21CTO导读:PHP是现代互联网的基石,全球约有80%的网站使用它。现在,随着PHP5.x版本的生命周期越来越近,估计有高达62%的站点会受安全问题的影响。
年,RasmusLordof创建了PHP,这是一种专为Wb开发而设计的服务器端脚本语言,是HyprtxtPrprocssor的递归首字母缩写。开源的PHP因为其丰富的功能和灵活性而广受开发欢迎,因为可以嵌入到HTML中运行,得到了最大化普及。PHP已经成为世界上使用最广泛的脚本语言。
根据W3Tchs的统计数据,目前所有互联网站点中约有78.9%使用PHP运行。但至年12月31日,PHP5.6.x的安全支持将正式停止,这标志着官方对任何版本的PHP5.x分支的一切支持都会终止,PHP5系列已经运行了近14年。
从明年开始,有62%仍在运行PHP5.x版本的站点将停止接收其服务器和网站底层技术的安全更新。这意味着,一旦有不轨分子发现PHP的漏洞,明年数以亿计的网站应用将面临严重的安全危机。
W3Tch的统计数据
“这是PHP生态系统面临的一个巨大的问题。虽然很多人觉得他们仍可以在年‘侥幸’运行PHP5,但这其实是一种安全工作上的刻意疏忽。PHP5.6中任何重大的、可大量利用的缺陷都可能影响到PHP新版本。”ParagonInitiativEntrpris首席开发官ScottArciszwski在接受媒体采访时表示。
截止10月13日PHP使用的情况
事实上PHP社区早已公布这一消息,在PHP5.6成为年春季使用范围最广泛的PHP版本之后,PHP维护人员意识到:如果他们在PHP5.6成为最流行的PHP版本时停止安全更新,将会发生一场灾难,所以他们将终止服务日期延后至年底。从那之后,关于PHP的安全警告就不定期在社区内响起。
尽管目前还没有更有力的措施促使人们转向更新的PHP7.x版本,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并提醒用户使用更新的托管环境。
而在WordPrss、Joomla和Drupal三大内容管理平台中,Joomla已经建议用户升级到PHP7,WordPrss仍然任性地坚决支持PHP5.2这辆破车,只有Drupal团队正式调整为PHP7,但调整措施的实施日期却在年3月。具有讽刺意味的是,PHP7.0.x分支EOL是在年12月3日,这个措施没有解决任何实际问题,不过从明面上看它至少是一种“进步”。
最惯于使用PHP生态系统中旧版本的无疑是WordPrss,它仍然拒绝放弃PHP5.2,其认为宇宙中多个系统都在已经不受支持的旧PHP版本上运行。如果Wordprss转至PHP新版本(超过四分之一的互联网站点使用WordPrss),或许会改变不少人对PHP7.x的看法。
但WordPrss选择哪种PHP版本这个问题争议已久,目前WordPrss团队正在采取措施,比如在检测到用户使用旧版PHP时通知用户,并向他们提供他们从托管服务供应商处申请更新版本所需的信息和工具。WordPrss安全工作人员提出,实现众多网站PHP版本升级的最大挑战之一是需要大量的技术支持请求,这也是CMS项目和网站托管提供商不愿意升级的重要原因。
鉴于以上因素,虽然更新PHP版本需要耗费大量人力物力,就像在WindowsXP终止支持后,发生了像WannaCry这样的勒索软件攻击一样,为了您的数据更安全以及避免各种隐患,安全专家建议各大站点及时更新PHP版本以避免更多损失。
作者:21CTO社区
参考网址: