数以亿计运行PHP的网站即将面临严重的安全风险
根据W3Techs的统计数据,目前所有互联网站点中约有78.9%使用PHP运行。但是2018年12月31日,PHP 5.6.x的安全支持将正式停止,标志着对PHP 5.x分支的全部版本终止支持。
这意味着从明年开始,大约62%仍在运行PHP 5.x版本的Internet站点将停止接收其服务器和网站底层技术的安全更新,从而使数以亿计的网站面临严重的安全性风险。
(w3techs:所有网站的使用率为78.9%。所有网站中有61.7%使用版本5。)
(w3techs:所有使用PHP版本5的网站中有41.5%使用版本5.6。)
PHP 5.6中任何主要的,可大规模利用的漏洞都可能会影响新版本的PHP。PHP 7.2将及时免费获得PHP团队的补丁;如果用户支付来自操作系统供应商的持续支持,PHP 5.6将只获得一个补丁。
在PHP 5.6成为2017年春季使用最广泛的PHP版本之后,PHP维护人员意识到如果如果在此时停止安全更新,会造成一场灾难 ,所以他们将EOL(end of lifecycle)日期扩展到了2018年底。
虽然目前尚未有统一的意见来让人们更改为最新的PHP7.x,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并警告用户使用更现代的主机环境。
在WressPress,Joomla和Drupal中,只有Drupal已采取正式步骤将其最低要求调整为PHP 7,这一举措将在2019年3月发布。具有讽刺意味的是,7.0.x分支早在2017年12月3日就已达到EOL标准,它实际上没有解决任何问题,但它仍然向前迈进了一步。
WressPress:WordPress.com是一个博客寄存服务站点,由Automattic公司所持有。2005年8月8日进行Beta测试,2005年11月21日向公众开放。它使用的是开源博客软件WordPress。
Joomla:Joomla!是一套*、开放源代码的内容管理系统,以PHP撰写,用于发布内容在万维网与内部网,通常被用来搭建商业网站、个人部落格、资讯管理系统、Web 服务等,还可以进行二次开发以扩充使用范围。其功能包含可提高效能的页面快取、RSS馈送、页面的可打印版本、新闻摘要、部落格、投票、网站搜寻、与语言国际化。
Drupal:是一个由Dries Buytaert创立的*开源的内容管理系统,用PHP语言写成。在业界Drupal常被视为内容管理框架,而非一般意义上的内容管理系统。 整套平台把所有内容视为一个“节点”,背后由大量“模块” 控制其显示、修改、排列、分类等方式。
Joomla的最低要求仍然是PHP 5.3,而WordPress的最低要求仍然是PHP 5.2。
WordPress—— 用于互联网上超过四分之一网站的寄存服务站点 ,毫无疑问,如果项目将其最低PHP要求转移到较新的PHP 7.x分支,则会改变很多人对使用现代PHP版本必要性的看法。
Defiant的威胁情报总监Sean Murphy表示,WordPress应该支持哪些PHP版本已经引发一段时间的争论。WordPress团队正在采取措施,当用户使用旧版PHP时通知用户,并向他们提供从托管服务商处申请更新版本所需的信息和工具。
Murphy认为,对大量网站来说,升级PHP版本的最大挑战之一就是大量的支持请求,这是许多CMS项目和网络托管服务提供商保持沉默和不愿意这样做的原因。除非客户意识到他们的PHP版本已经达到使用寿命,否则很少有人会要求将其转移到更新版本。
Murphy暗示攻击者可能会继续关注PHP函式库和CMS系统。
但并非所有人都赞同Murphy的观点。其他一些安全专家相信,等大限到来,黑客会更积极在PHP 5.6以前版本中找出漏洞。