EC-CUBEをアップデートしておくべき理由
セキュリティやphp8の問題から、EC-CUBEをバージョンアップした方が良いのかというお問い合わせを多くいただきます。
弊社としては、適度なタイミングでEC-CUBEをアップデートしておくことがECサイトの安定的な運用につながると考えておりますのでご紹介しようと思います。
理由1 セキュリティ関連機能の強化
最新バージョンのEC-CUBE4系は、脆弱性対策・2段階認証・ログイン回数制限など、セキュリティに力を入れて開発されています。
セキュリティ対策をせず古いバージョンのサイトを運営し続けていると攻撃者の標的になりやすくなります。
実際、こういった対策をせずに運営していたために、不正ファイルを設置されたりサイト改竄・情報漏洩されてしまった古いサイトを多く目にしています。
EC-CUBEではバージョン4.2で多くのセキュリティ関連機能が追加されています。これはカード会社に求められる「セキュリティ・チェックリストに基づく対策措置状況申告書」にも対応したものです。(全てに対応しているわけではありません)
次のような機能は個別に実装すると多額のコストが発生するため、バージョンアップをおすすめしています。
- ログインの試行回数制限機能
- パスワードの要件を PCI DSS ver4.0 に準拠
- フロント画面への複数IPアクセス制限
- IP/会員ベースのスロットリング機能
- 仮会員メール認証後に、再ログインを必要とするよう変更
- 仮会員に登録用メールを再送した際に用いる認証URLは送信毎に再生成するように修正
- 会員による重要操作時のメール通知機能を追加
- 新規会員登録・会員情報編集・お届け先編集時にスロットリング機能を追加
- 2段階認証・2要素認証におけるブルートフォース対策(公式プラグイン)
理由2 サーバーのセキュリティサポートが切れている
レンタルサーバでデフォルトのPHPバージョンが7.4から8に、MySQLが5から8へ移行していっており、いずれ動作しなくなる可能性が考えられます。
近年、メジャーなレンタルサーバーでPHPバージョンが強制アップデートされるという出来事があり、ECサイトが突然動作しなくなる、崩れるなど混乱が発生しました。
2024年に公式にセキュリティサポートが有効なPHPバージョンは8.1以上、MySQLが8.0以上で、旧バージョンのEC-CUBEは非対応です。対応しているEC-CUBEバージョンは4.2以上です。
| phpバージョン | セキュリティサポート | 対応しているEC-CUBE |
|---|---|---|
| 8.3 | 2027年12月31日 | 4.3 |
| 8.2 | 2026年12月31日 | 4.3 |
| 8.1 | 2025年12月31日 | 4.2、4.3 |
| 8.0 | 4.2 |
※phpが発表しているサポート期限です。OS個別のサポートは考慮していません。
理由3 新しいサービスとの連携のため
新しいサービス・プラグインは最新バージョン向けに開発されており、旧バージョンでは使用できない可能性が高まります。
例えば、カスタマイズをしないと2025年に義務化される3Dセキュア2.0に対応できない、セキュリティ機能が使えない といった例が実際に見受けられます。
理由4 時間が経過するとアップデートコストが増加する
最新バージョンでは旧バージョンとは異なる技術が使われています。
3系 : Silex (開発)
4系 : Symfony
3系から4系へ効率よくアップデートを行うためには、3系の知識も4系の知識も同時に必要です。
時間の経過とともに対応できるエンジニア・業者が限定されてくるので、アップデートのコストが増す恐れがあります。
EC-CUBEゴールドパートナー
EC-CUBEに関するお問い合わせ
[重要]現在公式にセキュリティサポートが切れていないPHPは8.1以上、MySQLは8.0以上で、対応しているEC-CUBEバージョンは4.2以上です。古いEC-CUBEを使っている方は適切なタイミングでバージョンアップをご検討ください。
