1. はじめに
例えばWebサイトを運営する為にWordPressを利用するとして、 構築や運用負荷低減を目的に最近ではSaaS(WordPress.comなど)や PaaS(GAEなど)を利用するのが主流かと思います。
とはいえ、最新版ソフトウェアを利用したかったり、 導入実績、なるべくコントロールできる範囲を増やしたい等の理由で、 オンプレミスやIaaS(AmazonEC2やGCE)上に構築している、 構築する機会も多いかと思います。
その際に必要になるのがソフトウェアバージョンの選定です。 実際にWordPressを最新版のソフトウェアを利用してインストールしたとして、 どれくらいの期間セキュリティアップデートを受けられるのか調べてみました。
2. WordPressの構成ソフトウェアについて
ライブラリ等を含めると他にもたくさんありますが、 大きな要素として、大まかに以下の5つで構成されています。 今回はこれら5つのソフトウェアメンテナンス期間を調査しました。
- Webサーバ(ApacheやNginx)
- PHPライブラリ
- DBサーバ(MySQLかMariaDB)
- HTTPSサポートソフトウェア(opensslやlet’s encrypt)
- CMS(WordPress)
調査対象の選定にはWordPressの要件を参考にしています。
3. セキュリティアップデートを受けられる期間
WordPressは外部に公開されるサービスと考えると、基本的には最新ソフトウェアにアップデートするのが良いと考えられます。但しサポート期間が明示されているDBサーバやPHPライブラリはメンテナンスリリースとしてセキュリティアップデートを受けれる事が期待できます。
| No. | ソフトウェア | サポート対象 |
|---|---|---|
| 1 | WEBサーバ | ApacheやNginxについては基本的に安定最新版のみサポート。 |
| 2 | DBサーバ | 公開から5年間のサポート。 |
| 3 | PHPライブラリ | 公開から2年間のサポート。 |
| 4 | HTTPS | 公開から5年間のサポート(Openssl(LTS)を利用) ※Opensslソフトウェアのサポート。 |
| 5 | CMS(WordPress) | 安定最新版のみサポート。 |
4. サポート内容詳細
4-1. Webサーバ
Apache web server
2.2 系以前については既にEOLが発表されており、2019年5月1日現在は2.4.xのみサポートされている。
バージョン(x.y.z)のyの部分が偶数担っているものが安定版である。
基本的にはStable releaseを採用するのが望ましい。
Apache DownloadNginx
バージョン1.12等、x.yyのyyの部分が偶数の物が安定版であり、基本的には最新版の安定版のみサポートされる。
新たな安定版が出た場合、それ以降のアップデートは基本的には行われない。
NGINX Version4-2. DBサーバ
MySQL
通常LinuxでOracleとのサポート契約無しの場合はCommunity Editionを利用しているかと思います。
Community Editionに関するEOLは見つけられませんでしたが、OS毎にサポート情報が載っていますのでこちらが参考になるかと思います。
テクニカルサポートページを確認するとメンテナンスリリースは6-8年となっていますので、基本的に5年程度についてはCommunity Editionもメンテナンスされると考えられます。
MySQL Supported PlatformsMariaDB
MariaDBのサポート期限は安定版リリースから5年間。
MariaDB Maintenance Policy4-3. PHPライブラリ
バグ修正を含む完全なサポート期間は公開されてから2年間、セキュリティアップデートは公開されてから3年間
PHP Supported Versions4-4. HTTPS
OpenSSL
バLTSバージョンであれば、少なくとも5年間はサポートされる。
※別途購入している証明書の期限は証明書毎に異なります。
OpenSSL Release StrategyLet’s encrypt
ソフトウェアではないですが、証明書は90日が期限です。管理にcertbotを導入している場合は証明書を更新する60日サイクルでアップデートを確認するのが望ましいと考えられます。
Let’s Encrypt FAQ4-5. CMS(WordPress)
安全に利用できるようにサポートされるのは最新版の安定版のみ。
WordPress Releases