Poproś swoją firmę hostingową o aktualizację PHP!

PHPAnthony Ferrara wykonał bardzo ciekawą analizę, z której wynika że:

(…) over 78% of all PHP installs have at least one known security vulnerability.

Prawie dwa lata temu pisałem o zatrważającej liczbie starych, dziurawych WordPressów, które leżą sobie w internecie i czekają na zainfekowanie. W tym temacie niewiele się zmieniło. Doszło za to kolejne zagrożenie, wynikające z całej masy serwerów z nieaktualnymi, często dziurawymi wersjami interpretera PHP.

Jak podejrzewam, większość firm hostingowych nie zawraca sobie głowy aktualizacją PHP z dwóch powodów. Po pierwsze, klientów niewiele to obchodzi – strona ma działać i tyle. Po drugie, każda aktualizacja (szczególnie o jedną wersję w górę, na przykład z 5.2 do 5.3) wiąże się z ryzykiem rozsypania się stron klientów, którzy albo używają nieaktualnego oprogramowania, albo korzystają z napisanych na zamówienie skryptów, których od czasu powstania nikt nie dostosowywał do kolejnych wersji PHP.

Swoją drogą, nie przestaje zadziwiać mnie fakt, że WordPress wciąż oficjalnie wspiera PHP w wersji 5.2, która to wersja straciła wsparcie dokładnie 4 lata temu…

Bezpośredni link

  • Taka ciekawostka – ja na linuxpl mogę sobie dowolnie zmieniać wersje PHP i to oddzielnie dla każdej domeny. Fajna funkcja.
    Ale fakt, że inne hosty mogą robić problem, bo jak działa to po co sobie generować problemy i koszta.

    • Wiele firm udostępnia opcję wyboru wersj PHP (5.3, 5.4, 5.5 czy 5.6). Często nie są to jednak najnowsze wersje w ramach danej gałęzi.

      • Są najnowsze :)

        • Czyli nie ma ani jednej aktualnej i niedziurawej wersji. ;)

          • Paweł Knapek

            Bartosz, a wejdź sobie popatrz na specyfikację znanego chyba wszystkim zena ( 5.2.17, 5.3.26, 5.4.16, 5.5.0 )
            – też szału nie ma ;p

          • Nigdy nie twierdziłem, że w Zenbox jest OK. ;)

    • Kuba, dziękuję – nawet nie wiedziałam, że mam takie możliwości (też linuxpl) -> człowiek całe życie się uczy :)

  • Guest

    Kuba, dziękuję – nawet nie wiedziałam, że na tym samym linuxpl mam takie możliwości -> człowiek całe życie się uczy :)

  • Właśnie miałem pisać do linuxpl a tu pacze na komentarze i Kuba napisal, że u nas na linuxpl sami wybieramy wersje php :). Jeszcze dodając linuxpl wprowadził zabezpieczenie w formie okna do panelulogowania gdzie trzeba wpisac wpadmin aby sie zalogować co mozemy uznac nawet dobrym zabezpieczeniem przed botami

    • Napiszę to jeszcze raz: macie możliwość wyboru wersji głównej (5.3, 5.4, 5.5, 5.6 itp.). Rzecz w tym, że w ramach każdej z tych wersji istnieje X wersji (5.3.1, 5.3.2 itd.) i chodzi o to, aby na serwerze była zainstalowana najnowsza (lub chociaż taka, która nie ma żadnych znanych błędów związanych z bezpieczeństwem).

      • Paweł Knapek

        Tak. Wszystko zależy od hostingu Tak, zwykle wybiera się daną gałąź, a jaka już tam wersja będzie, to ?
        W wspomnianym linuxpl akurat wybór można sobie z panelu wyklikać, są podane konkretne wersje – ale też wybór uzależniony jest od hosta na jaki się trafi – nie wszystkie mają identyczny konfig. I tak np. na jednym widzę nie mam gałęzi 5.4 czy 5.5 ….ale mam 6.0, no i 5.3 mam w wersji 26, nie jak Kuba 27 …przy czym najnowsza w tej gałęzi to 29.
        Tak więc taka mała loteria i do ideału im brakuje.
        Na innych hostingach wybór gałęzi realizowany jest nieraz przez wpis do np. pliku .htaccess, a w poszukiwaniu informacji na ten temat trzeba pokopać po helpie czy faq. Na innych jeszcze wyboru żadnego nie ma.

        Inna bajka, że wersja interpretera PHP to nie wszystko ….jest jeszcze system, serwer(y), baza/y, ewentualne inne interpretery, dodatkowe moduły czy też panele administracyjne. Wszystkie te elementy mogą być dziurawe, wszystkie winny być w miarę aktualne – a często nie są.

    • To zabezpieczenie jest dodawane tylko podczas instalacji WP z Installatrona, ale rzecz fajna :)

      • Paweł Knapek

        Nie tylko. Nie wiem jak teraz, ale swego czasu dodawali do wszystkich serwisów.
        -nigdy nie korzystałem z żadnych autoinstalatorów, a Basic Auth mam tam dodany.