Mimo że sam WordPress działa nawet z archaiczną (i od dawna niewspieraną) wersją 5.2 interpretera PHP, część autorów wtyczek wymaga nowszych wersji PHP, najczęściej co najmniej 5.6. Do tej pory oficjalne repozytorium wtyczek nie oferowało żadnych mechanizmów pozwalających na określenie wymaganej przez wtyczkę wersji PHP – teraz to się zmieniło.
Na WPzen od zawsze namawiam do korzystania z możliwie nowych (a na pewno ze wciąż wspieranych) wersji interpretera PHP – czyli na tę chwilę z 5.6, 7.0 lub 7.1. Ogólnie można przyjąć, że użytkownicy WordPressa dość niefrasobliwie podchodzą do tematu, ale na szczęście powoli się to zmienia. W lipcu ubiegłego roku z niewspieranych wersji PHP korzystało prawie 80% instalacji tego CMSa, a 10 miesięcy później już „tylko” nieco ponad 50%.
Jedną z najczęstszych przyczyn trzymania się starej wersji PHP jest obawa o kompatybilność strony z nowszą wersją interpretera. Problem ten jest szczególnie poważny w przypadku większych serwisów z dużą liczbą zainstalowanych wtyczek i/lub z wtyczkami i motywem pisanymi na zamówienie. Na szczęście istnieje prosty sposób na sprawdzenie czy nasza strona będzie bez problemu działać z nowszą wersją PHP.
10 lipca 2016 oficjalnie kończy się wsparcie dla PHP 5.5. Oznacza to, że poprawki błędów (w tym również tych związanych z bezpieczeństwem) będą przygotowywane tylko dla wersji 5.6 i 7.0. Tymczasem z oficjalnych statystyk wynika, że prawie 80% stron działających na WordPressie korzysta z PHP w wersji 5.5 lub starszej.
Ekipa odpowiedzialna za rozwój WordPressa po cichu zaktualizowała wymagania techniczne, jakie powinien spełniać serwer, na którym chcemy zainstalować tego CMSa. Od teraz zalecane jest korzystanie z PHP 5.6 i MySQL 5.5 (lub nowszych). Aktualizacja nie została oficjalnie ogłoszona – informację o niej znalazłem u Konrada.
Nie ma jednak powodów do paniki, szczególnie jeśli zwrócimy uwagę na jeden drobny szczegół.
Anthony Ferrara wykonał bardzo ciekawą analizę, z której wynika że:
(…) over 78% of all PHP installs have at least one known security vulnerability.
Prawie dwa lata temu pisałem o zatrważającej liczbie starych, dziurawych WordPressów, które leżą sobie w internecie i czekają na zainfekowanie. W tym temacie niewiele się zmieniło. Doszło za to kolejne zagrożenie, wynikające z całej masy serwerów z nieaktualnymi, często dziurawymi wersjami interpretera PHP.