數以億計執行PHP的網站即將面臨嚴重的安全風險

根據W3Techs的統計資料，目前所有網際網路站點中約有78.9％使用PHP執行。但是2018年12月31日，PHP 5.6.x的安全支援將正式停止，標誌著對PHP 5.x分支的全部版本終止支援。

這意味著從明年開始，大約62％仍在執行PHP 5.x版本的Internet站點將停止接收其伺服器和網站底層技術的安全更新，從而使數以億計的網站面臨嚴重的安全性風險。

（w3techs：所有網站的使用率為78.9％。所有網站中有61.7％使用版本5。）

（w3techs：所有使用PHP版本5的網站中有41.5％使用版本5.6。）

PHP 5.6中任何主要的，可大規模利用的漏洞都可能會影響新版本的PHP。PHP 7.2將及時免費獲得PHP團隊的補丁；如果使用者支付來自作業系統供應商的持續支援，PHP 5.6將只獲得一個補丁。

（圖片來源：zdnet）

在PHP 5.6成為2017年春季使用最廣泛的PHP版本之後，PHP維護人員意識到如果如果在此時停止安全更新，會造成一場災難 ，所以他們將EOL（end of lifecycle）日期擴充套件到了2018年底。

雖然目前尚未有統一的意見來讓人們更改為最新的PHP7.x，但一些網站內容管理系統（CMS）專案已經開始修改最低要求，並警告使用者使用更現代的主機環境。

在WressPress，Joomla和Drupal中，只有Drupal已採取正式步驟將其最低要求調整為PHP 7，這一舉措將在2019年3月釋出。具有諷刺意味的是，7.0.x分支早在2017年12月3日就已達到EOL標準，它實際上沒有解決任何問題，但它仍然向前邁進了一步。

WressPress：WordPress.com是一個部落格寄存服務站點，由Automattic公司所持有。2005年8月8日進行Beta測試，2005年11月21日向公眾開放。它使用的是開源部落格軟體WordPress。

Joomla：Joomla!是一套自由、開放原始碼的內容管理系統，以PHP撰寫，用於釋出內容在全球資訊網與內部網，通常被用來搭建商業網站、個人部落格、資訊管理系統、Web 服務等，還可以進行二次開發以擴充使用範圍。其功能包含可提高效能的頁面快取、RSS饋送、頁面的可列印版本、新聞摘要、部落格、投票、網站搜尋、與語言國際化。

Drupal：是一個由Dries Buytaert創立的自由開源的內容管理系統，用PHP語言寫成。在業界Drupal常被視為內容管理框架，而非一般意義上的內容管理系統。 整套平臺把所有內容視為一個“節點”，背後由大量“模組” 控制其顯示、修改、排列、分類等方式。

（來源：維基百科）

Joomla的最低要求仍然是PHP 5.3，而WordPress的最低要求仍然是PHP 5.2。

WordPress—— 用於網際網路上超過四分之一網站的寄存服務站點 ，毫無疑問，如果專案將其最低PHP要求轉移到較新的PHP 7.x分支，則會改變很多人對使用現代PHP版本必要性的看法。

Defiant的威脅情報總監Sean Murphy表示，WordPress應該支援哪些PHP版本已經引發一段時間的爭論。WordPress團隊正在採取措施，當使用者使用舊版PHP時通知使用者，並向他們提供從託管服務商處申請更新版本所需的資訊和工具。

Murphy認為，對大量網站來說，升級PHP版本的最大挑戰之一就是大量的支援請求，這是許多CMS專案和網路託管服務提供商保持沉默和不願意這樣做的原因。除非客戶意識到他們的PHP版本已經達到使用壽命，否則很少有人會要求將其轉移到更新版本。

Murphy暗示攻擊者可能會繼續關注PHP函式庫和CMS系統。

但並非所有人都贊同Murphy的觀點。其他一些安全專家相信，等大限到來，黑客會更積極在PHP 5.6以前版本中找出漏洞。

參考來源：

• zdnet
  
• wordpress
  

- End -

更多閱讀：

1、網路黑灰產業已近千億 個人資訊洩露是源頭

2、App過度採集、竊取販賣 個人資訊要多加幾道保護鎖

3、近期大量iPhone支付寶被盜刷，扣款上萬元，到底怎麼回事？

4、最新 | 彭博社公佈 中國祕密植入後門晶片的最新證據