私自身も全く気にも止めていなかったし、技術ブログ的なものでも指摘されたことはない(と思う)ので知らない人が多いかと思いますが、CMSを使っている環境のPHPのバージョン管理は重要だって話を書きます。
ちなみに、ここのサーバーはCentOS7を入れているためPHPのバージョンは5.4です。CentOS7のメンテナンス期間が終了しない限りはメンテナンスされ続けるのでセキュリティ上の問題はありません。PHPで動くプログラムを「自分でメンテナンスし続ける限り」は。
でも、そんな使い方って極めて稀ですよね?実際、ここのサイトだってWordPressで動いていますし、幾つかのプラグインを使用しています。テーマだって標準以外のものを使っています。
実は、私共の会社では2020年7月1日付で「プロダクション事業部」というものを立ち上げまして、その事業部専用のサイトを作ることになりました。WordPressは結構古いバージョンまでメンテナンスが継続しているので、PHP5.4で動くバージョンをダウンロードしてきて入れました。プラグインも使い慣れたものを使いたくて入れようとしました。ところが...
そうなんです。プラグインが入れられないんです。古いWordPressがサポートされていなかったり、最悪の場合は古いPHPがサポートされていなかったり。これが何を意味しているのか判りますか?
WordPressやPHPが古いと既存のサイトに「既に入れているプラグインが最新にならない」んですよ。という事は、WordPress本体は古いバージョンでもセキュリティ対策がなされていますが、プラグインは実質的に放置状態になる可能性があるという事なのです。もちろん、テーマにも同じ事が言えて、新規に作ったサイト用に入れたテーマは動きませんでした(泣)
という事は、例え「WordPress本体をせっせとアップデートしてもセキュリティ的には脆弱である可能性」があるという事なのです。
なので、PHPのバージョンは最低でも7.3が必要になります。
ウェブ制作会社様が御客様のサイトを収容するのにVPSを使っている例を多々見かけますが、PHPのアップデートはされているでしょうか?ちなみにCentOS7の標準リポジトリでサポートされているのは先にも書いたとおり5.4です。CentOS8でも7.2です。どちらの場合も自力で7.3または7.4にアップデートする必要があります。その知識はお持ちでしょうか?その作業は出来ますか?
先に書いたとおり、弊社はこの事実を知ってしまった上に、新規に作るサイトを確実に動かすためもあり、このメールマガジンが発行される週の週末に7.4にアップデートします。WordPressを使ったサイトを7サイト収容しているため大規模な作業になりそうです。でも、やらなければプラグインやテーマのセキュリティホールは埋められませんので、やります。知ってしまった以上はやらなければいけないのです。情報セキュリティの会社でもありますし。
皆様も考えてみてはいかがでしょうか?サイバー攻撃を受けてからでは遅いのです。