2018年12月31日起 PHP 5.6.x的安全支持將正式停止

據了解，W3Techs發布的統計數據表明，目前所有互聯網站點中約有78.9％使用PHP。但是在2018年12月31日之後，PHP 5.6.x的安全支持將正式停止，這標誌著對之前任何版本的PHP 5.x分支的所有支持將會終止。

也就是說，從明年開始，大約62％仍在運行PHP 5.x版本的Internet站點將停止接收其伺服器和網站底層技術的安全更新，從而使數以億計的網站面臨嚴重的安全性風險。如果黑客在新年之後發現PHP中存在漏洞，很多網站和用戶都會面臨著嚴重的安全危機。

Paragon Initiative Enterprise的首席開發官Scott Arciszewski 在接受採訪時表示，

對於PHP生態系統來說，這是一個巨大的問題。許多人認為他們可以"僥倖"在2019年繼續運行PHP 5，而這其實是一種安全工作上的刻意疏忽。

Arciszewski補充道，

確切地說，PHP 5.6中的任何主要的、可大規模利用的漏洞都可能會影響新版本的PHP。PHP 7.2可以及時地從PHP團隊免費獲得一個補丁程序，而PHP 5.6獲得補丁程序的前提條件是，你要為來自OS供應商的持續支持付費。如果有人在年底之後運行的仍然是PHP 5，那就要引起警覺了。

PHP社區計劃這個截止日期已經有一段時間了。在PHP 5.6成為2017年春季使用最廣泛的PHP版本之後，PHP維護人員意識到，如果他們在PHP 5.6成為最受歡迎的PHP版本時停止安全更新，這將會是一場災難，所以他們將EOL日期延長到了2018年底。

從那以後，有幾位開發人員和安全研究人員發出了警告，並稱之為「滴答作響的PHP定時炸彈」——雖然這些警告並沒有信息安全社區所希望的那麼多。

人們好像還沒有做好準備轉向更新的PHP 7.x，但一些網站內容管理系統（content management systems，CMS）項目已經開始修改最低要求，並警告用戶使用更現代的託管環境。

在三大巨頭——WordPress、Joomla和Drupal中，只有Drupal正式將其最低要求調整到PHP 7，這一舉措將在2019年3月到來。具有諷刺意味的是，7.0.x分支機構在2017年12月3日已經到達EOL，雖然這實際上並沒有解決任何問題，但它仍然是向前邁出的一步。

Joomla的最低要求仍然是PHP 5.3，而WordPress的最低要求仍然是PHP 5.2。

Arciszewski說：

PHP生態系統中關於版本的最大慣性來源無疑是WordPress，它拒絕放棄對PHP 5.2的支持，因為仍然有系統運行在老舊的、不受支持的PHP版本上。

他描述了WordPress團隊讓人詬病的一個舉動——將最低要求保持在2011年已經推出了EOL的PHP版本上。

互聯網上超過四分之一的網站都使用WordPress，所以，如果項目將其最低PHP需求轉移到更新的PHP 7.x分支上，那麼無疑會改變很多人對更新PHP版本必要性的看法。

「然而，WordPress應該支持哪些PHP版本已經爭論一段時間了。」 Threat Intelligence at Defiant（WordPress的WordFence安全插件背後的公司）總監Sean Murphy說道。

他還補充說：「WordPress團隊正在採取措施，在用戶使用舊版PHP時通知他們，並向他們提供從託管服務提供商處申請更新版本所需的信息和工具。」這是這個小組最近的會議記錄。

Murphy認為，向大量網站推出PHP版本升級的最大挑戰之一是隨之而來的大量支持請求，這也是許多CMS項目和網路託管提供商保持緘默、不願意這麼做的原因。

但Murphy也指出，

好的託管服務提供商將始終默認在新版本的PHP上部署新用戶，而不是讓客戶選擇、並且僅在請求時才將現有客戶端更新為新版本的PHP。但事實是，除非客戶意識到他們的PHP版本已經達到使用壽命，否則很少有人會要求將其轉移到新的版本。

對於在不受保護的PHP版本上運行網站的用戶而言，WordPress的通知將在這裡提供幫助——讓人們更新他們的伺服器，或要求他們的託管服務提供商提供更好的託管環境。

一些WordPress安全專家對PHP 5.6分支和整個PHP 5.x的即將發生的EOL感到震驚，Murphy顯然並不是其中之一。

Murphy說道：「PHP漏洞確實會非常糟糕，但在最近我還沒聽說有發現任何一個。」

Murphy補充說，「從過去的PHP漏洞來看，主要的威脅來自PHP應用程序。這表明攻擊者可能會繼續關注PHP庫和CMS系統。」

但並非所有人都贊同Murphy的觀點。比如說，Arciszewski認為，PHP 5.6和較舊的分支機構將比通常情況下更容易發現漏洞。這些分支現在已經是EOL了，非常受歡迎，並且是不受支持的，然而大量的良好條件和糟糕的安全性吸引了攻擊者。

Arciszewski說，這絕對是一個風險因素，在Windows XP支持被刪除後，我們看到類似的事情發生了，我懷疑PHP 5分支會發生同樣的情況。

如果伺服器管理員和網站所有者需要更有說服力的論證，那麼我將以Martin Wheatley在《ticking PHP time bomb（滴答作響的PHP定時炸彈）》一文中使用的結尾來結束這篇文章。

是的，它確實需要花費時間和金錢，但更糟糕的是，要麼每月支付少量的支持費，要麼出現標題為「網站黑客，數千用戶信息被盜」的新聞，然後根據GDPR罰款2000萬歐元或是營業額的4%……我知道我寧願付錢。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！