Saviez-vous que près de 80% de tous les sites fonctionnent sur PHP? Plus particulièrement, "PHP est utilisé par 78.9% de tous les sites dont le langage de programmation côté serveur, nous savons", comme l'a révélé par les statistiques W3Techs. Ce seul fait rend la sécurité PHP une question très cruciale, et quand vous ajoutez le fait que le support de PHP 5.6.x se termine à la fin de cette année, la question de la sécurité devient critique.
Prise en charge de PHP 5.6.x pour mettre fin en Décembre 31, 2018
En d'autres termes, après Décembre 31, 2018, des millions de sites Web cesser de recevoir des mises à jour de sécurité pour leurs serveurs, et par conséquent l'écosystème PHP sera exposé à une variété de dangers de sécurité. L'histoire montre que cela ne prendra pas longtemps pour que les attaquants de localiser une faille de sécurité en PHP et exploitent contre les sites vulnérables, les chercheurs mettent en garde en général.
Selon Scott Arciszewski, Directeur du développement à Paragon Enterprise Initiative, il est très probable que «tout grand, défaut exploitable en masse PHP 5.6 affecterait également les nouvelles versions de PHP".
Il convient de noter que PHP 7.2 va obtenir un patch de l'équipe de PHP, gratuitement, en temps opportun. Quant à PHP 5.6, il n'obtenir un si le support payé par le fournisseur du système d'exploitation est à l'endroit.
“Jef quiconque se trouve en cours d'exécution PHP 5 après la fin de l'année, demande toi: Vous sentez-vous chanceux? Parce que je ne serait pas sûr,” Arciszewski ajoutée dans une conversation avec ZDNet.
Les chercheurs en sécurité ont été référence à cela comme un «bombe à retardement PHP", et ils ont le droit absolu de le faire. Les parties intéressées ont été au courant de ce délai pour un certain temps. depuis PHP 5.6 a été considéré comme la version la plus déployée de PHP 2017, mainteneurs PHP étendu la date de fin de vie à Décembre 31, 2018.
En général, cycles de support de PHP vont comme ça:
Chaque branche de sortie de PHP est entièrement pris en charge pour deux ans à compter de sa sortie initiale stable. Au cours de cette période, bugs et problèmes de sécurité qui ont été rapportés sont fixes et sont libérés dans les versions de points réguliers. Après cette période de deux ans de soutien actif, chaque branche est ensuite pris en charge pour une année supplémentaire pour les questions de sécurité critiques uniquement. De presse au cours de cette période sont faits sur une base au besoin: il peut y avoir plusieurs versions de points, ou pas, en fonction du nombre de rapports. Une fois les trois années de soutien sont terminés, la branche atteint sa fin de vie et ne sera plus pris en charge.
Prise en charge de PHP 5.6, en particulier, a été prolongé: soutien actif se déroulera pendant quatre mois supplémentaires, et la période de correction de sécurité a été doublé, passant de un à deux ans.
Où est-ce WordPress, Tenez Drupal et Joomla dans la matière PHP?
Malheureusement, il n'y a pas eu une tentative largement coordonnée pour mettre en œuvre les nouvelles versions en temps opportun. Mais il y a en effet des plates-formes CMS qui travaillent sur la réalisation des exigences de sécurité minimales. Drupal a officiellement déclaré qu'il va changer son exigences minimales PHP 7:
Drupal 8 nécessitera PHP 7 à partir de Mars 6, 2019. Drupal 8 les utilisateurs qui exécutent Drupal 8 sur PHP 5.5 ou PHP 5.6 devraient commencer à planifier de mettre à jour leur version de PHP 7.0 ou plus (PHP 7.1+ est recommandé). Drupal 8.6 sera le dernier Drupal 8 Version pour soutenir PHP 5, et atteindra en fin de vie sur Mars 6, 2019, lorsque Drupal 8.7.0 est libérée.
WordPress a également changé sa recommandation, et maintenant la version PHP 7.2 ou plus est recommandé à respecter. Cependant, si vous êtes dans un environnement existant où vous avez seulement plus PHP ou MySQL versions, WordPress fonctionne également avec PHP 5.2.4+ et MySQL 5.0+. ces versions, bien que, ont atteint leur fin officielle des dates de la vie et peut donc exposer votre site à des failles de sécurité, WordPress met en garde contre.
exigence minimale de Joomla est PHP 5.3.10.
Curieusement, Arciszewski estime que « La plus grande source d'inertie dans l'écosystème PHP en ce qui concerne les versions est sans aucun doute WordPress, qui refuse toujours d'abandonner le support de PHP 5.2 parce qu'il ya plus de zéro systèmes dans l'univers qui fonctionne toujours WordPress sur un ancien, non prise en charge de PHP Version."