重要消息,使用率较高的 PHP 5.6 版本将在2018年12月31日停止安全支持,也宣示着 PHP 5 将在2018年底停止更新支持,六成的 PHP 用户都面临安全风险,建议用户对 PHP 5 版本进行升级。
网络技术应用研究公司 W3Techs 称根据所有网站使用 PHP 版本的情况,从2019年1月1日起,有近62%使用 PHP 5 的网站将会因为无法获得安全更新,而受到恶意攻击。根据 W3Techs 的调查,从 2018 月 15 日开始,其研究的网站样本中使用的 PHP 的比例高达 78.9%,使用 PHP 5 的网站的比例达到 61.8%。在子版本中,使用 PHP 5.6 版的网站的比例为 41.5%,在所有使用版本 PHP 5 的比例中是最高的。
根据 PHP 官方网站列出的支持版本及时刻表(如下图),PHP 5.6 是在 2014 年发布的,主要支持已于2017年1月19日关闭,安全支持将在2018年12月31日停止。到停止时间后使用 PHP 5.6 版本的网站将不再收到安全漏洞或者错误更新,除非用户支付操作系统供应商的更新服务费用。如果有发现并利用旧版 PHP 中的漏洞,可能会使数百万个网站和用户陷入危险中,PHP 希望用户能够引起重视并升级。
事实上,PHP 5.6 的主要及安全更新期早就结束,但因使用的网站较多,因此,PHP 维护组织曾一度分别延长其支持时间。有些人将这种情况描述为 PHP 风险。较新的 PHP 7.0 将不再在2018年12月1日的 EOL(生命周期结束)提供安全支持。即便是版本 PHP 7.1 也将于2018年12月1日终止。一年后结束安全支持。
目前三大网站内容管理系统(CMS)项目中,只有 Drupal 宣布从2019年3月6日起,Drupal 支持网页最低要求 PHP 7,建议使用 7.1 版。Joomla 推荐使用 5.6 或更高版本,支持下限为 5.3.10。Wordpress 建议使用 PHP 7.2 或更高版本,最低支持 5.2.4。
WordFence 安全组件研发主管 Sean Murphy 表示,PHP 漏洞利用的主要目标不是在 PHP 本身,而是在 PHP 库和 CMS 系统中,但其他安全专家认为,等停止日期到来有不法人士就会积极利用 PHP 5.6 中的漏洞。如果有资金的企业可以获得付费的支持,但是没有资金的用户最好的应对方案就是升级 PHP,更新的 PHP 版本能带来更优越的性能及网络环境。当前在建站的用户建议选择尽可能高的 PHP 版本,以便得到更长时间的安全支持。
相关主题 |