根据W3Techs的统计数据,目前所有互联网站点中约有78.9%仍使用PHP运行。但至2018年12月31日,PHP 5.6.x的安全支持将正式停止,标志着官方对任何版本的PHP 5.x分支的一切支持都会终止。所以从明年开始,有62%仍在运行PHP 5.x版本的Internet站点将停止接收其服务器和网站底层技术的安全更新。这意味着从明年起,一旦不轨分子发现PHP的漏洞,数以亿计的网站将面临严重的安全危机。
“这是PHP生态系统面临的一个巨大的问题。虽然很多人觉得他们仍可以在2019年‘侥幸’运行PHP 5,但这其实是一种安全工作上的刻意疏忽。PHP 5.6中任何重大的、可大量利用的缺陷都可能影响到PHP新版本。”Paragon Initiative Enterprise首席开发官Scott Arciszewski在接受媒体采访时表示。
截止10月13日PHP使用情况
事实上PHP社区早已公布消息,在PHP 5.6成为2017年春季使用范围最广泛的PHP版本之后,PHP维护人员意识到:如果他们在PHP 5.6成为最流行的PHP版本时停止安全更新,将会发生一场灾难,所以他们将终止服务日期延后至2018年底。从那之后,关于PHP的安全警告就不定期在社区内响起。
尽管目前还没有更有力的措施促使人们转向更新的PHP7.x版本,但一些网站内容管理系统(CMS)项目已经开始修改最低要求,并提醒用户使用更新的托管环境。
而WordPress、Joomla和Drupal三巨头中,只有Drupal正式调整为PHP 7,但调整措施的实施日期却在2019年3月。具有讽刺意味的是,PHP 7.0.x分支EOL 是2017年12月3日,这个措施没有解决任何实际问题,不过从明面上看它至少是一种“进步”。
最惯于使用PHP生态系统中旧版本的无疑是WordPress,它仍然拒绝放弃PHP 5.2,因为其多个系统都在不受支持的旧PHP版本上运行。如果Wordpress转至PHP新版本(超过四分之一的互联网站点使用Wordpress),或许会改变不少人对PHP7.x的看法。
但WordPress选择哪种PHP版本这个问题争议已久,目前WordPress团队正在采取措施,比如在检测到用户使用旧版PHP时通知用户,并向他们提供他们从托管服务供应商处申请更新版本所需的信息和工具。WordPress方安全工作人员提出,实现众多网站PHP版本升级的最大挑战之一是需要大量支持请求,这也是CMS项目和web托管提供商不愿升级的重要原因。
综上,虽然更新PHP版本需要耗费大量人力物力,但考虑到各种安全隐患,安全专家建议各大站点及时更新PHP版本以避免更多损失。