写点什么

十周后,62% 的 PHP 网站将运行在一个不受支持的 PHP 版本上

  • 2018-10-22
  • 本文字数:2004 字

    阅读完需:约 7 分钟

根据 W3Techs 的统计数据,目前约有 78.9%的网站使用 PHP 开发。

但是,PHP 5.6.x 的安全支持将在 2018 年 12 月 31 日正式停止,这标志着对古老的 PHP 5.x 分支版本的支持都将结束。

也就是说,从明年开始,大约 62%仍然运行在 PHP 5.x 上的网站将停止接收有关服务器和网站底层技术的安全更新,从而让这些数以亿计的网站暴露于严重的安全性风险之下。

如果明年黑客发现 PHP 中存在漏洞,很多网站和用户都会面临风险。

Paragon Initiative Enterprise 首席开发官 Scott Arciszewski 在接受采访时告诉 ZDNet:“对于 PHP 生态系统来说,这是一个巨大的问题。尽管很多人认为他们可以在 2019 年弃用 PHP 5,但对于这种选择也只能用一词来形容:疏忽”。

“不过,PHP 5.6 中的任何可被大规模利用的主要漏洞也可能会影响新版本的 PHP”。

“PHP 7.2 将及时免费获得 PHP 团队提供的补丁,而如果你想要获得 PHP 5.6 补丁,只能向你的操作系统供应商支付费用,以便获得持续支持”。

“如果有人在年底之后仍然在运行 PHP 5,那么问问自己:你觉得自己很幸运吗?因为我肯定不会这么认为”。

PHP 社区早就知道这个截止日期了。早在 PHP 5.6 成为 2017 年春季使用最广泛的 PHP 版本之后,PHP 维护人员就开始意识到,如果他们在 PHP 5.6 成为最受欢迎的 PHP 版本时停止安全更新将会是一场灾难,所以他们将 EOL 日期延迟到了 2018 年底。

从那以后,有几位开发人员和安全研究人员开始警告会出现“滴答作响的 PHP 定时炸弹”,虽然没有信息安全社区所希望的那么多。

没有一致的努力让人们转向更新的 PHP 7.x,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并警告用户使用更现代的托管环境。

在三大 PHP 网站(WressPress、Joomla 和 Drupal)中,只有 Drupal 已经正式将最低运行要求调整为 PHP 7,但这一举措要到 2019 年 3 月才发布。具有讽刺意味的是,7.0.x 分支版本在 2017 年 12 月 3 日就已达到了 EOL,所以实际上没有解决任何问题,但仍然是向前迈进了一步。

Joomla 的最低运行要求是 PHP 5.3,而 WordPress 的最低运行要求仍然是 PHP 5.2。

在描述 WordPress 团队将最低运行要求保持在 2011 年就已达到 EOL 的 PHP​​版本时,Arciszewski 说:“PHP 生态系统中对版本最为迟钝的无疑是 WordPress,它仍然拒绝放弃支持 PHP 5.2,因为在这个世界上,仍然有系统在一个古老的、不受支持的 PHP 版本上运行 WordPress”。

如果 WordPress 将最低运行要求换成较新的 PHP 7.x 分支版本,那么这个在互联网上有超过四分之一的网站在使用的系统毫无疑问会改变很多人对使用现代 PHP 版本必要性的看法。

Defiant(WordPress 安全插件 WordFence 背后的公司)威胁情报总监 Sean Murphy 在与 ZDNet 的一封电子邮件中写道:“不过,WordPress 应该支持哪些 PHP 版本已经经过一段时间的争论”。

他补充说,“WordPress 团队正在采取措施,如果用户使用旧版的 PHP,就通知用户,并向他们提供他们需要的信息和工具,从他们的托管服务提供商那里获得更新版本”。

Murphy 认为,为大量网站推出 PHP 版本更新的最大挑战之一是大量的支持请求,这也是很多 CMS 项目和网络托管服务提供商保持沉默和不愿意这样做的原因。

但 Murphy 还指出,“好的托管服务提供商”将始终默认为新用户提供新版本的 PHP,而不是让用户选择,并在用户提出请求时将现有客户端更新为新版本的 PHP。

但除非客户意识到他们的 PHP 版本已经达到 EOL,否则很少有人会要求迁移到新版本。

虽然一些 WordPress 安全专家对 PHP 5.6 分支和整个 PHP 5.x 到来的 EOL 感到震惊,但 Murphy 并不会这么想。

他说:“存在 PHP 漏洞确实非常糟糕,但近来并没有出现我所知道的漏洞”。

Murphy 认为攻击者可能会继续关注 PHP 库和 CMS 系统,“根据过去的 PHP 漏洞可以知道,威胁主要来自 PHP 应用程序”。

但并非所有人都赞同墨菲的观点。例如,Arciszewski 认为,PHP 5.6 和较旧的分支版本比通常版本更容易遭到攻击。这些分支版本现在已经达到了 EOL,一方面非常流行,一方面却得不到支持——这为攻击者提供了绝佳的攻击机会。

Arciszewski 说:“是的,这绝对是一个风险因素。在 Windows XP 支持结束后,我们也看到类似的事情发生了,我怀疑我们会看到 PHP 5 发生同样的情况”。

“这可能是公司认真对待采用 PHP 7 的必要催化剂吗?我只能这么希望”。

如果服务器管理员和网站所有者需要具备更强说服力的说辞,那么请看 Martin Wheatley 在今年夏天的“滴答作响的 PHP 定时炸弹”一文中所做的结尾:

是的,它确实需要花费时间和金钱,但更糟糕的是,可能需要每月支付少量费用,或遭遇“网站被黑,数千用户信息被盗”,然后面临 GDPR 高达 2000 万欧元或营业额的 4%的罚款…我知道我要选择哪一个。

查看英文原文: https://www.zdnet.com/article/around-62-of-all-internet-sites-will-run-an-unsupported-php-version-in-10-weeks/

2018-10-22 09:482671
用户头像

发布了 731 篇内容, 共 449.5 次阅读, 收获喜欢 2002 次。

关注

评论 1 条评论

发布
用户头像
现在大部分网站还是php5.6 没有到php7
2019-07-12 09:42
回复
没有更多了
发现更多内容

第四周系统架构作业

简简单单

分布式服务框架的选择-《企业IT架构转型之道-阿里巴巴中台战略思想与架构实战》

Man

分布式架构 中台架构

架构师训练营第一期第十三周作业

Leo乐

极客大学架构师训练营

LeetCode题解:18. 四数之和,双指针,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

极客时间架构师训练营 1 期 - 第 13 周总结

Kaven

海底光缆是如何铺设出来的?

架构师训练营第 9 周学习总结

菜青虫

极客大学架构师训练营

架构师训练营 week9 学习总结

花果山

极客大学架构师训练营

架构师训练营 week9 课后作业

花果山

极客大学架构师训练营

架构师训练营 - 第十三周总结

一个节点

极客大学架构师训练营

使用 Docker 部署 canal,并将消息推送到 RabbitMQ

AlwaysBeta

MySQL Docker RabbitMQ canal

盘点2020 | 带领团队学习成长,干货总结

架构精进之路

学习 盘点2020

第四周学习总结

简简单单

架构师训练营第 9 周课后练习

菜青虫

极客大学架构师训练营

架构师训练营第13周作业

邓昀垚

架构师训练营第四周作业

zamkai

第九周课后练习

晴空万里

极客大学架构师训练营

架构师训练营第九周作业2

韩儿

大数据 2 第十三周作业「架构师训练营第 1 期」

天天向善

架構師訓練營 week13 總結

ilake

架構師訓練營 week13 作業

ilake

架构师训练营第十三周课后作业

Gosling

极客大学架构师训练营

第十三周作业

极客大学架构师训练营

架构师训练营第13周总结

邓昀垚

架构师训练营 - 第十三周作业

一个节点

极客大学架构师训练营

秒杀活动要点分析

落朽

架构师训练营第十三周学习总结

Gosling

极客大学架构师训练营

极客时间架构师培训 1 期 - 第 13 周作业

Kaven

架构师训练营第九周作业1

韩儿

架构师训练营第一期第十三周总结

Leo乐

极客大学架构师训练营

架构师训练营第 1 期 - 第十三周总结

Todd-Lee

极客大学架构师训练营

十周后,62%的PHP网站将运行在一个不受支持的PHP版本上_PHP_Catalin Cimpanu_InfoQ精选文章