網路技術應用研究公司W3Techs 最近表示,根據所有網站使用PHP 版本的情況,從2019 年1 月1 日起,有近62% 的網站將會因為無法獲得安全性更新,而受到惡意攻擊。 (建議學習:PHP影片教學)
根據W3Techs 的調查,從本月15 日開始,其研究的網站樣本中使用的PHP 的比例高達78.9%,使用PHP 5的網站的比例達到61.8%。在子版本中,使用 PHP 5.6 版的網站的比例為 41.5%,使用版本5的比例最高。
根據PHP 官方網站列出的支援版本及時刻表(如下),PHP 5.6 於2014 年發布,主要支援已於2017年1月19日關閉,安全支援將於2018 年12 月31 日終止。
即兩個半月後,使用 PHP 5.6 版本的網站將不再收到安全漏洞或錯誤更新,除非使用者支付作業系統供應商的更新服務費用。
如果駭客發現並利用舊版 PHP 中的漏洞,可能會讓數百萬個網站和使用者陷入危險。
事實上,PHP 5.6 的主要及安全更新期早就結束,但因使用的網站較多,因此,PHP 維護組織曾一度分別延長其支援時間。
有些人將這種情況描述為 PHP 定時炸彈。較新的 PHP 7.0 將不再在今年 12 月 1 日的 EOL(生命週期結束)提供安全支援。即便是版本 7.1 也將於12 月 1 日終止。一年後結束安全支援。
目前三大網站內容管理系統(CMS)專案中,只有 Drupal 宣布從明年 3 月6 日起,Drupal 支援網頁最低要求 PHP 7,建議採用 7.1 版。 Joomla 建議使用 5.6 或更高版本,支援下限為 5.3.10。 Wordpress 建議使用 PHP 7.2 或更高版本,最低支援5.2.4。
根據ZDNet 報告,WordFence 安全組件研發主管Sean Murphy 表示,PHP 漏洞利用的主要目標不是在PHP 本身,而是在PHP 庫和CMS 系統中,但其他安全專家認為,等截止日期到來,駭客就會積極利用PHP 5.6 的漏洞的。
以上是php5不安全的原因的詳細內容。更多資訊請關注PHP中文網其他相關文章!