W3Techs, ein Forschungsunternehmen für Netzwerktechnologie-Anwendungen, gab kürzlich an, dass basierend auf der von allen Websites verwendeten PHP-Version ab dem 1. Januar 2019 fast 62 % der Websites böswilligen Angriffen ausgesetzt sein werden, weil sie keine Sicherheitsupdates erhalten können.
Laut der Umfrage von W3Techs lag der Anteil von PHP, der in der untersuchten Website-Stichprobe ab dem 15. dieses Monats verwendet wurde, bei 78,9 %, und der Anteil der Websites, die PHP 5 verwendeten, erreichte 61,8 %. Unter den Subversionen beträgt der Anteil der Websites, die PHP Version 5.6 verwenden, 41,5 %, wobei Version 5 den höchsten Anteil aufweist.
Gemäß den unterstützten Versionen und dem Zeitplan (unten), die auf der offiziellen PHP-Website aufgeführt sind, PHP
5.6 wurde 2014 veröffentlicht, der Hauptsupport wurde am 19. Januar 2017 eingestellt und der Sicherheitssupport endet am 31. Dezember 2018. Das heißt, zweieinhalb Monate später mit PHP 5.6
Versionen der Website erhalten keine Updates mehr wegen Sicherheitslücken oder Fehlern, es sei denn, der Benutzer zahlt für den Update-Service des Betriebssystemanbieters. Wenn Hacker ältere Versionen von PHP finden und ausnutzen
Sicherheitslücken im Internet könnten Millionen von Websites und Benutzern gefährden.
Tatsächlich sind die Haupt- und Sicherheitsupdateperioden von PHP 5.6 schon vor langer Zeit zu Ende, aber aufgrund der großen Anzahl verwendeter Websites musste die PHP-Wartungsorganisation einmal verlängerte sie bzw. ihre Supportzeiten.
Manche Leute beschreiben diese Situation als eine PHP-Zeitbombe. Das neuere PHP 7.0 wird am 1. Dezember dieses Jahres zum EOL (End of Life) keinen Sicherheitssupport mehr bieten. Sogar Version 7.1 wird am 1. Dezember das Ende seiner Lebensdauer erreichen. Der Sicherheitssupport endet nach einem Jahr.
Nur eines der drei großen Projekte für Website-Content-Management-Systeme (CMS).
Drupal gab bekannt, dass Drupal ab dem 6. März nächsten Jahres die Mindestanforderung von PHP 7 für Webseiten unterstützen wird, und es wird empfohlen, Version 7.1 zu verwenden. Joomla empfiehlt 5.6
oder höher, mit Unterstützung ab 5.3.10. Wordpress empfiehlt die Verwendung von PHP 7.2 oder höher, wobei mindestens 5.2.4 unterstützt wird.
laut ZDNet berichtet, dass Sean Murphy, Leiter der Entwicklung von Sicherheitskomponenten bei WordFence, sagte, dass das Hauptziel der Ausnutzung von PHP-Schwachstellen nicht PHP selbst sei, sondern PHP-Bibliotheken und CMS-Systeme, aber andere Sicherheitsexperten glauben, dass Hacker die Schwachstellen in PHP 5.6 aktiv ausnutzen werden, wenn die Frist abgelaufen ist.
