PHP5 cessera de se mettre à jour fin décembre, 60% des utilisateurs seront confrontés à des risques de sécurité

W3Techs, une société de recherche sur les applications des technologies de réseau, a récemment déclaré que sur la base de la version PHP utilisée par tous les sites Web, à partir du 1er janvier 2019, près de 62 % des sites Web seront soumis à des attaques malveillantes car ils ne peuvent pas obtenir de mises à jour de sécurité.

Selon l'enquête de W3Techs, à partir du 15 de ce mois, la proportion de PHP utilisé dans l'échantillon de sites Web étudié atteignait 78,9 %, et la proportion de sites Web utilisant PHP 5 atteignait 61,8 %. Parmi les subversions, la proportion de sites Web utilisant la version 5.6 de PHP est de 41,5 %, la version 5 ayant la proportion la plus élevée.

Selon les versions prises en charge et le calendrier (ci-dessous) répertoriés sur le site officiel de PHP, PHP La version 5.6 a été publiée en 2014, le support majeur a été clôturé le 19 janvier 2017 et le support de sécurité prendra fin le 31 décembre 2018. Autrement dit, deux mois et demi plus tard, en utilisant PHP 5.6 Les versions du site Web ne recevront plus de mises à jour pour les failles de sécurité ou les erreurs, à moins que l'utilisateur ne paie pour le service de mise à jour du fournisseur du système d'exploitation. Si les pirates trouvent et exploitent des anciennes versions de PHP Les vulnérabilités d’Internet pourraient mettre en danger des millions de sites Web et d’utilisateurs.

En fait, les périodes de mise à jour majeure et de sécurité de PHP 5.6 sont terminées depuis longtemps, mais en raison du grand nombre de sites Web utilisés, l'organisation de maintenance PHP une fois les a prolongés respectivement ses heures de support.

Certaines personnes décrivent cette situation comme une bombe à retardement PHP. Le nouveau PHP 7.0 ne fournira plus de support de sécurité à la fin de la vie (EOL) le 1er décembre de cette année. Même la version 7.1 arrivera en fin de vie le 1er décembre. Le support de sécurité prend fin après un an.

Parmi les trois grands projets de système de gestion de contenu (CMS) de sites Web, seul Drupal a annoncé qu'à partir du 6 mars de l'année prochaine, Drupal prendra en charge la configuration minimale requise de PHP 7 pour les pages Web et qu'il est recommandé d'utiliser la version 7.1. Joomla recommande 5.6 ou supérieur, avec une prise en charge à partir de la version 5.3.10. Wordpress recommande d'utiliser PHP 7.2 ou supérieur, avec un minimum de 5.2.4 pris en charge.

selon ZDNet a rapporté que Sean Murphy, directeur du développement des composants de sécurité chez WordFence, a déclaré que la cible principale de l'exploitation des vulnérabilités PHP n'est pas PHP lui-même, mais dans Bibliothèques PHP et systèmes CMS, mais d'autres experts en sécurité estiment que lorsque la date limite viendra, les pirates exploiteront activement les vulnérabilités de PHP 5.6.