Nul
Ifølge statistikker fra W3Techs, groft 78.9 procent af alle websteder på Internettet i dag kører på PHP.
Men på December 31, 2018, sikkerhed, support for PHP 5.6.x officielt vil ophøre med at markere afslutningen af alle støtte til en version af den gamle PHP 5.x-filial.
Det betyder, at fra og med næste år, omkring 62 procent af alle Internet-websites, som stadig kører med PHP 5.x version vil stoppe med at modtage sikkerhedsopdateringer til deres server, og hjemmeside er den underliggende teknologi, og udsætter hundredvis af millioner af hjemmesider, hvis ikke mere, til alvorlige sikkerhedsrisici.
Hvis en hacker finder en sårbarhed i PHP, efter at det Nye År, er der masser af steder, og brugerne vil være i fare.
“Det er et kæmpe problem for PHP økosystem,” Scott Arciszewski, Chief Development Officer ved Paragon Initiativ Virksomheden, fortalte ZDNet i et interview. “Selvom mange føler, at de kan “slippe af sted med at’ kører PHP 5 i 2019, den enkleste måde at beskrive dette på valg er: Uagtsom.”
“For at være helt fair: Det er sandsynligt, at enhver større, masse-udnyttelige fejl i PHP 5.6 også ville påvirke de nyere versioner af PHP,” Arciszewski tilføjet.
“PHP 7.2 vil få en patch fra PHP-teamet, gratis, i tide; PHP 5.6 vil kun få en, hvis du betaler for løbende støtte fra din OS sælgeren.
“Hvis nogen finder sig selv kører PHP 5 efter udgangen af det år, så spørg dig selv: føler du dig heldig? Fordi jeg sikker på ville ikke.”
PHP samfund er kendt fra denne frist for ganske et stykke tid. Efter PHP 5.6 blev den mest udbredte version af PHP tilbage i foråret 2017, PHP vedligeholdere indså, at det ville være en katastrofe, hvis de stoppede med at sikkerhedsopdateringer til højre, når PHP 5.6 blev den mest populære version af PHP-så de udvidet EOL dato til udgangen af 2018.
Siden da har der været flere udviklere og sikkerhed forskere, der advarede om “tikkende PHP bombe,” men ikke så mange som infosec samfund ville have ønsket.
Der har ikke været en samlet indsats for at få folk til at flytte til den nyere PHP 7.x, men nogle website content management systemer (CMS) projekter, én efter én, er begyndt at ændre minimumskrav, og advarer brugere til at bruge mere moderne hosting miljøer.
Af de tre store –WordPress, Joomla og Drupal-kun Drupal har lavet den officielle skridt til at justere sine minimumskrav til PHP 7, men at flytte vil komme Marts 2019. Ironisk nok, den 7.0.x gren har nået EOL on December 3, 2017, hvilket faktisk ikke løse noget, men det er stadig et skridt fremad.
Joomla ‘s minimumskrav fortsat PHP 5.3, mens WordPress’ minimumskrav fortsat PHP 5.2.
“Den største kilde af inerti i PHP-økosystem om versioner er uden tvivl WordPress, som stadig nægter at droppe support for PHP 5.2, fordi der er mere end nul-systemer i universet, der stadig kører WordPress på en gammel version understøttes ikke af PHP,” Arciszewski sagde, beskriver WordPress team ‘ s berygtede strongheadedness at holde sine minimum krav på en PHP-version, der gik EOL i 2011.
WordPress-som bruges til mere end en fjerdedel af alle websteder på Internettet– ville, uden tvivl, skift en masse af folks syn på nødvendigheden af at bruge moderne PHP-versioner, hvis projektet ville flytte sit minimum PHP krav til den nyere PHP 7.x-filial.
“Hvad PHP-versioner skal være understøttet af WordPress], dog, har været en større debat i et stykke tid,” sagde Sean Murphy, Direktør for Threat Intelligence på Trodsige, selskabet bag WordFence sikkerhed plugin til WordPress, i en mail udveksling med ZDNet.
“Der er et igangværende initiativ af WordPress teamet til at give brugerne besked, når de bruger en ældre version af PHP, og give dem den information og de værktøjer, de har brug for at anmode om en nyere version af deres hosting-udbyder,” tilføjede han. “Her er noter fra dette holds seneste møde.”
Murphy mener, at en af de største udfordringer ved at udrulle PHP version opgraderinger til et stort antal af websteder, er den strøm af henvendelser, der kommer som et resultat heraf, er grunden til, at mange CMS-projekter og web-hosting-udbydere er tilbageholdende, og uvillig til at gøre det.
Men Murphy også påpeger, at “god hosting-udbydere”, der altid vil implementere nye brugere på nye versioner af PHP som standard, i stedet for at lade kunderne vælge, og vil opdatere eksisterende kunder, nye versioner af PHP kun, når der anmodes herom.
Men hvis kunderne er opmærksomme på, at deres version af PHP har nået slutningen af deres levetid, meget få vil bede om at blive flyttet til en nyere version.
Her er, hvor WordPress’ meddelelser til brugere, der kører websteder på forældede PHP-versioner vil komme til at hjælpe-at gøre folk enten opdatere deres server eller bede deres udbyder for en mere moderne hosting miljø.
Mens nogle WordPress-sikkerhed eksperter er alarmeret over den forestående EOL til PHP 5.6 gren og hele PHP 5.x, indirekte, Murphy er ikke en af dem.
“En PHP-sårbarhed […] ville faktisk være meget dårlig, men der har ikke været nogen, som jeg kender til i nyere historie,” sagde han.
“Baseret på tidligere PHP sårbarheder, truslen er for det meste med PHP-applikationer,” Murphy tilføjet, hvilket tyder på, at hackere vil sandsynligvis fortsætte med at fokusere på PHP biblioteker og CMS systemer.
Men ikke alle deler Murphy ‘ s mening. For eksempel, Arciszewski mener, at PHP 5.6 og de ældre grene vil være puffede til nye sårbarheder mere end den sædvanlige. Disse filialer er nu EOL, er sindssygt populære, og er ikke understøttet –de perfekte betingelser for rigeligt mål med dårlig sikkerhed, at trække i angribere.
“Ja, det er absolut en risikofaktor,” Arciszewski sagde. “Vi oplevede noget lignende ske, efter at Windows XP-support var faldet, og jeg tror vi vil se det samme ske for PHP 5-filial.
“Måske, som vil være en nødvendig katalysator for virksomheder til at tage PHP 7 vedtagelse alvorligt? Jeg kan kun håbe.”
Og hvis server-administratorer og ejere har brug for mere overbevisende, vi vil afslutte denne artikel med det samme slutning, at Martin Wheatley, der anvendes for hans “tikkende PHP bombe” stykke fra over sommeren.
Ja det koster tid og penge, men hvad der er værre, et lille månedligt støtte gebyr, eller en overskrift “Site hacket, tusindvis af brugere detaljer stjålet” efterfulgt af en bøde for op til 20 millioner euro eller 4% af din omsætning under GDPR… jeg ved, hvad jeg vil hellere betale.
RELATEREDE DÆKNING:
En mystisk grey-hat er patching mennesker er forældet MikroTik routereIETF godkender nye internet-standarder til sikker godkendelse tokensHackere brud web-hosting-udbyder for anden gang i det forløbne årApple til at være vært for 2.000 gratis kodning undervisning i Europæiske butikker CNET, Hvorfor Kotlin er eksploderet i popularitet blandt de unge udviklere TechRepublicWeb-hosting-udbydere tager tre dage i gennemsnit at svare til rapporter om misbrugEfter to årtier med PHP, steder stadig afsløre følsomme oplysninger via debug modeGoogle ikke længere tillade, at Chrome udvidelser, der bruger uklar kode
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO
0