但是,PHP 5.6.x的安全支持将在2018年12月31日正式停滞,这标志着对古老的PHP 5.x分支版本的支持都将结束。
也便是说,从明年开始,大约62%仍旧运行在PHP 5.x上的网站将停滞吸收有关做事器和网站底层技能的安全更新,从而让这些数以亿计的网站暴露于严重的安全性风险之下。
如果明年黑客创造PHP中存在漏洞,很多网站和用户都会面临风险。
Paragon Initiative Enterprise首席开拓官Scott Arciszewski在接管采访时见告ZDNet:“对付PHP生态系统来说,这是一个巨大的问题。只管很多人认为他们可以在2019年弃用PHP 5,但对付这种选择也只能用一词来形容:轻忽”。
“不过,PHP 5.6中的任何可被大规模利用的紧张漏洞也可能会影响新版本的PHP”。
“PHP 7.2将及时免费得到PHP团队供应的补丁,而如果你想要得到PHP 5.6补丁,只能向你的操作系统供应商支付用度,以便得到持续支持”。
“如果有人在年底之后仍旧在运行PHP 5,那么问问自己:你以为自己很幸运吗?由于我肯定不会这么认为”。
PHP社区早就知道这个截止日期了。早在PHP 5.6成为2017年春季利用最广泛的PHP版本之后,PHP掩护职员就开始意识到,如果他们在PHP 5.6成为最受欢迎的PHP版本时停滞安全更新将会是一场灾害,以是他们将EOL日期延迟到了2018年底。
从那往后,有几位开拓职员和安全研究职员开始警告会涌现“滴答作响的PHP定时炸弹”,虽然没有信息安全社区所希望的那么多。
没有同等的努力让人们转向更新的PHP 7.x,但一些网站内容管理系统(CMS)项目已经开始修正最低哀求,并警告用户利用更当代的托管环境。
在三大PHP网站(WressPress、Joomla和Drupal)中,只有Drupal已经正式将最低运行哀求调度为PHP 7,但这一举措要到2019年3月才发布。具有讽刺意味的是,7.0.x分支版本在2017年12月3日就已达到了EOL,以是实际上没有办理任何问题,但仍旧是向前迈进了一步。
Joomla的最低运行哀求是PHP 5.3,而WordPress的最低运行哀求仍旧是PHP 5.2。
在描述WordPress团队将最低运行哀求保持在2011年就已达到EOL的PHP版本时,Arciszewski说:“PHP生态系统中对版本最为迟缓的无疑是WordPress,它仍旧谢绝放弃支持PHP 5.2,由于在这个天下上,仍旧有系统在一个古老的、不受支持的PHP版本上运行WordPress”。
如果WordPress将最低运行哀求换成较新的PHP 7.x分支版本,那么这个在互联网上有超过四分之一的网站在利用的系统毫无疑问会改变很多人对利用当代PHP版本必要性的意见。
Defiant(WordPress安全插件WordFence背后的公司)威胁情报总监Sean Murphy在与ZDNet的一封电子邮件中写道:“不过,WordPress该当支持哪些PHP版本已经经由一段韶光的辩论”。
他补充说,“WordPress团队正在采纳方法,如果用户利用旧版的PHP,就关照用户,并向他们供应他们须要的信息和工具,从他们的托管做事供应商那里得到更新版本”。
Murphy认为,为大量网站推出PHP版本更新的最大寻衅之一是大量的支持要求,这也是很多CMS项目和网络托管做事供应商保持沉默和不愿意这样做的缘故原由。
但Murphy还指出,“好的托管做事供应商”将始终默认为新用户供应新版本的PHP,而不是让用户选择,并在用户提出要求时将现有客户端更新为新版本的PHP。
但除非客户意识到他们的PHP版本已经达到EOL,否则很少有人会哀求迁移到新版本。
虽然一些WordPress安全专家对PHP 5.6分支和全体PHP 5.x到来的EOL感到震荡,但Murphy并不会这么想。
他说:“存在PHP漏洞确实非常糟糕,但比来并没有涌现我所知道的漏洞”。
Murphy认为攻击者可能会连续关注PHP库和CMS系统,“根据过去的PHP漏洞可以知道,威胁紧张来自PHP运用程序”。
但并非所有人都赞许墨菲的不雅观点。例如,Arciszewski认为,PHP 5.6和较旧的分支版本比常日版本更随意马虎遭到攻击。这些分支版本现在已经达到了EOL,一方面非常盛行,一方面却得不到支持——这为攻击者供应了绝佳的攻击机会。
Arciszewski说:“是的,这绝对是一个风险成分。在Windows XP支持结束后,我们也看到类似的事情发生了,我疑惑我们会看到PHP 5发生同样的情形”。
“这可能是公司负责对待采取PHP 7的必要催化剂吗?我只能这么希望”。
如果做事器管理员和网站所有者须要具备更强说服力的说辞,那么请看Martin Wheatley在今年夏天的“滴答作响的PHP定时炸弹”一文中所做的结尾:
是的,它确实须要花费韶光和金钱,但更糟糕的是,可能须要每月支付少量用度,或遭遇“网站被黑,数千用户信息被盗”,然后面临GDPR高达2000万欧元或业务额的4%的罚款…我知道我要选择哪一个。
查看英文原文:https://www.zdnet.com/article/around-62-of-all-internet-sites-will-run-an-unsupported-php-version-in-10-weeks/