PHP5が12月末で更新停止、6割のユーザーがセキュリティリスクに直面

ネットワーク テクノロジー アプリケーション調査会社 W3Techs は最近、すべての Web サイトで使用されている PHP バージョンに基づくと、2019 年 1 月 1 日以降、Web サイトのほぼ 62% がセキュリティ アップデートを入手できないため、悪意のある攻撃の対象になると発表しました。

W3Techs の調査によると、今月 15 日から開始された Web サイトのサンプルで使用されている PHP の割合は 78.9% に上り、PHP 5 を使用している Web サイトの割合は 61.8% に達しました。サブバージョンの中で、PHP バージョン 5.6 を使用している Web サイトの割合は 41.5% で、バージョン 5 の割合が最も高くなっています。

PHP 公式 Web サイトに記載されているサポート対象バージョンとスケジュール (下記) によると、PHP 5.6 は 2014 年にリリースされ、メジャー サポートは 2017 年 1 月 19 日に終了し、セキュリティ サポートは 2018 年 12 月 31 日に終了します。つまり、2 か月半後、PHP 5.6 を使用したことになります。 ユーザーがオペレーティング システム ベンダーの更新サービスの料金を支払わない限り、Web サイトのバージョンはセキュリティの脆弱性やエラーに関する更新を受け取ることができなくなります。ハッカーが古いバージョンの PHP を見つけて悪用した場合 インターネットの脆弱性により、何百万もの Web サイトとユーザーが危険にさらされる可能性があります。

実は、PHP 5.6 のメジャー アップデート期間とセキュリティ アップデート期間はずっと前に終了しましたが、使用されている Web サイトの数が多かったために、PHP メンテナンス組織が一度終了しました。それぞれサポート時間を延長しました。

この状況を PHP の時限爆弾と表現する人もいます。新しい PHP 7.0 は、今年 12 月 1 日の EOL (End of Life) でセキュリティ サポートを提供しなくなります。バージョン 7.1 でも 12 月 1 日にサポートが終了します。セキュリティサポートは1年で​​終了します。

3 つの主要な Web サイト コンテンツ管理システム (CMS) プロジェクトの中で、 Drupal は、来年 3 月 6 日から、Drupal が Web ページの最小要件である PHP 7 をサポートし、バージョン 7.1 の使用を推奨すると発表しました。 Joomla は 5.6 を推奨します 以降、サポートは 5.3.10 以降です。 Wordpress では、PHP 7.2 以降を使用することをお勧めします。最低でも 5.2.4 がサポートされます。 ＃＃＃＃＃＃＃＃＃によると ZDNet の報道によると、WordFence のセキュリティ コンポーネント開発ディレクターである Sean Murphy 氏は、PHP の脆弱性悪用の主なターゲットは PHP 自体ではなく、 PHP ライブラリと CMS システムだけでなく、他のセキュリティ専門家は、期限が来るとハッカーが PHP 5.6 の脆弱性を積極的に悪用するだろうと信じています。