数以亿计运行PHP的网站即将面临严重的安全风险

　　数以亿计运行PHP的网站即将面临严重的安全风险

　　根据W3Techs的统计数据，目前所有互联网站点中约有78.9％使用PHP运行。但是2018年12月31日，PHP 5.6.x的安全支持将正式停止，标志着对PHP 5.x分支的全部版本终止支持。

　　这意味着从明年开始，大约62％仍在运行PHP 5.x版本的Internet站点将停止接收其服务器和网站底层技术的安全更新，从而使数以亿计的网站面临严重的安全性风险。

　　（w3techs：所有网站的使用率为78.9％。所有网站中有61.7％使用版本5。）

　　（w3techs：所有使用PHP版本5的网站中有41.5％使用版本5.6。）

　　PHP 5.6中任何主要的，可大规模利用的漏洞都可能会影响新版本的PHP。PHP 7.2将及时免费获得PHP团队的补丁；如果用户支付来自操作系统供应商的持续支持，PHP 5.6将只获得一个补丁。

　　在PHP 5.6成为2017年春季使用最广泛的PHP版本之后，PHP维护人员意识到如果如果在此时停止安全更新，会造成一场灾难 ，所以他们将EOL（end of lifecycle）日期扩展到了2018年底。

　　虽然目前尚未有统一的意见来让人们更改为最新的PHP7.x，但一些网站内容管理系统（CMS）项目已经开始修改最低要求，并警告用户使用更现代的主机环境。

　　在WressPress，Joomla和Drupal中，只有Drupal已采取正式步骤将其最低要求调整为PHP 7，这一举措将在2019年3月发布。具有讽刺意味的是，7.0.x分支早在2017年12月3日就已达到EOL标准，它实际上没有解决任何问题，但它仍然向前迈进了一步。

　　WressPress：WordPress.com是一个博客寄存服务站点，由Automattic公司所持有。2005年8月8日进行Beta测试，2005年11月21日向公众开放。它使用的是开源博客软件WordPress。

　　Joomla：Joomla!是一套自由、开放源代码的内容管理系统，以PHP撰写，用于发布内容在万维网与内部网，通常被用来搭建商业网站、个人部落格、资讯管理系统、Web 服务等，还可以进行二次开发以扩充使用范围。其功能包含可提高效能的页面快取、RSS馈送、页面的可打印版本、新闻摘要、部落格、投票、网站搜寻、与语言国际化。

　　Drupal：是一个由Dries Buytaert创立的自由开源的内容管理系统，用PHP语言写成。在业界Drupal常被视为内容管理框架，而非一般意义上的内容管理系统。 整套平台把所有内容视为一个“节点”，背后由大量“模块” 控制其显示、修改、排列、分类等方式。

　　Joomla的最低要求仍然是PHP 5.3，而WordPress的最低要求仍然是PHP 5.2。

　　WordPress—— 用于互联网上超过四分之一网站的寄存服务站点 ，毫无疑问，如果项目将其最低PHP要求转移到较新的PHP 7.x分支，则会改变很多人对使用现代PHP版本必要性的看法。

　　Defiant的威胁情报总监Sean Murphy表示，WordPress应该支持哪些PHP版本已经引发一段时间的争论。WordPress团队正在采取措施，当用户使用旧版PHP时通知用户，并向他们提供从托管服务商处申请更新版本所需的信息和工具。

　　Murphy认为，对大量网站来说，升级PHP版本的最大挑战之一就是大量的支持请求，这是许多CMS项目和网络托管服务提供商保持沉默和不愿意这样做的原因。除非客户意识到他们的PHP版本已经达到使用寿命，否则很少有人会要求将其转移到更新版本。

　　Murphy暗示攻击者可能会继续关注PHP函式库和CMS系统。

　　但并非所有人都赞同Murphy的观点。其他一些安全专家相信，等大限到来，黑客会更积极在PHP 5.6以前版本中找出漏洞。