Noll
Enligt statistik från W3Techs, ungefär 78.9% av alla Internet-webbplatser idag kör på PHP.
Men den 31 December 2018, säkerhet och stöd för PHP 5.6.x kommer att officiellt upphöra, som markerar slutet för all support för någon version av den gamla PHP 5.x-gren.
Detta innebär att från och med nästa år, cirka 62 procent av alla Internet-webbplatser som fortfarande kör ett PHP 5.x version kommer att sluta ta emot säkerhetsuppdateringar för deras server och webbplats underliggande teknik, utsätta hundratals miljoner webbplatser, om inte mer, att allvarliga säkerhetsrisker.
Om en hacker upptäcker ett säkerhetsproblem i PHP efter det Nya Året, massor av sajter och användare skulle vara i riskzonen.
“Detta är ett stort problem för PHP ekosystem,” Scott Arciszewski, Chief Development Officer på Paragon Initiativ Företaget, berättade ZDNet i en intervju. “Även om många känner att de kan” komma undan med ” kör PHP 5 år 2019, det enklaste sättet att beskriva detta val är: Försumlig.”
“För att vara helt rättvis: Det är troligt att några större, massa-utnyttjas fel i PHP-5.6 även skulle påverka den nyare versioner av PHP,” Arciszewski läggas till.
“PHP 7.2 kommer att få en lapp från PHP-team, gratis, i en tid; PHP 5.6 kommer bara att få en om du betalar för pågående stöd från din OS säljaren.
“Om någon hittar sig själva som kör PHP 5 efter utgången av det år, fråga dig själv: har du tur? Eftersom jag säker på inte.”
PHP samhället har känt av denna tidsfrist på ett bra tag. Efter PHP-5.6 blev den mest använda PHP version tillbaka på våren 2017, PHP-utvecklare insåg att det skulle vara en katastrof om de slutade säkerhetsuppdateringar rätt när PHP-5.6 blev den mest populära PHP-version –så de utökade EOL datum till slutet av 2018.
Sedan dess har det varit flera utvecklare och säkerhet forskare som varnade om “tickande PHP time bomb,” även om det inte är så många som infosec gemenskapen skulle ha önskat.
Det har inte funnits en samlad insats för att få folk att flytta till nyare PHP-7.x, men någon hemsida content management system (CMS) projekt, en efter en, har börjat ändra minimikrav, och varnar användare att använda mer moderna hosting miljö.
Av de tre stora –WordPress, Joomla och Drupal– bara Drupal har gjort den officiella steg för att justera dess minsta krav för att PHP-7, men att flytta kommer i Mars 2019. Ironiskt nog, de 7.0.x-gren har nått EOL den 3 December 2017, som faktiskt inte löser någonting, men det är ändå ett steg framåt.
Joomla är minsta kravet kvarstår PHP 5.3, medan WordPress’ minsta kravet kvarstår PHP 5.2.
“Den största källan av tröghet i PHP ekosystem om versioner är utan tvekan WordPress, som vägrar fortfarande att släppa stöd för PHP 5.2 eftersom det är mer än noll system i universum som fortfarande kör WordPress på en gammal, ej stödda version av PHP,” Arciszewski sa, beskriver WordPress laget ökända strongheadedness av att hålla sin lägsta krav på en PHP-version som gick EOL under 2011.
WordPress, som används för mer än en fjärdedel av alla webbplatser på Internet– skulle, utan tvekan, skifta en hel del människors syn på nödvändigheten av att använda modern PHP-versioner om projektet skulle flytta sin lägsta PHP krav på att de nyare PHP-7.x-gren.
“Vad PHP-versioner bör stödjas [av WordPress], emellertid, har varit en stor debatt för en tid,” sade Sean Murphy, Chef för Hot Intelligens på Trotsiga, företaget bakom WordFence security plugin för WordPress, i en mailkonversation med ZDNet.
“Det är en pågående initiativ av WordPress team för att meddela användare när de använder en äldre version av PHP och ge dem den information och de verktyg de behöver för att begära en nyare version från webbhotellet,” tillade han. “Här är anteckningar från detta lagets senaste möte.”
Murphy anser att en av de största utmaningarna med att rulla ut PHP version uppgraderingar till ett stort antal webbplatser som är den flod av supportärenden som kommer som en följd av en anledning varför många CMS-projekt och webbhotell är förtegen och ovilliga att göra det.
Men Murphy påpekar också att “bra webbhotell” kommer alltid att distribuera nya användare på nya versioner av PHP som standard, istället för att låta kunder välja, och kommer att uppdatera befintliga kunder till nya versioner av PHP-bara när det behövs.
Men om inte kunderna är medvetna om att deras version av PHP har nått slutet av sin livslängd, mycket få kommer att be om att bli flyttade till en nyare version.
Här är där WordPress underrättelser för användare som kör sajter på gamla PHP-versioner kommer att komma till hjälp-vilket gör att folk antingen uppdatera sin server eller be webbhotellet för en mer modern hosting miljö.
Medan vissa WordPress säkerhet experter är oroade över den förestående EOL för PHP-5.6 gren och hela PHP 5.x, indirekt, Murphy är inte en av dem.
“En PHP sårbarhet […] verkligen skulle vara väldigt dåligt, men det har inte funnits någon som jag känner till i modern historia,” sade han.
“Baserat på tidigare PHP sårbarheter, hot är främst med PHP-program,” Murphy till, tyder på att angripare skulle sannolikt kommer att fortsätta att fokusera på PHP bibliotek och CMS-system.
Men inte alla delar Murphy ‘ s yttrande. Till exempel, Arciszewski anser att PHP-5,6 och den äldre grenar kommer att vara stack för nya sårbarheter mer än vanligt. Dessa grenar är nu EOL, är vansinnigt populära, och inte stöds –den perfekta förutsättningar för gott mål med dålig säkerhet att dra i angripare.
“Ja, det är absolut en riskfaktor,” Arciszewski sagt. “Vi såg något liknande hända när Windows XP har stöd togs bort, och jag misstänker att vi kommer se samma sak hända att PHP 5-gren.
“Kanske som kommer att vara den katalysator som behövs för företagen att ta PHP-7 införande på allvar? Jag kan bara hoppas.”
Och om server-administratörer och webbplatsägare behöver mer övertygande, ska vi avsluta denna artikel med samma slut som Martin Wheatley användas för hans “tickande PHP time bomb” bit från under sommaren.
Ja det kostar tid och pengar, men vad värre är, en liten månatliga stöd avgift, eller en rubrik som “Site hackad, tusentals användaruppgifter stulna” följt av en fin plats för upp till 20 miljoner euro eller 4% av din omsättning under GDPR… jag vet vad jag skulle hellre betala.
RELATERADE TÄCKNING:
En mystisk grey-mössa är lapp människor är föråldrad MikroTik routrarIETF godkänner nya internet-standarder för att säkra authentication tokensHackare bryter mot webbhotell för andra gången under det senaste åretApple värd 2.000 gratis kodning lektioner på Europeiska butiker CNETVarför Kotlin exploderar i popularitet bland unga utvecklare TechRepublicwebbhotell ta tre dagar, i genomsnitt, för att svara på missbruk rapporterEfter två decennier av PHP, platser fortfarande exponera känslig information via debug-lägeGoogle att inte längre tillåta Chrome-tillägg som använder krypterat kod
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO
0