網(wǎng)絡(luò)技術(shù)應(yīng)用研究公司 W3Techs 近日表示，根據(jù)所有網(wǎng)站使用 PHP 版本的情況，從2019年1月1日起，有近62%的網(wǎng)站將會(huì)因?yàn)闊o(wú)法獲得安全更新，而受到惡意攻擊。

根據(jù) W3Techs 的調(diào)查，從本月 15 日開(kāi)始，其研究的網(wǎng)站樣本中使用的 PHP 的比例高達(dá) 78.9%，使用 PHP 5 的網(wǎng)站的比例達(dá)到 61.8%。 在子版本中，使用 PHP 5.6 版的網(wǎng)站的比例為 41.5%，使用版本5的比例最高。

[[246272]]

根據(jù) PHP 官方網(wǎng)站列出的支持版本及時(shí)刻表(如下)，PHP 5.6 于 2014 年發(fā)布，主要支持已于2017年1月19日關(guān)閉，安全支持將于2018年12月31日終止。即兩個(gè)半月后，使用 PHP 5.6 版本的網(wǎng)站將不再收到安全漏洞或錯(cuò)誤更新，除非用戶支付操作系統(tǒng)供應(yīng)商的更新服務(wù)費(fèi)用。 如果黑客發(fā)現(xiàn)并利用舊版 PHP 中的漏洞，可能會(huì)使數(shù)百萬(wàn)個(gè)網(wǎng)站和用戶陷入危險(xiǎn)。

事實(shí)上，PHP 5.6 的主要及安全更新期早就結(jié)束，但因使用的網(wǎng)站較多，因此，PHP 維護(hù)組織曾一度分別延長(zhǎng)其支持時(shí)間。

有些人將這種情況描述為 PHP 定時(shí)炸彈。 較新的 PHP 7.0 將不再在今年12月1日的 EOL(生命周期結(jié)束)提供安全支持。 即便是版本 7.1 也將于12月1日終止。一年后結(jié)束安全支持。

目前三大網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)項(xiàng)目中，只有 Drupal 宣布從明年3月6日起，Drupal 支持網(wǎng)頁(yè)最低要求 PHP 7，建議采用 7.1 版。Joomla 推薦使用 5.6 或更高版本，支持下限為 5.3.10。 Wordpress 建議使用 PHP 7.2 或更高版本，最低支持5.2.4。

根據(jù) ZDNet 報(bào)道，WordFence 安全組件研發(fā)主管 Sean Murphy 表示，PHP 漏洞利用的主要目標(biāo)不是在 PHP 本身，而是在 PHP 庫(kù)和 CMS 系統(tǒng)中，但其他安全專家認(rèn)為，等截止日期到來(lái)，黑客就會(huì)積極利用 PHP 5.6 中的漏洞的。