Zero
Secondo le statistiche W3Techs, circa a 78,9 per cento di tutti i siti Internet di oggi esegue su PHP.
Ma il 31 dicembre 2018, l’assistenza per la sicurezza di PHP 5.6.x cessa ufficialmente, che segna la fine di ogni forma di sostegno per qualsiasi versione di antica PHP 5.x ramo.
Questo significa che, a partire con il prossimo anno, circa il 62 per cento di tutti i siti Internet ancora in esecuzione PHP 5.x la versione per interrompere la ricezione di aggiornamenti di sicurezza per i loro server e sito web tecnologia sottostante, esposizione di centinaia di milioni di siti web, se non di più, a gravi rischi per la sicurezza.
Se un hacker scopre una vulnerabilità in PHP dopo il Nuovo Anno, un sacco di siti e gli utenti sarebbero a rischio.
“Questo è un problema enorme per il PHP ecosistema”, di Scott Arciszewski, Chief Development Officer presso Paragon Iniziativa Enterprise, ha detto a ZDNet in un’intervista. “Mentre molti si sentono che non possono ottenere via con’ l’esecuzione di PHP 5 nel 2019, il modo più semplice per descrivere questa scelta è: Negligenza.”
“Per essere del tutto equo: È probabile che le grandi, massa-sfruttabile difetto in PHP 5.6 sarebbe anche influenzare le versioni più recenti di PHP,” Arciszewski aggiunto.
“PHP 7.2 saranno mostrati anche una patch per la squadra PHP, per libero, in modo tempestivo; PHP 5.6 sarà solo uno, se si sta pagando per il supporto costante del fornitore del sistema operativo.
“Se qualcuno si ritrova in esecuzione di PHP 5, dopo la fine dell’anno, chiedi a te stesso: ti senti fortunato? Perché io di sicuro non lo è.”
La comunità PHP ha conosciuto di questo termine per un bel po’. Dopo di PHP 5.6, è diventato il più ampiamente usato versione di PHP indietro nella primavera del 2017, PHP manutentori capito che sarebbe stato un disastro se hanno smesso di aggiornamenti di sicurezza a destra quando il PHP 5.6, è diventato il più popolare versione di PHP-così esteso la data di EOL per la fine del 2018.
Da allora, ci sono stati diversi sviluppatori e ricercatori di sicurezza che ha messo in guardia il “ticchettio PHP bomba a tempo”, anche se non così tanti come infosec comunità avrebbe voluto.
Non c’è stato uno sforzo concertato per convincere la gente a passare al più recente PHP 7.x, ma da qualche sito web sistemi di gestione dei contenuti (CMS) progetti, uno per uno, hanno iniziato a modificare i requisiti minimi e di avvertimento agli utenti di utilizzare più moderni ambienti di hosting.
Delle tre grandi –WordPress, Joomla e Drupal– solo Drupal ha fatto il passo ufficiale per regolare il requisito minimo di PHP 7, ma che si muovono arriverà a Marzo 2019. Ironia della sorte, la 7.0.x ramo ha raggiunto EOL 3 dicembre 2017, che in realtà non risolve nulla, ma è comunque un passo avanti.
Joomla requisito minimo rimane PHP 5.3, mentre WordPress e’ requisito minimo rimane PHP 5.2.
“La fonte principale d’inerzia in PHP ecosistema per quanto riguarda le versioni è sicuramente WordPress, che ancora si rifiuta di abbandonare il supporto per PHP 5.2, perché ci sono più di zero sistemi dell’universo che ancora utilizzano WordPress su un antico, una versione non supportata di PHP,” Arciszewski, ha detto, descrivendo il team di WordPress infame strongheadedness di mantenere il requisito minimo in una versione di PHP che è andato EOL nel 2011.
WordPress-che viene utilizzato per più di un quarto di tutti i siti su Internet, sarebbe, senza dubbio, sposta un sacco di gente di vedute sulla necessità di utilizzare le moderne versioni di PHP se il progetto di spostare il suo minimo PHP requisito per il più recente PHP 7.x ramo.
“Che cosa le versioni di PHP deve essere sostenuta [WordPress], tuttavia, è stato un dibattito per qualche tempo,” ha detto Sean Murphy, Direttore di Intelligence sulle Minacce al Ribelle, la società dietro il WordFence sicurezza plugin per WordPress, in uno scambio di email con ZDNet.
“C’è un’iniziativa in corso dal team di WordPress per avvisare gli utenti quando si sta utilizzando una vecchia versione di PHP e di dare loro le informazioni e gli strumenti necessari per la richiesta di una versione più recente dal loro fornitore di hosting”, ha aggiunto. “Qui sono note da questo recente riunione”.
Murphy ritiene che una delle maggiori sfide dell’implementazione di PHP versione upgrade a un gran numero di siti è il diluvio di richieste di supporto che vengono come conseguenza, un motivo per cui molti CMS, progetti e dei provider di web hosting sono reticenti e la volontà di farlo.
Ma Murphy, inoltre, sottolinea che “il buon hosting provider” sarà sempre la distribuzione di nuovi utenti su nuove versioni di PHP di default, invece di lasciare che i clienti di scegliere, e di aggiornare i clienti alle nuove versioni di PHP solo quando richiesto.
Ma a meno che i clienti sono consapevoli che la loro versione di PHP ha raggiunto il fine vita, saranno in pochi a chiedere di essere trasferito a una versione più recente.
Qui di WordPress per le notifiche per gli utenti che eseguono siti obsoleto versioni di PHP arriverà ad aiutare, facendo in modo che le persone o aggiornare i propri server o rivolgersi al proprio fornitore di hosting per un più moderno ambiente di hosting.
Mentre alcuni WordPress esperti di sicurezza sono allarmato per l’imminente EOL per il PHP 5.6 ramo e l’intero PHP 5.x, indirettamente, Murphy non è uno di loro.
“Un PHP vulnerabilità […] sarebbe infatti molto male, ma non c’è stato nessuno che io conosca nella storia recente”, ha detto.
“Basato sul passato PHP vulnerabilità, la minaccia è la maggior parte con applicazioni in PHP,” Murphy aggiunto, suggerendo che gli aggressori si sarebbe probabilmente continuare a concentrarsi sulle librerie PHP e CMS.
Ma non tutti condividono Murphy parere. Per esempio, Arciszewski ritiene che PHP 5.6 e i vecchi rami sarà spronato per nuove vulnerabilità di più del solito. Questi rami sono ora EOL, sono incredibilmente popolare, e non sono supportati –perfette condizioni di abbondante obiettivi di sicurezza cattiva che disegnano in aggressori.
“Sì, che è assolutamente un fattore di rischio,” Arciszewski, ha detto. “Abbiamo visto qualcosa di simile accada dopo di supporto di Windows XP è stato abbandonato, e ho il sospetto che vedremo lo stesso accade per il PHP 5 filiali.
“Forse sarà necessario un catalizzatore per le imprese a prendere PHP 7 adozione seriamente? Posso solo sperare.”
E se gli amministratori di server e proprietari di siti web hanno bisogno di più convincente, faremo la fine di questo articolo con lo stesso finale che Martin Wheatley utilizzato per la sua “ticchettio PHP bomba a tempo” pezzo da tutta l’estate.
Sì un costo di tempo e denaro, ma quel che è peggio, un piccolo canone mensile di supporto a pagamento, o di un titolo: “il Sito hackerato, migliaia di dettagli utente “rubato” seguita da una multa fino a 20 milioni di euro o il 4% del proprio fatturato al di sotto GDPR… so cosa preferisco pagare.
RELATIVI COPERTURA:
Un misterioso grigio-hat è patching delle persone obsoleto MikroTik routerIETF approva la nuova internet standards to secure token di autenticazioneHacker violazione di web hosting provider per la seconda volta l’anno scorsoApple per ospitare 2.000 gratis codifica lezioni presso negozi Europei CNETPerché Kotlin sta esplodendo in popolarità tra i giovani sviluppatori di TechRepublicdi Web hosting provider di tre giorni, in media, per rispondere alle segnalazioni di abuso, Dopo due decenni di PHP, siti ancora esporre dati sensibili tramite la modalità di debugche Google non consentono più le estensioni di Chrome che uso codice offuscato
Argomenti Correlati:
Centri Dati
Di sicurezza, TV
La Gestione Dei Dati
CXO
0