十週後,62%的PHP網站將執行在一個不受支援的PHP版本上

weixin_34253539發表於2018-10-22

根據W3Techs的統計資料,目前約有78.9%的網站使用PHP開發。

\\

但是,PHP 5.6.x的安全支援將在2018年12月31日正式停止,這標誌著對古老的PHP 5.x分支版本的支援都將結束。

\\

也就是說,從明年開始,大約62%仍然執行在PHP 5.x上的網站將停止接收有關伺服器和網站底層技術的安全更新,從而讓這些數以億計的網站暴露於嚴重的安全性風險之下。

\\

如果明年黑客發現PHP中存在漏洞,很多網站和使用者都會面臨風險。

\\

Paragon Initiative Enterprise首席開發官Scott Arciszewski在接受採訪時告訴ZDNet:“對於PHP生態系統來說,這是一個巨大的問題。儘管很多人認為他們可以在2019年棄用PHP 5,但對於這種選擇也只能用一詞來形容:疏忽”。

\\

“不過,PHP 5.6中的任何可被大規模利用的主要漏洞也可能會影響新版本的PHP”。

\\

“PHP 7.2將及時免費獲得PHP團隊提供的補丁,而如果你想要獲得PHP 5.6補丁,只能向你的作業系統供應商支付費用,以便獲得持續支援”。

\\

“如果有人在年底之後仍然在執行PHP 5,那麼問問自己:你覺得自己很幸運嗎?因為我肯定不會這麼認為”。

\\

b3b84b37a273375b2a0d522145cbf2e0.jpg

\\

PHP社群早就知道這個截止日期了。早在PHP 5.6成為2017年春季使用最廣泛的PHP版本之後,PHP維護人員就開始意識到,如果他們在PHP 5.6成為最受歡迎的PHP版本時停止安全更新將會是一場災難,所以他們將EOL日期延遲到了2018年底。

\\

從那以後,有幾位開發人員和安全研究人員開始警告會出現“滴答作響的PHP定時炸彈”,雖然沒有資訊保安社群所希望的那麼多。

\\

沒有一致的努力讓人們轉向更新的PHP 7.x,但一些網站內容管理系統(CMS)專案已經開始修改最低要求,並警告使用者使用更現代的託管環境。

\\

在三大PHP網站(WressPress、Joomla和Drupal)中,只有Drupal已經正式將最低執行要求調整為PHP 7,但這一舉措要到2019年3月才釋出。具有諷刺意味的是,7.0.x分支版本在2017年12月3日就已達到了EOL,所以實際上沒有解決任何問題,但仍然是向前邁進了一步。

\\

Joomla的最低執行要求是PHP 5.3,而WordPress的最低執行要求仍然是PHP 5.2。

\\

在描述WordPress團隊將最低執行要求保持在2011年就已達到EOL的PHP​​版本時,Arciszewski說:“PHP生態系統中對版本最為遲鈍的無疑是WordPress,它仍然拒絕放棄支援PHP 5.2,因為在這個世界上,仍然有系統在一個古老的、不受支援的PHP版本上執行WordPress”。

\\

如果WordPress將最低執行要求換成較新的PHP 7.x分支版本,那麼這個在網際網路上有超過四分之一的網站在使用的系統毫無疑問會改變很多人對使用現代PHP版本必要性的看法。

\\

Defiant(WordPress安全外掛WordFence背後的公司)威脅情報總監Sean Murphy在與ZDNet的一封電子郵件中寫道:“不過,WordPress應該支援哪些PHP版本已經經過一段時間的爭論”。

\\

他補充說,“WordPress團隊正在採取措施,如果使用者使用舊版的PHP,就通知使用者,並向他們提供他們需要的資訊和工具,從他們的託管服務提供商那裡獲得更新版本”。

\\

Murphy認為,為大量網站推出PHP版本更新的最大挑戰之一是大量的支援請求,這也是很多CMS專案和網路託管服務提供商保持沉默和不願意這樣做的原因。

\\

但Murphy還指出,“好的託管服務提供商”將始終預設為新使用者提供新版本的PHP,而不是讓使用者選擇,並在使用者提出請求時將現有客戶端更新為新版本的PHP。

\\

但除非客戶意識到他們的PHP版本已經達到EOL,否則很少有人會要求遷移到新版本。

\\

雖然一些WordPress安全專家對PHP 5.6分支和整個PHP 5.x到來的EOL感到震驚,但Murphy並不會這麼想。

\\

他說:“存在PHP漏洞確實非常糟糕,但近來並沒有出現我所知道的漏洞”。

\\

Murphy認為攻擊者可能會繼續關注PHP庫和CMS系統,“根據過去的PHP漏洞可以知道,威脅主要來自PHP應用程式”。

\\

但並非所有人都贊同墨菲的觀點。例如,Arciszewski認為,PHP 5.6和較舊的分支版本比通常版本更容易遭到攻擊。這些分支版本現在已經達到了EOL,一方面非常流行,一方面卻得不到支援——這為攻擊者提供了絕佳的攻擊機會。

\\

Arciszewski說:“是的,這絕對是一個風險因素。在Windows XP支援結束後,我們也看到類似的事情發生了,我懷疑我們會看到PHP 5發生同樣的情況”。

\\

“這可能是公司認真對待採用PHP 7的必要催化劑嗎?我只能這麼希望”。

\\

如果伺服器管理員和網站所有者需要具備更強說服力的說辭,那麼請看Martin Wheatley在今年夏天的“滴答作響的PHP定時炸彈”一文中所做的結尾:

\\
\

是的,它確實需要花費時間和金錢,但更糟糕的是,可能需要每月支付少量費用,或遭遇“網站被黑,數千使用者資訊被盜”,然後面臨GDPR高達2000萬歐元或營業額的4%的罰款…我知道我要選擇哪一個。

\
\\

檢視英文原文:https://www.zdnet.com/article/around-62-of-all-internet-sites-will-run-an-unsupported-php-version-in-10-weeks/

相關文章