PHP 5版年底终止安全更新 6成网站恐面临风险

Web 科技应用现况的调查公司 W3Techs 近日表示，根据所有网站使用的 PHP 版本状况，从明年 1 月 1 日起，有近 62% 的网站将因未能获得安全更新而陷入被黑或被植入恶意程序的风险。根据 W3Techs 的调查，截自本月 15 日，在其研究的网站样本中，使用 PHP 的比例高达 78.9%，而所有网站使用 PHP 5 的比例又达到 61.8%。细分当中版本，所有网站使用 PHP 5.6 版的比例为 41.5%，为版本 5 之冠。

图片来源:PHP

根据 PHP 官网列出的支持版本及时程表 (下)，PHP 5.6 是在 2014 年推出，主要支持已在 2017 年 1 月 19 日截止，而安全支持也将在 2018 年 12 月 31 日终止。也就是二个半月后，使用 PHP 5.6 以前版本的都将不会再获得安全漏洞或功能臭虫的更新，除非用户付费使用作业系统厂商的更新服务。如果黑客发现并开采了 PHP 旧版本的漏洞，数百万网站及用户可能立即曝险。

事实上 PHP 5.6 版的主要及安全更新期早就结束，但因使用的网站最多，因而 PHP 维护组织曾一度分别延长 4 个月及 2 年。

被某些人描述为 PHP 定时炸弹的大限中，较新的 PHP 7.0 更将在今年 12 月 1 日 EOL（end of lifecycle），不再提供安全支持，连 7.1 版也将在 12 月 1 日终止主要支持，一年后结束安全支持。

目前三大网站内容管理系统（CMS）专案中，只有 Drupal 宣布从明年 3 月 6 日起，Drupal 支持网页最低要使用 PHP 7，建议采用 7.1 版。

Joomla 建议为 5.6 或 7 版以上，支持下限为 5.3.10。Wordpress 则建议 PHP 7.2 版以上，最低为 5.2.4 版。

ZDNet 报导引述 WordPress 安全元件 WordFence 研发主管 Sean Murphy 指出，PHP 漏洞攻击者主要目标不是在 PHP 本身，而是在 PHP 函式库及 CMS 系统，但是其他安全专家相信，等大限到来，黑客会更积极在 PHP 5.6 以前版本中找出漏洞。

【编辑推荐】

1. 2018 年关于前端开发的五大发展趋势
2. 红帽喊话开发者：我们将支持 OpenJDK 8 到2023年
3. 尤雨溪公布 Vue 3.0 开发路线：将从头开始重写 3.0
4. Linux系统十大最佳发行版本，哪个最受开发者欢迎？
5. 微软正打造Windows Core OS系统 为折叠设备开发

【责任编辑：张燕妮 TEL：（010）68476606】

点赞 0