十周後，62％的PHP網站將運行在一個不受支持的PHP版本上

作者 | Catalin Cimpanu

譯者 | 薛命燈

根據 W3Techs 的數據統計，目前約有 78.9％的網站使用 PHP 開發。

但是，PHP 5.6.x 的安全支持將在 2018 年 12 月 31 日正式停止，這標誌著對古老的 PHP 5.x 分支版本的支持都將結束。

也就是說，從明年開始，大約 62％仍然運行在 PHP 5.x 上的網站將停止接收有關伺服器和網站底層技術的安全更新，從而讓這些數以億計的網站暴露於嚴重的安全性風險之下。

如果明年黑客發現 PHP 中存在漏洞，很多網站和用戶都會面臨風險。

Paragon Initiative Enterprise 首席開發官 Scott Arciszewski 在接受採訪時告訴 ZDNet：「對於 PHP 生態系統來說，這是一個巨大的問題。儘管很多人認為他們可以在 2019 年棄用 PHP 5，但對於這種選擇也只能用一詞來形容：疏忽」。

「不過，PHP 5.6 中的任何可被大規模利用的主要漏洞也可能會影響新版本的 PHP」。

「PHP 7.2 將及時免費獲得 PHP 團隊提供的補丁，而如果你想要獲得 PHP 5.6 補丁，只能向你的操作系統供應商支付費用，以便獲得持續支持」。

「如果有人在年底之後仍然在運行 PHP 5，那麼問問自己：你覺得自己很幸運嗎？因為我肯定不會這麼認為」。

PHP 社區早就知道這個截止日期了。早在 PHP 5.6 成為 2017 年春季使用最廣泛的 PHP 版本之後，PHP 維護人員就開始意識到，如果他們在 PHP 5.6 成為最受歡迎的 PHP 版本時停止安全更新將會是一場災難，所以他們將 EOL 日期延遲到了 2018 年底。

從那以後，有幾位開發人員和安全研究人員開始警告會出現「滴答作響的 PHP 定時炸彈」，雖然沒有信息安全社區所希望的那麼多。

沒有一致的努力讓人們轉向更新的 PHP 7.x，但一些網站內容管理系統（CMS）項目已經開始修改最低要求，並警告用戶使用更現代的託管環境。

在三大 PHP 網站（WressPress、Joomla 和 Drupal）中，只有 Drupal 已經正式將最低運行要求調整為 PHP 7，但這一舉措要到 2019 年 3 月才發布。具有諷刺意味的是，7.0.x 分支版本在 2017 年 12 月 3 日就已達到了 EOL，所以實際上沒有解決任何問題，但仍然是向前邁進了一步。

Joomla 的最低運行要求是 PHP 5.3，而 WordPress 的最低運行要求仍然是 PHP 5.2。

在描述 WordPress 團隊將最低運行要求保持在 2011 年就已達到 EOL 的 PHP版本時，Arciszewski 說：「PHP 生態系統中對版本最為遲鈍的無疑是 WordPress，它仍然拒絕放棄支持 PHP 5.2，因為在這個世界上，仍然有系統在一個古老的、不受支持的 PHP 版本上運行 WordPress」。

如果 WordPress 將最低運行要求換成較新的 PHP 7.x 分支版本，那麼這個在互聯網上有超過四分之一的網站在使用的系統毫無疑問會改變很多人對使用現代 PHP 版本必要性的看法。

Defiant（WordPress 安全插件 WordFence 背後的公司）威脅情報總監 Sean Murphy 在與 ZDNet 的一封電子郵件中寫道：「不過，WordPress 應該支持哪些 PHP 版本已經經過一段時間的爭論」。

他補充說，「WordPress 團隊正在採取措施，如果用戶使用舊版的 PHP，就通知用戶，並向他們提供他們需要的信息和工具，從他們的託管服務提供商那裡獲得更新版本」。

Murphy 認為，為大量網站推出 PHP 版本更新的最大挑戰之一是大量的支持請求，這也是很多 CMS 項目和網路託管服務提供商保持沉默和不願意這樣做的原因。

但 Murphy 還指出，「好的託管服務提供商」將始終默認為新用戶提供新版本的 PHP，而不是讓用戶選擇，並在用戶提出請求時將現有客戶端更新為新版本的 PHP。

但除非客戶意識到他們的 PHP 版本已經達到 EOL，否則很少有人會要求遷移到新版本。

雖然一些 WordPress 安全專家對 PHP 5.6 分支和整個 PHP 5.x 到來的 EOL 感到震驚，但 Murphy 並不會這麼想。

他說：「存在 PHP 漏洞確實非常糟糕，但近來並沒有出現我所知道的漏洞」。

Murphy 認為攻擊者可能會繼續關注 PHP 庫和 CMS 系統，「根據過去的 PHP 漏洞可以知道，威脅主要來自 PHP 應用程序」。

但並非所有人都贊同墨菲的觀點。例如，Arciszewski 認為，PHP 5.6 和較舊的分支版本比通常版本更容易遭到攻擊。這些分支版本現在已經達到了 EOL，一方面非常流行，一方面卻得不到支持——這為攻擊者提供了絕佳的攻擊機會。

Arciszewski 說：「是的，這絕對是一個風險因素。在 Windows XP 支持結束後，我們也看到類似的事情發生了，我懷疑我們會看到 PHP 5 發生同樣的情況」。

「這可能是公司認真對待採用 PHP 7 的必要催化劑嗎？我只能這麼希望」。

如果伺服器管理員和網站所有者需要具備更強說服力的說辭，那麼請看 Martin Wheatley 在今年夏天的「滴答作響的 PHP 定時炸彈」一文中所做的結尾：

是的，它確實需要花費時間和金錢，可能需要每月支付少量費用。但更糟糕的可能是，出現「網站被黑，數千用戶信息被盜」的頭版新聞，然後面臨 GDPR 高達 2000 萬歐元或營業額 4％的罰款…我知道我要選擇哪一個。

英文原文

https://www.zdnet.com/article/around-62-of-all-internet-sites-will-run-an-unsupported-php-version-in-10-weeks/

今日薦文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！