1. 程式人生 > >PHP 5版年底終止安全更新開始倒數計時,6成網站恐曝風險

PHP 5版年底終止安全更新開始倒數計時,6成網站恐曝風險

 

Web科技應用現況的調查公司W3Techs近日表示,根據所有網站使用的PHP版本狀況,從明年1月1日起,有近62%的網站將因未能獲得安全更新而陷入被駭或被植入惡意程式的風險。

根據W3Techs的調查,截自本月15日,在其研究的網站樣本中,使用PHP的比例高達78.9%,而所有網站使用PHP 5的比例又達到61.8%。細分當中版本,所有網站使用PHP 5.6版的比例為41.5%,為版本5之冠。

根據PHP官網列出的支援版本及時程表(下),PHP 5.6是在2014年釋出,主要支援已在2017年1月19日截止,而安全支援也將在2018年12月31日終止。也就是二個半月後,使用PHP 5.6以前版本的網站都將不會再獲得安全漏洞或功能臭蟲的更新,除非使用者付費使用作業系統廠商的更新服務。如果駭客發現並開採了PHP舊版本的漏洞,數百萬網站及使用者可能立即曝險。

 

 

事實上PHP 5.6版的主要及安全更新期早就結束,但因使用的網站最多,因而PHP維護組織曾一度分別延長4個月及2年。

被某些人描述為PHP定時炸彈的大限中,較新的PHP 7.0更將在今年12月1日EOL(end of lifecycle),不再提供安全支援,連7.1版也將在12月1日終止主要支援,一年後結束安全支援。

目前三大網站內容管理系統(CMS)專案中,只有Drupal宣佈從明年3月6日起,Drupal支援網頁最低要使用PHP 7,建議採用7.1版。

Joomla建議為5.6或7版以上,支援下限為5.3.10。Wordpress則建議 PHP 7.2版以上,最低為5.2.4版。

ZDNet報導引述WordPress安全元件WordFence研發主管Sean Murphy指出,PHP漏洞攻擊者主要目標不是在PHP本身,而是在PHP函式庫及CMS系統,但是其他安全專家相信,等大限到來,駭客會更積極在PHP 5.6以前版本中找出漏洞。