根据W3Techs的统计数据,目前约有78.9%的网站使用PHP开发。
但是,PHP 5.6.x的安全支持将在2018年12月31日正式停止,这标志着对古老的PHP 5.x分支版本的支持都将结束。
也就是说,从明年开始,大约62%仍然运行在PHP 5.x上的网站将停止接收有关服务器和网站底层技术的安全更新,从而让这些数以亿计的网站暴露于严重的安全性风险之下。
如果明年黑客发现PHP中存在漏洞,很多网站和用户都会面临风险。
Paragon Initiative Enterprise首席开发官Scott Arciszewski在接受采访时告诉ZDNet:“对于PHP生态系统来说,这是一个巨大的问题。尽管很多人认为他们可以在2019年弃用PHP 5,但对于这种选择也只能用一词来形容:疏忽”。
“不过,PHP 5.6中的任何可被大规模利用的主要漏洞也可能会影响新版本的PHP”。
“PHP 7.2将及时免费获得PHP团队提供的补丁,而如果你想要获得PHP 5.6补丁,只能向你的操作系统供应商支付费用,以便获得持续支持”。
“如果有人在年底之后仍然在运行PHP 5,那么问问自己:你觉得自己很幸运吗?因为我肯定不会这么认为”。
PHP社区早就知道这个截止日期了。早在PHP 5.6成为2017年春季使用最广泛的PHP版本之后,PHP维护人员就开始意识到,如果他们在PHP 5.6成为最受欢迎的PHP版本时停止安全更新将会是一场灾难,所以他们将EOL日期延迟到了2018年底。
从那以后,有几位开发人员和安全研究人员开始警告会出现“滴答作响的PHP定时炸弹”,虽然没有信息安全社区所希望的那么多。
没有一致的努力让人们转向更新的PHP 7.x,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并警告用户使用更现代的托管环境。
在三大PHP网站(WressPress、Joomla和Drupal)中,只有Drupal已经正式将最低运行要求调整为PHP 7,但这一举措要到2019年3月才发布。具有讽刺意味的是,7.0.x分支版本在2017年12月3日就已达到了EOL,所以实际上没有解决任何问题,但仍然是向前迈进了一步。
Joomla的最低运行要求是PHP 5.3,而WordPress的最低运行要求仍然是PHP 5.2。
在描述WordPress团队将最低运行要求保持在2011年就已达到EOL的PHP版本时,Arciszewski说:“PHP生态系统中对版本最为迟钝的无疑是WordPress,它仍然拒绝放弃支持PHP 5.2,因为在这个世界上,仍然有系统在一个古老的、不受支持的PHP版本上运行WordPress”。
如果WordPress将最低运行要求换成较新的PHP 7.x分支版本,那么这个在互联网上有超过四分之一的网站在使用的系统毫无疑问会改变很多人对使用现代PHP版本必要性的看法。
Defiant(WordPress安全插件WordFence背后的公司)威胁情报总监Sean Murphy在与ZDNet的一封电子邮件中写道:“不过,WordPress应该支持哪些PHP版本已经经过一段时间的争论”。
他补充说,“WordPress团队正在采取措施,如果用户使用旧版的PHP,就通知用户,并向他们提供他们需要的信息和工具,从他们的托管服务提供商那里获得更新版本”。
Murphy认为,为大量网站推出PHP版本更新的最大挑战之一是大量的支持请求,这也是很多CMS项目和网络托管服务提供商保持沉默和不愿意这样做的原因。
但Murphy还指出,“好的托管服务提供商”将始终默认为新用户提供新版本的PHP,而不是让用户选择,并在用户提出请求时将现有客户端更新为新版本的PHP。
但除非客户意识到他们的PHP版本已经达到EOL,否则很少有人会要求迁移到新版本。
虽然一些WordPress安全专家对PHP 5.6分支和整个PHP 5.x到来的EOL感到震惊,但Murphy并不会这么想。
他说:“存在PHP漏洞确实非常糟糕,但近来并没有出现我所知道的漏洞”。
Murphy认为攻击者可能会继续关注PHP库和CMS系统,“根据过去的PHP漏洞可以知道,威胁主要来自PHP应用程序”。
但并非所有人都赞同墨菲的观点。例如,Arciszewski认为,PHP 5.6和较旧的分支版本比通常版本更容易遭到攻击。这些分支版本现在已经达到了EOL,一方面非常流行,一方面却得不到支持——这为攻击者提供了绝佳的攻击机会。
Arciszewski说:“是的,这绝对是一个风险因素。在Windows XP支持结束后,我们也看到类似的事情发生了,我怀疑我们会看到PHP 5发生同样的情况”。
“这可能是公司认真对待采用PHP 7的必要催化剂吗?我只能这么希望”。
如果服务器管理员和网站所有者需要具备更强说服力的说辞,那么请看Martin Wheatley在今年夏天的“滴答作响的PHP定时炸弹”一文中所做的结尾:
是的,它确实需要花费时间和金钱,但更糟糕的是,可能需要每月支付少量费用,或遭遇“网站被黑,数千用户信息被盗”,然后面临GDPR高达2000万欧元或营业额的4%的罚款…我知道我要选择哪一个。