写点什么

十周后,62% 的 PHP 网站将运行在一个不受支持的 PHP 版本上

  • 2018-10-22
  • 本文字数:2004 字

    阅读完需:约 7 分钟

根据 W3Techs 的统计数据,目前约有 78.9%的网站使用 PHP 开发。

但是,PHP 5.6.x 的安全支持将在 2018 年 12 月 31 日正式停止,这标志着对古老的 PHP 5.x 分支版本的支持都将结束。

也就是说,从明年开始,大约 62%仍然运行在 PHP 5.x 上的网站将停止接收有关服务器和网站底层技术的安全更新,从而让这些数以亿计的网站暴露于严重的安全性风险之下。

如果明年黑客发现 PHP 中存在漏洞,很多网站和用户都会面临风险。

Paragon Initiative Enterprise 首席开发官 Scott Arciszewski 在接受采访时告诉 ZDNet:“对于 PHP 生态系统来说,这是一个巨大的问题。尽管很多人认为他们可以在 2019 年弃用 PHP 5,但对于这种选择也只能用一词来形容:疏忽”。

“不过,PHP 5.6 中的任何可被大规模利用的主要漏洞也可能会影响新版本的 PHP”。

“PHP 7.2 将及时免费获得 PHP 团队提供的补丁,而如果你想要获得 PHP 5.6 补丁,只能向你的操作系统供应商支付费用,以便获得持续支持”。

“如果有人在年底之后仍然在运行 PHP 5,那么问问自己:你觉得自己很幸运吗?因为我肯定不会这么认为”。

PHP 社区早就知道这个截止日期了。早在 PHP 5.6 成为 2017 年春季使用最广泛的 PHP 版本之后,PHP 维护人员就开始意识到,如果他们在 PHP 5.6 成为最受欢迎的 PHP 版本时停止安全更新将会是一场灾难,所以他们将 EOL 日期延迟到了 2018 年底。

从那以后,有几位开发人员和安全研究人员开始警告会出现“滴答作响的 PHP 定时炸弹”,虽然没有信息安全社区所希望的那么多。

没有一致的努力让人们转向更新的 PHP 7.x,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并警告用户使用更现代的托管环境。

在三大 PHP 网站(WressPress、Joomla 和 Drupal)中,只有 Drupal 已经正式将最低运行要求调整为 PHP 7,但这一举措要到 2019 年 3 月才发布。具有讽刺意味的是,7.0.x 分支版本在 2017 年 12 月 3 日就已达到了 EOL,所以实际上没有解决任何问题,但仍然是向前迈进了一步。

Joomla 的最低运行要求是 PHP 5.3,而 WordPress 的最低运行要求仍然是 PHP 5.2。

在描述 WordPress 团队将最低运行要求保持在 2011 年就已达到 EOL 的 PHP​​版本时,Arciszewski 说:“PHP 生态系统中对版本最为迟钝的无疑是 WordPress,它仍然拒绝放弃支持 PHP 5.2,因为在这个世界上,仍然有系统在一个古老的、不受支持的 PHP 版本上运行 WordPress”。

如果 WordPress 将最低运行要求换成较新的 PHP 7.x 分支版本,那么这个在互联网上有超过四分之一的网站在使用的系统毫无疑问会改变很多人对使用现代 PHP 版本必要性的看法。

Defiant(WordPress 安全插件 WordFence 背后的公司)威胁情报总监 Sean Murphy 在与 ZDNet 的一封电子邮件中写道:“不过,WordPress 应该支持哪些 PHP 版本已经经过一段时间的争论”。

他补充说,“WordPress 团队正在采取措施,如果用户使用旧版的 PHP,就通知用户,并向他们提供他们需要的信息和工具,从他们的托管服务提供商那里获得更新版本”。

Murphy 认为,为大量网站推出 PHP 版本更新的最大挑战之一是大量的支持请求,这也是很多 CMS 项目和网络托管服务提供商保持沉默和不愿意这样做的原因。

但 Murphy 还指出,“好的托管服务提供商”将始终默认为新用户提供新版本的 PHP,而不是让用户选择,并在用户提出请求时将现有客户端更新为新版本的 PHP。

但除非客户意识到他们的 PHP 版本已经达到 EOL,否则很少有人会要求迁移到新版本。

虽然一些 WordPress 安全专家对 PHP 5.6 分支和整个 PHP 5.x 到来的 EOL 感到震惊,但 Murphy 并不会这么想。

他说:“存在 PHP 漏洞确实非常糟糕,但近来并没有出现我所知道的漏洞”。

Murphy 认为攻击者可能会继续关注 PHP 库和 CMS 系统,“根据过去的 PHP 漏洞可以知道,威胁主要来自 PHP 应用程序”。

但并非所有人都赞同墨菲的观点。例如,Arciszewski 认为,PHP 5.6 和较旧的分支版本比通常版本更容易遭到攻击。这些分支版本现在已经达到了 EOL,一方面非常流行,一方面却得不到支持——这为攻击者提供了绝佳的攻击机会。

Arciszewski 说:“是的,这绝对是一个风险因素。在 Windows XP 支持结束后,我们也看到类似的事情发生了,我怀疑我们会看到 PHP 5 发生同样的情况”。

“这可能是公司认真对待采用 PHP 7 的必要催化剂吗?我只能这么希望”。

如果服务器管理员和网站所有者需要具备更强说服力的说辞,那么请看 Martin Wheatley 在今年夏天的“滴答作响的 PHP 定时炸弹”一文中所做的结尾:

是的,它确实需要花费时间和金钱,但更糟糕的是,可能需要每月支付少量费用,或遭遇“网站被黑,数千用户信息被盗”,然后面临 GDPR 高达 2000 万欧元或营业额的 4%的罚款…我知道我要选择哪一个。

查看英文原文: https://www.zdnet.com/article/around-62-of-all-internet-sites-will-run-an-unsupported-php-version-in-10-weeks/

2018-10-22 09:482668
用户头像

发布了 731 篇内容, 共 448.9 次阅读, 收获喜欢 2002 次。

关注

评论 1 条评论

发布
用户头像
现在大部分网站还是php5.6 没有到php7
2019-07-12 09:42
回复
没有更多了
发现更多内容

docker入门:vue和可视化界面的部署,另附ngxin配置

小鲍侃java

8月日更

redis6安装和可视化工具

4ye

redis 后端 8月日更

模块一

树建

架构实战营

Go,一文搞懂 defer 实现原理

微客鸟窝

Go 语言 8月日更

JavaScript 有关数组的 slice 截断函数

HoneyMoose

netty系列之:在netty中使用protobuf协议

程序那些事

Java Netty 程序那些事

混合模型与期望最大化算法(三)

Databri_AI

算法 混合模型

本科毕业六年,裸辞备战三个月,四面阿里巴巴定级P7

编程susu

Java 编程 程序员 面试 计算机

从λ演算到函数式编程聊闭包(1):闭包概念在Java/PHP/JS中形式

zhoulujun

闭包 闭包函数

Linux之nc命令

入门小站

Linux

微信业务架构图-外包学生管理系统架构

毛先生

架构实战营

Vue进阶(六十四):iframe更改src后页面未刷新问题解决

No Silver Bullet

Vue iframe 跨域 8月日更

微信业务架构和学生管理系统架构设计

Geek_db27b5

微信业务架构 学生管理系统架构

太厉害了!腾讯T4大牛把《数据结构与算法》讲透了,带源码笔记

编程susu

Java 编程 程序员 计算机 技术宅

ShardingSphere Proxy 初步体验

ShardingSphere-Proxy

JIT-动态编译与AOT-静态编译:java/ java/ JavaScript/Dart乱谈

zhoulujun

dart JIT AOT 动态编译 静态编译

微信业务架构图 & 学生管理系统方案

缘分呐

架构 设计

正经人一辈子都用不到的 JavaScript 方法总结 (一)

编程三昧

JavaScript 大前端 8月日更 模板字符串 String.raw

从λ演算到函数式编程聊闭包(2):彻底理解JavaScript闭包规则

zhoulujun

闭包 闭包函数

LeetCode刷题09-简单 回文数

ベ布小禅

8月日更

InnoDB解决幻读的方案——LBCC&MVCC

阿Q说代码

MySQL innodb MVCC 8月日更 LBCC

在线JSON转YAML工具

入门小站

工具

百度地图开发-显示实时位置信息 04

Andy阿辉

android Android 小菜鸟 Android端 8月日更

JS遍历循环方法性能对比:for/while/for in/for of/map/foreach/every

zhoulujun

foreach map for for in

每天学习10个实用Javascript代码片段(五)

devpoint

定时器 JavaScrip 8月日更

Rust从0到1-高级特性-Traits 进阶

rust Traits 高级特性

IntelliJ IDEA 如何显示提交输入的信息历史

HoneyMoose

下载超过10万次?阿里大佬的《高并发、性能调优笔记》一战封神

Java架构师迁哥

特斯拉依旧头铁坚持视觉路线,激光雷达会笑到最后吗?

脑极体

使用明道云搭建电梯维修与保养系统

明道云

微信业务架构

一叶知秋

架构实战营

十周后,62%的PHP网站将运行在一个不受支持的PHP版本上_PHP_Catalin Cimpanu_InfoQ精选文章