大约62%的互联网站点将在10周内运行不受支持的PHP版本
这意味着从明年开始,大约62%仍在运行PHP 5.x版本的Internet站点将停止接收其服务器和网站底层技术的安全更新。
根据统计数据,所有互联网站点中约有78.9%使用PHP运行。
但是在2018年12月31日,PHP 5.6.x的安全支持将正式停止,标志着对任何版本的PHP 5.x分支的所有支持的终止。
这意味着从明年开始,大约62%仍在运行PHP 5.x版本的Internet站点将停止接收其服务器和网站底层技术的安全更新,从而使数以亿计的网站(如果不是更多)暴露于严重的安全性风险。
如果黑客在新年之后发现PHP中存在漏洞,很多网站和用户都会面临风险。
"对于PHP生态系统来说,这是一个巨大的问题," 首席开发官Scott Arciszewski 在接受采访时告诉ZDNet。"虽然许多人认为他们可以'逃避',在2019年继续运行PHP 5,但描述这种选择的最简单方法是:疏忽。"
"完全公平:PHP 5.6中的任何主要的,可大规模利用的漏洞都可能会影响新版本的PHP。"Arciszewski补充道。
"PHP 7.2将及时免费获得PHP团队的补丁;如果您支付来自操作系统供应商的持续支持,PHP 5.6将只获得一个补丁。
"如果有人发现自己在年底之后运行PHP 5,那就问问自己:你觉得自己很幸运吗?因为我肯定不会。"
PHP社区已经知道了这个截止日期已有一段时间了。在PHP 5.6成为2017年春季使用最广泛的PHP版本之后,PHP维护人员意识到如果他们在PHP 5.6成为最受欢迎的PHP版本时停止安全更新将会是一场灾难 - 所以他们将EOL日期扩展。
从那以后,有几位开发人员和安全研究人员警告说" ",虽然没有信息安全社区所希望的那么多。
没有一致的努力让人们转向更新的PHP 7.x,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并警告用户使用更现代的托管环境。
在三大中--WressPress,Joomla和Drupal--只有Drupal已经采取正式步骤将其最低要求调整为PHP 7,但这一举措将在2019年3月发布。具有讽刺意味的是,7.0.x分支已达到EOL 2017年12月3日,它实际上没有解决任何问题,但它仍然向前迈进了一步。
仍然是PHP 5.3,而WordPress的最低要求仍然是PHP 5.2。
"PHP生态系统中关于版本的最大惯性来源无疑是WordPress,它仍然拒绝放弃对PHP 5.2的支持,因为好多系统仍在一个古老的,不受支持的PHP版本上运行WordPress,"Arciszewski说,描述WordPress团队臭名昭着的强硬头脑,保持其最低要求在2011年EOL的PHP版本。
如果该项目将其最低PHP要求转移到其上,那么WordPress - 用于互联网上超过四分之一的网站 - 毫无疑问会转移很多人对使用现代PHP版本的必要性的看法。
"然而,[WordPress]应该支持哪些PHP版本已经成为一段时间的争论," 的威胁情报总监Sean Murphy说道,他是WordPress的WordFence安全插件背后的公司。
"WordPress团队正在采取措施,在用户使用旧版PHP时通知用户,并向他们提供他们从托管服务提供商处申请更新版本所需的信息和工具,"他补充说。"这里是笔记从这个队最近的会议。"
Murphy认为,将PHP版本升级到大量网站的最大挑战之一就是大量的支持请求,这是许多CMS项目和网络托管服务提供商保持沉默和不愿意这样做的原因。
但Murphy还指出,"好的托管服务提供商"将始终默认在新版本的PHP上部署新用户,而不是让客户选择,并且仅在请求时才将现有客户端更新为新版本的PHP。
但除非客户意识到他们的PHP版本已经达到使用寿命,否则很少有人会要求将其转移到更新版本。
对于在过时的PHP版本上运行网站的用户而言,WordPress的通知将在这里提供帮助 - 让人们更新他们的服务器或要求他们的托管服务提供商提供更现代的托管环境。
虽然一些WordPress安全专家对PHP 5.6分支和整个PHP 5.x的即将发生的EOL感到震惊,但间接地,Murphy不是其中之一。
"一个PHP漏洞确实会非常糟糕,但在最近的历史中并没有我所知道的,"他说。
"根据过去的PHP漏洞,威胁主要来自PHP应用程序,"Murphy补充说,暗示攻击者可能会继续关注PHP库和CMS系统。
但并非所有人都赞同墨菲的观点。例如,Arciszewski认为,PHP 5.6和较旧的分支机构将比通常更多地针对新的漏洞进行攻击。这些分支现在已经过EOL,非常受欢迎,并且没有得到支持 - 这是一个充满攻击者的安全性很差的目标的完美条件。
"是的,这绝对是一个风险因素,"Arciszewski说。"在Windows XP支持被删除后,我们看到类似的事情发生了,我怀疑我们会看到PHP 5分支发生同样的情况。
"这可能是公司认真对待PHP 7采用的必要催化剂吗?我只能希望。"
如果服务器管理员和网站所有者需要更有说服力,那么我们将结束这篇文章,结果是Martin Wheatley在今年夏天使用的"滴答作响的PHP定时炸弹"。
是的,它确实需要花费时间和金钱,但更糟糕的是,每月支付少量费用,或标题为"网站被黑,数千个用户详细信息被盗",然后根据GDPR罚款高达2000万欧元或营业额的4%。 ..我知道我宁愿付钱。
如果此文对你有所帮助,请随意打赏鼓励作者^_^
加个好友,学习交流
微信公众号
微信
最新评论
总共0条评论