فرع PHP 5.x الشهير سيتوقف عن تلقي التحديثات الأمنية في نهاية العام
ووفقًا لإحصاءات W3Techs ، فإن ما يقرب من 78.9 في المائة من جميع مواقع الإنترنت تعمل اليوم على PHP ولكن في 31 ديسمبر 2018 ، سوف يتوقف الدعم الأمني لـ PHP 5.6.x رسميًا ، مسجلاً نهاية كل دعم لأي إصدار من فرع PHP 5.x القديم.
ويعني هذا أنه اعتبارًا من العام المقبل ، سيتوقف حوالي 62٪ من جميع مواقع الإنترنت التي لا تزال تستخدم إصدار PHP 5.x على تلقي التحديثات الأمنية لخادمها والتكنولوجيا الأساسية لموقع الويب ، مما يعرض مئات الملايين من مواقع الويب ، إن لم يكن أكثر لأمن خطير المخاطر.
إذا عثر أحد المخترقين على ثغرة في PHP بعد حلول العام الجديد ، فستكون الكثير من المواقع والمستخدمين معرضين للخطر.
“هذه مشكلة كبيرة للنظام البيئي PHP” وقال سكوت Arciszewski رئيس التنمية في Paragon مبادرة المؤسسة في مقابلة ZDNet. “في حين يشعر الكثيرون أنهم يستطيعون” الإفلات من “تشغيل PHP 5 في عام 2019 ، فإن أبسط طريقة لوصف هذا الاختيار هي: Negligent.”لكي تكون عادلاً تمامًا: من المرجح أن أي عيب كبير قابل للاستغلال الشامل في PHP 5.6 سيؤثر أيضًا على الإصدارات الأحدث من PHP “أضاف Arciszewski.
“سيحصل PHP 7.2 على تصحيح من فريق PHP مجانًا في الوقت المناسب سيحصل PHP 5.6 على واحد فقط إذا كنت تدفع للدعم المستمر من مورد نظام التشغيل .
“إذا وجد أي شخص نفسه يقوم بتشغيل PHP 5 بعد نهاية العام اسأل نفسك: هل تشعر أنك محظوظ؟ لأنني بالتأكيد لن أفعل ذلك لقد عرف مجتمع PHP هذا الموعد النهائي لفترة طويلة بعد أن أصبح PHP 5.6 أكثر إصدار PHP استخدامًا في ربيع عام 2017 أدرك مشرفو PHP أنه سيكون كارثة إذا أوقفوا التحديثات الأمنية مباشرةً عندما أصبح PHP 5.6 إصدار PHP الأكثر شيوعًا حيث قاموا بتمديد تاريخ EOL إلى نهاية عام 2018.
منذ ذلك الحين كان هناك العديد من المطورين والباحثين في مجال الأمن الذين حذروا من “قنبلة موقوتة من بي اتش بي” على الرغم من أنه لم يكن يرغب الكثير من مجتمع إنفوسيك.
لم يكن هناك جهد متضافر لجعل الناس ينتقلون إلى أحدث إصدار من PHP 7.x ، ولكن بعض مشاريع أنظمة إدارة محتوى المواقع (CMS) ، واحدة تلو الأخرى ، قد بدأت في تعديل الحد الأدنى من المتطلبات ، وحذر المستخدمين من استخدام بيئات الاستضافة الحديثة .
من الثلاثة الكبار – وورد بريس ، وجوملا ، ودروبال – قام دروبال فقط بالخطوة الرسمية لتعديل الحد الأدنى من المتطلبات إلى PHP 7 ، ولكن هذه الخطوة ستأتي في مارس 2019. من المفارقات أن الفرع 7.0.x قد وصل إلى EOL على 3 ديسمبر 2017 ، والتي لا تحل أي شيء فعليًا ، ولكنها لا تزال خطوة إلى الأمام.
لا يزال الحد الأدنى لمتطلبات Joomla هو PHP 5.3 بينما لا يزال الحد الأدنى لمتطلبات WordPress هو PHP 5.2 “إن أكبر مصدر للقصور الذاتي في النظام البيئي PHP فيما يتعلق الإصدارات هو بلا شك WordPress والتي لا تزال ترفض التخلي عن دعم PHP 5.2 لأن هناك أكثر من الصفر الأنظمة في الكون التي لا تزال تدير وورد على نسخة قديمة غير مدعوم من PHP Arciszewski وقال واصفا قوة وورد الشهرة سيئة السمعة من الحفاظ على الحد الأدنى من المتطلبات في إصدار PHP التي ذهبت EOL في عام 2011 إن WordPress الذي يستخدم لأكثر من ربع جميع المواقع على الإنترنت سيغير دون شك الكثير من آراء الناس حول ضرورة استخدام إصدارات PHP الحديثة إذا كان المشروع سيحرك الحد الأدنى من متطلبات PHP إلى أحدث فب 7.x فرع.
يقول شون مورفي مدير شركة Threat Intelligence في ديفيانت الشركة التي تعمل وراء البرنامج المساعد لأمن WordFress في WordPress ، في تبادل عبر البريد الإلكتروني مع “ما هي إصدارات PHP التي يجب دعمها [بواسطة WordPress] ومع ذلك كان نقاشًا رئيسيًا لبعض الوقت.
“هناك مبادرة مستمرة من قبل فريق WordPress لإعلام المستخدمين عندما يستخدمون إصدارًا قديمًا من PHP ومنحهم المعلومات والأدوات التي يحتاجونها لطلب إصدار أحدث من مقدم خدمة الاستضافة”. “فيما يلي ملاحظات من الاجتماع الأخير للفريق”.
ويعتقد ميرفي أن أحد أكبر التحديات في طرح تحديثات إصدار PHP لعدد كبير من المواقع هو تدفق طلبات الدعم التي تأتي نتيجة لذلك ، وهو سبب يجعل العديد من مشاريع CMS ومقدمي استضافة الويب متكتمين وغير راغبين في القيام بذلك.
لكن مورفي يشير أيضًا إلى أن “مقدمي خدمات استضافة جيدين” سيقومون دائمًا بنشر مستخدمين جدد على إصدارات جديدة من PHP بشكل افتراضي ، بدلاً من السماح للعملاء بالاختيار ، وسيتم تحديث العملاء الحاليين إلى إصدارات جديدة من PHP فقط عند الطلب.
ولكن ما لم يكن العملاء على دراية بأن نسختهم من PHP قد وصلت إلى نهاية عمرها الافتراضي ، فإن عددًا قليلاً جدًا سيطلب نقلهم إلى إصدار أحدث.
حيث ستقدم إشعارات WordPress للمستخدمين الذين يقومون بتشغيل المواقع على إصدارات قديمة من PHP – مما يجعل الناس يقومون بتحديث خادمهم أو يطلبون من مقدم خدمة الاستضافة الخاصة بهم بيئة استضافة أكثر حداثة.
في حين أن بعض خبراء الأمن في WordPress قلقون بشأن EOL الوشيكة لفرع PHP 5.6 و PHP 5.x بالكامل ، وبشكل غير مباشر ، فإن Murphy ليس واحدًا منهم.
وقال “إن الضعف الذي يعاني منه PHP […] سيكون في الواقع سيئا للغاية ، لكن لم يكن هناك أي شيء أعرفه في التاريخ الحديث”.
“بناء على نقاط الضعف السابقة في PHP ، فإن التهديد غالباً ما يكون مع تطبيقات PHP” ، وأضاف مورفي ، مما يشير إلى أنه من المرجح أن يستمر المهاجمون في التركيز على مكتبات PHP وأنظمة CMS.
لكن ليس كل رأي رأي مورفي. على سبيل المثال ، يعتقد Arciszewski أنه سيتم حث PHP 5.6 والفروع القديمة لنقاط الضعف الجديدة أكثر من المعتاد. هذه الفروع الآن EOL ، تحظى بشعبية هائلة ، وغير مدعومة – الظروف المثالية للأهداف الوفيرة مع الأمن السيئ الذي يجتذب المهاجمين.
“نعم ، هذا هو بالتأكيد عامل خطر” ، وقال Arciszewski. “لقد رأينا شيئًا مشابهًا يحدث بعد إسقاط دعم Windows XP ، وأظن أننا سنرى نفس الشيء يحدث لفرع PHP 5.
“ربما يكون هذا هو العامل المحفز الضروري للشركات لاتخاذ تبني PHP 7 على محمل الجد؟ لا يسعني إلا أن أتمنى ذلك.”
وإذا احتاج مدراء الخادم ومالكي مواقع الويب إلى مزيد من الإقناع ، فسننهي هذه المقالة بالنهاية نفسها التي استخدمها مارتن ويتلي لقطبته “قنبلة موقوتة PHP” خلال فصل الصيف.
نعم ، إنه يكلف الوقت والمال ، ولكن ما هو أسوأ ، هو رسم دعم شهري صغير ، أو عنوان “اختراق الموقع ، آلاف تفاصيل المستخدم المسروقة” يليه غرامة تصل إلى 20 مليون يورو أو 4 ٪ من قيمة أعمالك تحت الناتج المحلي الإجمالي. .. أنا أعلم ما الذي سأدفعه بدلاً من ذلك.
