2018年でサポート終了のPHP バージョン5、企業に迫る深刻な脅威：およそ6割のWebサイトが対象？

最近の調査によると、Webサイトの大半がいまだに時代遅れのPHP バージョン5を使っている。だがセキュリティサポートの終了が2018年末に迫る中で、懸念が高まりつつある。

[Madelyn Bacon，TechTarget]

Webサイト管理者がPHPのバージョンアップに向き合う時が来た

　2018年のハロウィーンは終わったが、PHP バージョン5を使っている企業は一年中ホラーな状態に陥っているかもしれない。

　PHPはオープンソースのスクリプト言語だ。調査会社W3Techsが最近発表したデータによると、PHPは全Webサイトのうち78.9％で使われており、その内PHP バージョン5を使っているWebサイトは全体の61.6％を占める。だがPHP バージョン5のセキュリティサポートは2018年12月31日で終了する。つまり2019年の年明けからは、PHP バージョン5以前のバージョンを使っている全サイトが、PHPの脆弱（ぜいじゃく）性に関連するセキュリティリスクにさらされる。

　セキュリティ専門家は、以前からこの期限が迫っていることを認識していた。実際のところ、2018年末という期限は以前のセキュリティサポート終了期限が延期されたものだ。現行バージョンのPHP バージョン7.2は2017年11月にリリースされ、セキュリティサポートが受けられるのは2020年末までだ。しかしPHP バージョン5.6は2014年8月にリリースされたにもかかわらず、今なお最も広く使われている。

　コンテンツ管理システム（CMS）のユーザーがPHPのバージョンアップを要求される機会はこれまでほとんどなかった。ところがオープンソースCMSである「Drupal」は2018年初めに対策を講じ、2019年3月からは、ユーザーに対してPHP バージョン7以降のバージョンの導入を義務付けることにした。ただしこれも、PHP バージョン5のサポートが終了した後の措置となる。

　しかしDrupalと競合する大手の「WordPress」と「Joomla!」は、両方ともPHP バージョン7の導入を要求していない。Joomla!の動作環境はPHP バージョン5.3以降、WordPressではバージョン5.2以降となっている。WordPressはユーザーにサポート対象のPHPを導入するよう求めてはいないものの、アップグレードによってユーザーのWebサイトが高速化し、安全性も高まると説明している。

　WordPressは次のように記している。「WordPressはPHP バージョン5.2.4以上、MySQL バージョン5.0以上でも動作しますが、これらの古いバージョンは既に公式サポートの対象外です。バージョンアップしない場合、あなたのWebサイトにセキュリティ脆弱性が生じる可能性があります」※注：2018年11月の時点でWordPressはPHP バージョン7.2以上、MySQL バージョン5.6以上またはMariaDB バージョン10.0以上を推奨している。

併せて読みたいお薦め記事

アプリケーション開発の今

• Java開発の現在と将来――Javaはレガシーアプリにデジタル変革を起こせるのか
• DjangoとCakePHPを比較、あのPaaSと相性の良いWeb開発フレームワークは？

脆弱性攻撃にどう立ち向かうか

• オープンソースの多くで脆弱性を検出、さらに新たな問題が発覚
• ハッカーが評価する「脆弱性攻撃ツール」の種類とは？　独自調査で判明
• セキュリティパッチの検証と導入はスピードが命、具体的な進め方は

旧バージョンのPHPがもたらす脅威