浏览数量: 64 作者: 本站编辑 发布时间: 2018-10-19 来源: 本站
网络技术应用研究公司 W3Techs 近日表示,据所有网站使用 PHP 版本的状况,自2019年开始,有近63%的网站会因无法获得安全更新,而受到黑客攻击。
根据W3Techs的调查,截自本月15日,在其研究的网站样本中,使用PHP的比例高达78.9%,而所有网站使用PHP 5的比例又达到61.8%。细分当中版本,所有网站使用PHP 5.6版的比例为41.5%,为版本5之冠。
根据 (下图)PHP 官方网站列出的支持版本时刻表,PHP 5.6 在 2014 年发布,主要支持已于2017年1月19日关闭,安全支持将于2018年最后一天终止。即2019年开始,使用 PHP 5.6 版本的网站将不再收到安全漏洞或错误更新,除非用户支付操作系统供应商的更新服务费用。 如果黑客发现并利用旧版 PHP 中的漏洞,可能会使数百万个网站和用户陷入危险。
事实上,PHP 5.6 的主要及安全更新期早就结束,但因使用的网站较多,因此,PHP 维护组织一度延长其支持时间。有些人描述这种情况为 PHP 风险。较新的 PHP 7.0 将不再在2018年12月1日的 EOL(生命周期结束)提供安全支持。即便是版本 PHP 7.1 也将于2018年12月1日终止。一年后结束安全支持。
目前三大网站内容管理系统(CMS)项目中,只有 Drupal 宣布从2019年3月6日起,Drupal 支持网页最低要求 PHP 7,建议使用 7.1 版。Joomla 推荐使用 5.6 或更高版本,支持下限为 5.3.10。Wordpress 建议使用 PHP 7.2 或更高版本,最低支持 5.2.4。
Murphy(WordPress公司威胁情报总监)认为,向大量网站推出PHP版本升级的最大挑战之一是随之而来的大量支持请求,这也是许多CMS项目和网络托管提供商不愿这么做的原因之一。
但是Murphy也指出,默认情况下,“优秀的托管提供商”将始终在PHP的新版本上部署新用户,而不是让用户选择,并且只有在请求时才会将现有客户端更新到PHP的新版本。
但是,除非客户意识到他们的PHP版本已经到了生命的尽头,否则很少有人会要求迁移到新版本。
虽然一些WordPress安全专家对PHP 5.6分支和整个PHP5.x即将到来的EOL感到震惊,但Murphy并不是其中之一。
他说:“PHP漏洞确实很糟糕,但在最近的历史上,我还没有发现过任何这样的漏洞。”
另外:几乎一半的网络攻击是针对中小企业的,以下是如何保持安全的TechRepublic
但并非所有人都赞同墨菲的观点。例如,Arciszewski认为,PHP5.6和旧的分支将比通常更容易发现新的漏洞。这些分支现在是EOL,非常受欢迎,而且不受支持-这是大量目标的完美条件,而这些目标的安全性很差,吸引了攻击者。
“是的,这绝对是一个风险因素,”Arciszewski说。“在取消WindowsXP支持之后,我们看到了类似的情况,我怀疑PHP 5分支也会出现类似的情况。
“也许这将是公司认真对待PHP 7的必要催化剂?”我只能希望。“
如果服务器管理员和网站所有者需要更有说服力的话,我们将以MartinWheatley的“定时炸弹”(TimingPHP定时炸弹)的结尾来结束这篇文章。
是的,这确实需要时间和金钱,但更糟糕的是,一个小的月支持费,或标题“网站被黑,数以千计的用户详细信息被盗”,
然后罚款高达2000万欧元,或4%的营业额根据GDPR.我知道我宁愿付多少钱。