根据W3Techs的调查,截自本月15日,在其研究的网站样本中,利用PHP的比例高达78.9%,而所有网站利用PHP 5的比例又达到61.8%。细分当中版本,所有网站利用PHP 5.6版的比例为41.5%,为版本5之冠。
根据PHP官网列出的支持版本及时程表,PHP 5.6是在2014年推出,紧张支持已在2017年1月19日截止,而安全支持也将在2018年12月31日终止。也便是两个半月后,利用PHP 5.6以前版本的网站都将不会再得到安全漏洞或功能臭虫的更新,除非用户付费利用作业系统厂商的更新做事。如果黑客创造并开采了PHP旧版本的漏洞,数百万网站及用户可能立即曝险。
事实上PHP 5.6版的紧张及安全更新期早就结束,但因利用的网站最多,因而PHP掩护组织曾一度分别延长4个月及2年。
被某些人描述为PHP定时炸弹的大限中,较新的PHP 7.0更将在今年12月1日EOL(end of lifecycle),不再供应安全支持,连7.1版也将在12月1日终止紧张支持,一年后结束安全支持。
目前三大网站内容管理系统(CMS)专案中,只有Drupal宣告从明年3月6日起,Drupal支持网页最低要利用PHP 7,建议采取7.1版。
Joomla建议为5.6或7版以上,支持下限为5.3.10。Wordpress则建议 PHP 7.2版以上,最低为5.2.4版。
ZDNet报导引述WordPress安全元件WordFence研发主管Sean Murphy指出,PHP漏洞攻击者紧张目标不是在PHP本身,而是在PHP函式库及CMS系统,但是其他安全专家书任,等大限到来,黑客会更积极在PHP 5.6以前版本中找出漏洞。
内容来源:新浪科技
行业安全专家提醒,针对根本举动步伐的网络战一刻都没有停滞过,单一的信息安全防护产品并不能给我们的系统全方位的保护,一套行之有效的完全信息安全办理方案才能构成一个完全的、严密的体系,否则,就无法形成一个有机的整体,单独拿出个中的任何一个方面来都不具备任何防护意义。我们应在PHP 5版年底终止安全更新前,将安全防护事情支配完善,防患于未然。优炫软件作为数据安全领军企业,自主研发操作系统安全、数据库安全、边界防护、云安全、运维安全、业务安全六大核心数据保护产品,并为各行业用户供应信息安全整体办理方案,可为客户供应优质安全、专业、可靠的信息安全保护做事。
