PHP停止支持最主流版本,网站安全风险高悬
一、PHP5.6大限将至,安全问题首当其冲
2018年11月4日,中央网信办发布了一篇名为开启网络强国战略新征程党的十八大以来我国网络安全和信息化工作综述的文章,其中提出了 没有网络安全就没有国家安全的概念。这让笔者不禁联想近期PHP网站的一个事件,自2018年12月31日起,PHP官方组织即将停止对PHP5.6版本的支持,目前距这个时点只有不到1个月的时间,届时将有数百万个网站和用户面临潜在风险。
当然,停止更新是信息化时代所有IT相关产品的必然宿命,例如微软会保持对Windows产品的有限时限的更新支持。在PHP每个语言版本发布之初,也明确说明了每个稳定版本发布后的2年里会得到完全支持,并于其后1年中提供有限支持。
事实上从18年前,即从2000年10月20日PHP组织第一次宣称不支持PHP3.0开始,其间一共对12个版本的PHP宣布过不提供支撑。到2016年7月21日,最后一次显示对PHP5.5不提供支持,而2018年12月31日,将正式停止对PHP5.6的安全支持。但考虑到受众广泛,PHP也一再延长对PHP5.6的支持时间。纵观各个版本的PHP,PHP5.6版本支持时间在各个版本中相当长,已经超预期提供技术支持1年。
二、成也萧何、败也萧何,最受欢迎的PHP也更容易产生风险
PHP5.6是各个版本中支持时间最长的一个,同时这里蕴含的风险也大。数据统计显示,超过60%的网站用户将面临潜在风险。在数据占比方面,据W3Techs.com数据显示,截止2018年11月,服务器端编程语言,PHP依然是一家独大,占比达到了78.9%。
而令人感到不安的是,而整个PHP的后台语言里,超过77.2%的版本依然是PHP5.0系列,仅有22.1%的版本升级到了PHP7.0。
即使是考虑到重要性程度而言,PHP依然是碾压包括Java在内的众多语言。不仅在市场占有率方面独树一帜,即使是最流行的网站里,PHP也并不过多的落后于Java等语言。
换句话说,按照目前的情况看,到了2018年之后,将有超过61.46%的网站脱离PHP的技术支持,存在安全漏洞风险。
三、PHP依然具有突出的健壮性,但专业的技术服务缺乏将是最大的安全风险
回顾PHP的诞生历程,已经有20多年历史。PHP经历了Web1.0,Web2.0,移动互联网3G、4G等各个时代,期间受到包括ASP等各种编程语言的挑战,但除了在超大型企业和传统软件行业外,PHP依然处于绝对优势。
而这一结果得益于PHP遵从实用主义,具有入门简单、容易掌握、标准库强大、各种功能函数非常便于使用、第三方类库、工具、项目丰富等优点。凭借灵活、便捷、开发周期短的特点,PHP得到小规模开发公司和程序爱好者的青睐,在中低端网站开发市场占有绝对优势地位。可以说,网站建设行业多年来形成数量庞大的个体户,且水平良莠不齐。很容易看到,市面上大部分模板建站供应商都是使用PHP开发语言,大部分网站也是PHP语言开发或PHP模板系统生成。
但另一方面,PHP语言也是病毒、木马的最爱。同时,考虑到PHP标准库缺乏一致性,导致很多初学者不恰当使用导致开发出不良的架构系统。
为对于未来而言, PHP漏洞攻击者主要目标不是在PHP本身,而是在PHP函式库及CMS系统如果没有专业的技术服务支持,网站有可能沦为色情赌博网站,由此产生的品牌受损甚至政治风险将无从估量。
四、主动应变,专业技术服务最为优势
可以预见到的是,过了2018年底大限,黑客会更积极地在PHP 5.6以及以前版本中找到漏洞。但据计世资讯(CCW Research)对业内人士交流所知,大多数用户均不以为然,认为可以侥幸在2019年继续使用PHP 5.6以及之前版本,而这种侥幸也是最大的风险所在。也就是说,除非客户意识到他们的PHP版本已经不能使用,否则很少有人会要求将其转移到新的版本。
(1)针对性打补丁,修复系统漏洞
针对特定或主流的漏洞,推荐手工进行过滤和修复,通过代码的安全加固来完善自身系统的安全性能,还可以通过使用安全攻击防御产品或软件。
(2)优化技术架构,采用云计算的模式保持技术先进性
通过优化后台语言,借助最先进的云平台集成化技术。云计算架构的优势在于将服务层和基础层、系统层,可以保持对PHP语言的实时更新,同时还可以保护客户不受带宽、存储、计算能力的限制,此外,还可以增加负载均衡和安全策略保持系统安全。
(3)选择专业的技术服务商保持最新的技术服务部署
对于优秀的专业技术服务商而言,会始终默认在新版本的PHP上部署新用户,而不是让客户选择、并且仅在请求时才将现有客户端更新为新版本的PHP。目前行业内主流的IT技术服务商阿里云、腾讯云、迈讯科等均有最新的安全策略。同时,专业的技术服务商也会帮组企业客户在内部和外部两方面进行安全提升,抵御攻击者的进攻效果会更加显著。