写点什么

十周后,62% 的 PHP 网站将运行在一个不受支持的 PHP 版本上

  • 2018-10-22
  • 本文字数:2004 字

    阅读完需:约 7 分钟

根据 W3Techs 的统计数据,目前约有 78.9%的网站使用 PHP 开发。

但是,PHP 5.6.x 的安全支持将在 2018 年 12 月 31 日正式停止,这标志着对古老的 PHP 5.x 分支版本的支持都将结束。

也就是说,从明年开始,大约 62%仍然运行在 PHP 5.x 上的网站将停止接收有关服务器和网站底层技术的安全更新,从而让这些数以亿计的网站暴露于严重的安全性风险之下。

如果明年黑客发现 PHP 中存在漏洞,很多网站和用户都会面临风险。

Paragon Initiative Enterprise 首席开发官 Scott Arciszewski 在接受采访时告诉 ZDNet:“对于 PHP 生态系统来说,这是一个巨大的问题。尽管很多人认为他们可以在 2019 年弃用 PHP 5,但对于这种选择也只能用一词来形容:疏忽”。

“不过,PHP 5.6 中的任何可被大规模利用的主要漏洞也可能会影响新版本的 PHP”。

“PHP 7.2 将及时免费获得 PHP 团队提供的补丁,而如果你想要获得 PHP 5.6 补丁,只能向你的操作系统供应商支付费用,以便获得持续支持”。

“如果有人在年底之后仍然在运行 PHP 5,那么问问自己:你觉得自己很幸运吗?因为我肯定不会这么认为”。

PHP 社区早就知道这个截止日期了。早在 PHP 5.6 成为 2017 年春季使用最广泛的 PHP 版本之后,PHP 维护人员就开始意识到,如果他们在 PHP 5.6 成为最受欢迎的 PHP 版本时停止安全更新将会是一场灾难,所以他们将 EOL 日期延迟到了 2018 年底。

从那以后,有几位开发人员和安全研究人员开始警告会出现“滴答作响的 PHP 定时炸弹”,虽然没有信息安全社区所希望的那么多。

没有一致的努力让人们转向更新的 PHP 7.x,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并警告用户使用更现代的托管环境。

在三大 PHP 网站(WressPress、Joomla 和 Drupal)中,只有 Drupal 已经正式将最低运行要求调整为 PHP 7,但这一举措要到 2019 年 3 月才发布。具有讽刺意味的是,7.0.x 分支版本在 2017 年 12 月 3 日就已达到了 EOL,所以实际上没有解决任何问题,但仍然是向前迈进了一步。

Joomla 的最低运行要求是 PHP 5.3,而 WordPress 的最低运行要求仍然是 PHP 5.2。

在描述 WordPress 团队将最低运行要求保持在 2011 年就已达到 EOL 的 PHP​​版本时,Arciszewski 说:“PHP 生态系统中对版本最为迟钝的无疑是 WordPress,它仍然拒绝放弃支持 PHP 5.2,因为在这个世界上,仍然有系统在一个古老的、不受支持的 PHP 版本上运行 WordPress”。

如果 WordPress 将最低运行要求换成较新的 PHP 7.x 分支版本,那么这个在互联网上有超过四分之一的网站在使用的系统毫无疑问会改变很多人对使用现代 PHP 版本必要性的看法。

Defiant(WordPress 安全插件 WordFence 背后的公司)威胁情报总监 Sean Murphy 在与 ZDNet 的一封电子邮件中写道:“不过,WordPress 应该支持哪些 PHP 版本已经经过一段时间的争论”。

他补充说,“WordPress 团队正在采取措施,如果用户使用旧版的 PHP,就通知用户,并向他们提供他们需要的信息和工具,从他们的托管服务提供商那里获得更新版本”。

Murphy 认为,为大量网站推出 PHP 版本更新的最大挑战之一是大量的支持请求,这也是很多 CMS 项目和网络托管服务提供商保持沉默和不愿意这样做的原因。

但 Murphy 还指出,“好的托管服务提供商”将始终默认为新用户提供新版本的 PHP,而不是让用户选择,并在用户提出请求时将现有客户端更新为新版本的 PHP。

但除非客户意识到他们的 PHP 版本已经达到 EOL,否则很少有人会要求迁移到新版本。

虽然一些 WordPress 安全专家对 PHP 5.6 分支和整个 PHP 5.x 到来的 EOL 感到震惊,但 Murphy 并不会这么想。

他说:“存在 PHP 漏洞确实非常糟糕,但近来并没有出现我所知道的漏洞”。

Murphy 认为攻击者可能会继续关注 PHP 库和 CMS 系统,“根据过去的 PHP 漏洞可以知道,威胁主要来自 PHP 应用程序”。

但并非所有人都赞同墨菲的观点。例如,Arciszewski 认为,PHP 5.6 和较旧的分支版本比通常版本更容易遭到攻击。这些分支版本现在已经达到了 EOL,一方面非常流行,一方面却得不到支持——这为攻击者提供了绝佳的攻击机会。

Arciszewski 说:“是的,这绝对是一个风险因素。在 Windows XP 支持结束后,我们也看到类似的事情发生了,我怀疑我们会看到 PHP 5 发生同样的情况”。

“这可能是公司认真对待采用 PHP 7 的必要催化剂吗?我只能这么希望”。

如果服务器管理员和网站所有者需要具备更强说服力的说辞,那么请看 Martin Wheatley 在今年夏天的“滴答作响的 PHP 定时炸弹”一文中所做的结尾:

是的,它确实需要花费时间和金钱,但更糟糕的是,可能需要每月支付少量费用,或遭遇“网站被黑,数千用户信息被盗”,然后面临 GDPR 高达 2000 万欧元或营业额的 4%的罚款…我知道我要选择哪一个。

查看英文原文: https://www.zdnet.com/article/around-62-of-all-internet-sites-will-run-an-unsupported-php-version-in-10-weeks/

2018-10-22 09:482657
用户头像

发布了 731 篇内容, 共 447.0 次阅读, 收获喜欢 2001 次。

关注

评论 1 条评论

发布
用户头像
现在大部分网站还是php5.6 没有到php7
2019-07-12 09:42
回复
没有更多了
发现更多内容

火山引擎+焱融 YRCloudFile,驱动数据存储新增长

焱融科技

云计算 分布式 云原生 高性能 文件存储

模运算和与运算的一点儿简单思考

LSJ

位运算 二进制

详解工作流框架Activiti的服务架构和组件

华为云开发者联盟

工作流 工作流引擎 BPM Activiti BPMN

模仿UP主,用Python实现一个弹幕控制的直播间!

Zhendong

Python

同态加密实现数据隐私计算,能让你的小秘密更加秘密

华为云开发者联盟

数据 加密 同态加密 联邦计算 数据隐私计算

前端避坑指南丨辛辛苦苦开发的APP竟然被判定为简单网页打包?

YonBuilder低代码开发平台

大前端 APP开发 APICloud 跨端开发

软件工程师年满 40 岁,下一步怎么走?|本周话题

InfoQ写作社区官方

生涯规划 个人成长 职业规划 话题讨论

打造基于 PostgreSQL/openGauss 的分布式数据库解决方案

SphereEx

数据库 开源 分布式数据库 ShardingSphere SphereEx

清空数组的几个方式

编程江湖

大前端

等保工作五大误区汇总,让你更懂等保!

行云管家

网络安全 等保 等级保护

复杂场景,从OpenTSDB迁移到TDengine的最佳实践

TDengine

数据库 tdengine

面对行业难题,华为云邀请物联网全行业拿出“亮剑”精神

华为云开发者联盟

IoT 华为云 LiteOS HarmonyOS IoT边缘

【Java】代码重构时,为什么禁止在方法内对对象类型的入参赋值

恒生LIGHT云社区

Java 代码规范 java代码规范

Go语言学习查缺补漏ing Day2

恒生LIGHT云社区

Go 编程语言

HBase 和 Hive 的差别是什么,各自适用在什么场景中

编程江湖

大数据

CIO如何制定低代码/无代码战略

WorkPlus

滚雪球学Python系列,真能学会Python!

梦想橡皮擦

内容合集 签约计划第二季

Redis架构实战:高并发情况下并发扣减库存

编程江湖

java编程

百度智能客服斩获 “金音奖—中国最佳客户联络中心技术与解决方案奖”

百度大脑

人工智能 智能客服

JVM中的对象及引用

Ayue、

技术专题合集

架构实战营 模块七作业

felix

「架构实战营」

如何在 Flutter 中设置背景图像【Flutter专题15】

坚果

flutter 28天写作 签约计划第二季 12月日更

什么是云计算?云计算特点是什么?

行云管家

云计算 公有云 混合云 云资源

莫要寻找可能不存在的答案

FunTester

学习 解决方案 自学 FunTester 思路

大数据开发技术应该怎么学习入门才好

@零度

大数据

开始读 Go 源码了

AlwaysBeta

golang 源码 源码阅读 源码剖析 Go web

MySQL「 Every derived table must have its own alias」1248 错误修复法

蒋川

数据库 MySQL 运维 MySQL 数据库

mPaaS 月度小报|魔方卡片(Cube)公测,十个卡片模板任意使用

蚂蚁集团移动开发平台 mPaaS

小程序 消息推送 移动开发 API网关 cube

青藤解密:72%客户容器规模>100个,[镜像安全]谁来保护?

青藤云安全

镜像安全

做一款互联网内容平台,到底要懂多少AI?

百度开发者中心

AI

【AI最前线】精准优质-资讯|分享|热议第42期

百度大脑

十周后,62%的PHP网站将运行在一个不受支持的PHP版本上_PHP_Catalin Cimpanu_InfoQ精选文章