Circa il 62 percento di tutti i siti Internet eseguirà versioni di PHP non supportate
Secondo le statistiche di W3Techs, circa il 78,9% di tutti i siti Internet oggi funziona su PHP. Ma dal 31 dicembre 2018, il supporto di sicurezza per PHP 5.6.x è cessato ufficialmente, segnando la fine di tutto il supporto per qualsiasi versione di PHP 5.x. Ciò significa che a partire da quest’anno, circa il 62 % di tutti i siti Internet che ancora eseguono una versione PHP 5.x smetterà di ricevere aggiornamenti di sicurezza per la tecnologia di base del proprio server e sito Web, esponendo centinaia di milioni di siti Web, se non di più, a seri problemi di sicurezza. Se un hacker rileva una vulnerabilità in PHP, molti siti e utenti sarebbero a rischio.
Questo è un grosso problema per tutto l’ecosistema PHP , ha dichiarato Scott Arciszewski, Capo Ufficio Sviluppo presso Paragon Initiative Enterprise, in un’intervista a ZDNet. Mentre molti ritengono di poter cavarsela, ancora, con PHP 5 nel 2019.
Ad essere totalmente onesti: è probabile che qualsiasi difetto grave in PHP 5.6 influenzerebbe anche le versioni più recenti di PHP, ha aggiunto Arciszewski.
PHP 7.2 riceverà una patch dal team PHP, gratuitamente, in modo tempestivo; PHP 5.6 ne riceverà una solo se stai pagando per il supporto continuo dal tuo fornitore del sistema operativo.
La comunità PHP è a conoscenza di questa problematica già da un pò di tempo. Dopo che PHP 5.6 è diventato la versione di PHP più utilizzata dalla primavera del 2017, gli sviluppatori di PHP hanno capito che sarebbe stato un disastro se avessero interrotto gli aggiornamenti di sicurezza proprio quando PHP 5.6 è diventata la versione di PHP più popolare, e quindi hanno esteso la data EOL al fine del 2018 .
Da allora, ci sono stati diversi sviluppatori e ricercatori che hanno messo in guardia sulla bomba a orologeria di PHP, sebbene non quante persone della comunità infosec avrebbero desiderato.
Non è stato compiuto uno sforzo concertato per indurre le persone a passare al nuovo PHP 7.x, ma alcuni progetti di sistemi di gestione dei contenuti dei siti Web (CMS), uno per uno, hanno iniziato a modificare i requisiti minimi e avvisano gli utenti di utilizzare ambienti di hosting più moderni .
Dei tre grandi (WordPress, Joomla e Drupal) solo Drupal ha fatto il passo ufficiale per adattare i suoi requisiti minimi a PHP 7.
Il requisito minimo di Joomla rimane PHP 5.3, mentre il requisito minimo di WordPress rimane PHP 5.2. anche se il team di WordPress firmerà digitalmente i suoi pacchetti di aggiornamento con il sistema di firma a chiave pubblica Ed25519 in modo che un’installazione locale sia in grado di verificare l’autenticità del pacchetto di aggiornamento prima di applicarlo a un sito locale, rendendo così WordPress più sicuro agli attacchi.
Tuttavia, la più grande fonte di inerzia nell’ecosistema PHP, per quanto riguarda le versioni, è senza dubbio WordPress, che rifiuta ancora di abbandonare il supporto per PHP 5.2.
WordPress, che viene utilizzato per più di un quarto di tutti i siti Internet, cambierebbe senza dubbio molte opinioni della gente sulla necessità di utilizzare le moderne versioni di PHP se il progetto trasferisse il suo requisito minimo di PHP alla più recente 7.x.
Quali versioni di PHP dovrebbero essere supportate [da WordPress], tuttavia, è stato un dibattito importante per qualche tempo, ha dichiarato Sean Murphy, Director of Threat Intelligence di Defiant , la società dietro il plug-in di sicurezza WordFence per WordPress, in uno scambio di e-mail con ZDNet.
È in corso un’iniziativa da parte del team di WordPress per avvisare gli utenti quando utilizzano una versione legacy di PHP e fornire loro le informazioni e gli strumenti di cui hanno bisogno per richiedere una versione più recente al loro provider di hosting, ha aggiunto. Ecco le note del recente incontro di questa squadra.
Murphy ritiene che una delle maggiori sfide per implementare gli aggiornamenti della versione di PHP su un gran numero di siti sia il flusso di richieste di supporto che ne deriva, un motivo per cui molti progetti CMS e provider di web hosting sono reticenti e riluttanti a farlo.
Ma Murphy sottolinea anche che i buoni provider di hosting distribuiranno sempre i nuovi utenti sulle nuove versioni di PHP per impostazione predefinita, invece di lasciare che i clienti scelgano, e aggiorneranno i clienti esistenti alle nuove versioni di PHP solo quando richiesto.
Ma a meno che i clienti non siano consapevoli che la loro versione di PHP ha raggiunto la fine del ciclo di vita, pochissimi chiederanno di passare a una versione più recente.
Ecco dove le notifiche di WordPress per gli utenti che gestiscono siti con versioni obsolete di PHP saranno di aiuto: fare in modo che le persone aggiornino il loro server o chiedano al loro provider di hosting un ambiente di hosting più moderno.
Mentre alcuni esperti di sicurezza di WordPress sono allarmati per l’imminente EOL per il ramo PHP 5.6 e l’intero PHP 5.x, indirettamente, Murphy non è uno di questi.
Una vulnerabilità di PHP sarebbe davvero molto negativa, ma non ce n’è stata nessuna che io conosca nella storia recente, ha detto.
In base alle vulnerabilità passate di PHP, la minaccia è principalmente legata alle applicazioni PHP, ha aggiunto Murphy, suggerendo che gli aggressori continueranno probabilmente a concentrarsi sulle librerie PHP e sui sistemi CMS.
Ma non tutti condividono l’opinione di Murphy. Ad esempio, Arciszewski ritiene che PHP 5.6 e le filiali più vecchie saranno spinte a cercare nuove vulnerabilità più del solito. Questi rami sono ora EOL, sono follemente popolari e non sono supportati: le condizioni perfette di bersagli abbondanti con cattiva sicurezza che attirano gli attaccanti.
Sì, questo è assolutamente un fattore di rischio, ha detto Arciszewski. Abbiamo visto qualcosa di simile accadere dopo che il supporto di Windows XP è stato abbandonato e sospetto che vedremo lo stesso accadere al ramo di PHP 5.
Forse quello sarà il catalizzatore necessario per le aziende a prendere sul serio l’adozione di PHP 7? Posso solo sperare.
Concludiamo questo articolo con le stesse considerazioni che Martin Wheatley ha usato per il suo articolo sulle vulnerabilità di PHP.
Aggiornare la versione di PHP costa tempo e denaro, ma cosa c’è di peggio, una piccola tassa di supporto mensile o un Sito compromesso, migliaia di dati e account utente rubati seguito da una multa fino a 20 milioni di euro o il 4% del tuo fatturato ai sensi del GDPR. .. Beh io so cosa preferirei pagare.