Web 科技应用现况的调查公司 W3Techs 近日表示,根据所有网站使用的 PHP 版本状况,从明年 1 月 1 日起,有近 62% 的网站将因未能获得安全更新而陷入被黑或被植入恶意程序的风险。根据 W3Techs 的调查,截自本月 15 日,在其研究的网站样本中,使用 PHP 的比例高达 78.9%,而所有网站使用 PHP 5 的比例又达到 61.8%。细分当中版本,所有网站使用 PHP 5.6 版的比例为 41.5%,为版本 5 之冠。
图片来源:PHP
根据 PHP 官网列出的支持版本及时程表 (下),PHP 5.6 是在 2014 年推出,主要支持已在 2017 年 1 月 19 日截止,而安全支持也将在 2018 年 12 月 31 日终止。也就是二个半月后,使用 PHP 5.6 以前版本的都将不会再获得安全漏洞或功能臭虫的更新,除非用户付费使用作业系统厂商的更新服务。如果黑客发现并开采了 PHP 旧版本的漏洞,数百万网站及用户可能立即曝险。
事实上 PHP 5.6 版的主要及安全更新期早就结束,但因使用的网站最多,因而 PHP 维护组织曾一度分别延长 4 个月及 2 年。
被某些人描述为 PHP 定时炸弹的大限中,较新的 PHP 7.0 更将在今年 12 月 1 日 EOL(end of lifecycle),不再提供安全支持,连 7.1 版也将在 12 月 1 日终止主要支持,一年后结束安全支持。
目前三大网站内容管理系统(CMS)专案中,只有 Drupal 宣布从明年 3 月 6 日起,Drupal 支持网页最低要使用 PHP 7,建议采用 7.1 版。
Joomla 建议为 5.6 或 7 版以上,支持下限为 5.3.10。Wordpress 则建议 PHP 7.2 版以上,最低为 5.2.4 版。
ZDNet 报导引述 WordPress 安全元件 WordFence 研发主管 Sean Murphy 指出,PHP 漏洞攻击者主要目标不是在 PHP 本身,而是在 PHP 函式库及 CMS 系统,但是其他安全专家相信,等大限到来,黑客会更积极在 PHP 5.6 以前版本中找出漏洞。
【编辑推荐】
【责任编辑:张燕妮 TEL:(010)68476606】
领取专属 10元无门槛券
私享最新 技术干货