス区切り記号を導入

・弱い参照を導入

・_toString()からの例外を許可するように機能を変更

・Opcacheのプリロード機能導入

・一部の拡張機能をCoreから削除

・一部の機能を非推奨へ変更

といった感じです。

例によってパフォーマンスの改善も行われているようで、おそらく『PHP 7.3』までのものよりもパフォーマンスは良くなると予想されます。

残念なことは、『WordPress』での『PHP 7』の使用率はまだ約50%程度のようで、残りの半数は『PHP 5.6以下』のものが使われていることです。

現在の『WordPress』の要件は『PHP 7.3以上』となっていることもあり、早い段階で『PHP 7』への移行を検討してほしいものです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたようなことは百も承知かと思いますが、この『PHP』で開発されている『WordPress』サイトで使われている『PHP』の現状は少々驚くべきものがあります。

WordPressサイトの多くは非推奨PHP

まず、『PHP』が使われているWebサイトで見てみると、

『PHP 5』が未だに約66%も使われており、『PHP 7』は約33%に留まっています。

（『PHP 4』や『PHP 3』もごくわずかに存在している。）

そして、これを『WordPress』で構築されたサイトで見てみると、

・『PHP 7.3』：8.2%

・『PHP 7.3』：8.2%

・『PHP 7.2』：21%

・『PHP 7.1』：13.4%

・『PHP 7.0』：15.4%

・『PHP 5.6』：27%

・『PHP 5.5』：3.3%

・『PHP 5.4』：6.3%

・『PHP 5.3』：3.8%

・『PHP 5.2』：1.6%

（WordPress公式分析より）

となっています。

『PHP 7.3』は未だに1割にも満たず、『PHP 5系』を使っているユーザーは未だ4割以上も存在します。

しかし、現在の『WordPress』公式要件はと言うと、

・PHPバージョン7.3以上

・MySQL バージョン 5.6 以上、または MariaDB バージョン 10.1 以上

・HTTPS対応

です。

『PHP 7』は『PHP 5.6』と比較して圧倒的に高速になった『ハイパフォーマンスPHP』バージョンなため、パフォーマンスを考慮すべき現在のWebからすれば『PHP 7』にしない方がデメリットと言えるほどです。

また、既にサポートが終了している『PHP 5系』と『PHP 7.0』を使い続けることはセキュリティ的にもリスクがあります。

私が見ている限り、日本国内のよく知られたホスティング会社の多くは『PHP 7.3』に対応しているはずですから、早い段階で『PHP 7.3』ベースに切り替えられることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日はWeb系の脆弱性情報をお伝えします。

PHP･Apache･HTTP/2の脆弱性について

8月1日と8月20日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

＜PHP にバッファオーバーフローの脆弱性＞

PHP には、バッファオーバーフローの脆弱性があり、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性がある。

対象は、

・PHP 7.3.8 より前のバージョン

・PHP 7.2.21 より前のバージョン

・PHP 7.1.31 より前のバージョン

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

＜Apache HTTP Web Server 2.4 に複数の脆弱性＞

Apache HTTP Web Server 2.4 系に以下の脆弱性があり、情報改ざん、悪意のあるページへのリダイレクト、情報漏えい、サービス運用妨害（DoS）攻撃の影響を受ける可能性がある。

・mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性

・mod_rewrite に潜在的なオープンリダイレクトの脆弱性

・mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性

・mod_http2 にメモリ破壊の脆弱性

・mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性

・mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性

対象は、Apache HTTP Web Server 2.4.41 より前のバージョン

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

＜HTTP/2 の実装に対するサービス運用妨害（DoS）攻撃＞

HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害（DoS）状態に関する検討が行われている(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっている。

・Data Dribble

・Ping Flood

・Resource Loop

・Reset Flood

・Settings Flood

・0-Length Headers Leak

・Internal Data Buffering

・Empty Frame Flooding

各 HTTP/2 実装者が提供するアップデートの適用を実施。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。