PHP 5版年底終止安全更新開始倒數計時,62%的網站將因未能獲得安全更新而陷入被駭

PHP 5版年底終止安全更新開始倒數計時,6成網站恐曝風險

Web科技應用現況的調查公司W3Techs近日表示,根據所有網站使用的PHP版本狀況,從明年1月1日起,有近62%的網站將因未能獲得安全更新而陷入被駭或被植入惡意程式的風險。

根據W3Techs的調查,截自本月15日,在其研究的網站樣本中,使用PHP的比例高達78.9%,而所有網站使用PHP 5的比例又達到61.8%。細分當中版本,所有網站使用PHP 5.6版的比例為41.5%,為版本5之冠。

根據PHP官網列出的支援版本及時程表,PHP 5.6是在2014年釋出,主要支援已在2017年1月19日截止,而安全支援也將在2018年12月31日終止。也就是二個半月後,使用PHP 5.6以前版本的網站都將不會再獲得安全漏洞或功能臭蟲的更新,除非用戶付費使用作業系統廠商的更新服務。如果駭客發現並開採了PHP舊版本的漏洞,數百萬網站及用戶可能立即曝險。

事實上PHP 5.6版的主要及安全更新期早就結束,但因使用的網站最多,因而PHP維護組織曾一度分別延長4個月及2年。

被某些人描述為PHP定時炸彈的大限中,較新的PHP 7.0更將在今年12月1日EOL(end of lifecycle),不再提供安全支援,連7.1版也將在12月1日終止主要支援,一年後結束安全支援。

目前三大網站內容管理系統(CMS)專案中,只有Drupal宣佈從明年3月6日起,Drupal支援網頁最低要使用PHP 7,建議採用7.1版。

Joomla建議為5.6或7版以上,支援下限為5.3.10。Wordpress則建議 PHP 7.2版以上,最低為5.2.4版。

ZDNet報導引述WordPress安全元件WordFence研發主管Sean Murphy指出,PHP漏洞攻擊者主要目標不是在PHP本身,而是在PHP函式庫及CMS系統,但是其他安全專家相信,等大限到來,駭客會更積極在PHP 5.6以前版本中找出漏洞。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

2019 PHP5網站技術支援到期,恐將成為資安孤兒

目前,PHP是全球網站伺服器端使用率最高的程式語言,隨著版本的世代交替,發展已超過10年的PHP 5,自從2004年釋出後,一路發展至5.6版,現在也看到了終點線。

但問題是,現在臺灣仍有5到7成的網站,是使用PHP 5,甚至還有使用PHP 4的現象存在。

在2017年時,PHP開發團隊即宣布5.6版將是PHP 5的最終版本(PHP 6版未發行)。在PHP 5將於年底(12月31日)終止支援後,假若駭客未來發現舊版漏洞,將面臨無以修補的狀況,企業網站的潛在安全風險,成為現階段的焦點。

使用PHP 7的比例最多僅2成3,大多數網站尚未升級

這次PHP版本更新的影響,將可能牽動近8成網站的改變。因為,根據W3Techs的統計,以伺服器端的網站程式語言來說,使用PHP的網站近兩年都維持在8成的高比例,遙遙領先ASP.NET、Java、Ruby、Static files、Scala、Python、Javascript與ColdFusion等,像是為人熟悉的Facebook網站,就是以PHP為主要開發。

但是,至今仍有7成以上的PHP網站沒有升級,仍是使用PHP 5,而從臺灣虛擬主機供應商的使用PHP 5數據來看,也有同樣的高比重。

根據W3Techs的調查結果顯示,在11月23日,使用PHP的比例仍高達78.9%,進一步分析其使用版本,使用最新PHP 7的比例達到22.9%,但是,使用PHP 5的比例仍高達76.4%,意謂著每4個網站就有3個是PHP 5。

再以更細版本畫分來看,所有PHP 5版之中,PHP 5.6版的比例為42.2%,顯然有許多網站目前停在PHP 5最後一版,甚至還有一半比例是PHP 5稍早的版本(PHP 5.5有14%,PHP 5.4有19.9%,PHP 5.3版有16.9%)。至於更舊PHP 4的比例,則是不到1%。

而這樣的結果也顯示了,PHP開發團隊從3年前(2015年12月3日)發布PHP 7至今,僅2成網站升級,但仍然有高比重的網站,在下個月後就要面對PHP 5.6終止支援的考驗。

臺灣網站的狀況同樣堪慮,這次我們詢問了2家本地的虛擬主機供應商,以瞭解國內用戶,在PHP每個版本上的使用比例。

目前,這些虛擬主機商都已經提供PHP 7環境的產品,不過,既有PHP 5環境也將持續提供,主要是仍有龐大的客戶需求存在。捕夢網數位科技技術長趙永弘表示:「我們的數據與W3Techs有相同之處,同樣有75%的高比例使用PHP 5;但不同的是,PHP 7需求很少,並仍有24.6%是PHP 4,相較之下,後兩者的比例剛好相反。」

另一家廠商匯智資訊的技術總監潘昆周則表示:「我們的客戶使用PHP 7與PHP 5,比例是一半一半。」儘管PHP 5環境的需求相對較低,但也仍然達5成之譜,比例仍高。

對於這樣的結果,儘管虛擬主機的供應商已經提供PHP 7的環境,但臺灣仍有超過半數的PHP網站,處於沿用舊版的狀態。

但更讓我們驚訝的是,原來已經淘汰超過10年的舊版PHP 4,使用比例居然也不低。而這樣的現象,似乎也反應出不少網站的態度,對於網站程式語言中止支援的漠視。

其實,近年PHP的每個版本,例如5.4、5.5、5.6、7.0、˙7.1與7.2,幾乎都會有2年的主要更新支援(Active support),以及額外1年的安全更新支援(Security support)。

以PHP 5而言,由於最後一版是5.6,依照原本的規畫,在2017年8月就要終止支援。但為了讓用戶有更多準備時間,其實,PHP開發團隊已經給予了較大的寬容,像是主要支援延長了4個月,而安全支援更是多延長了一年,也因此,PHP 7.0的中止安全更新,還比PHP 5.6早一個月結束。

畢竟,距離上一次PHP大版本的更新,已經是在10多年前,當時PHP 4停止支援,用戶紛紛準備升級至PHP 5。但對於近10年的企業或設計師來說,可能沒有這樣的經歷。

每個PHP版本都有它的生命週期,在安全更新期限之內,以5.6版為例,今年共釋出6次小版本的更新,總計修補了12個安全漏洞,平均大約是每兩個月就會發布一次。年底後,若是再有PHP漏洞被發現,只有新的PHP 7.1與7.2會繼續修補,全部的PHP 5版本與PHP 7.0,都將成為安全孤兒。

重視網站技術的大型網站皆已升級至PHP 7,毋須擔心

事實上,對於以網站為核心、高流量的網站來說,面對網站程式語言升級這件事,答案是肯定的。痞客邦(Pixnet)研發中心總監林瑞男表示,以他們周遭的圈子來看,其實幾乎都是已升級PHP 7。

例如,他們去年本來就有一個架構調整的計畫在進行,打算將網站轉變成服務導向架構(Service-Oriented Architecture,SOA ),因此將每個元件拆開重寫的過程,也同時升級PHP 7,但這也因此花了較多時間,從去年11月到今年8月才告一段落。

從他們網站改版的目的來看,主要是因應服務規模越來越大,開發團隊人數越來越多,可能有些共用的元件需要專屬團隊維護,而做出的改變。

其實,痞客邦上一次的網站大改版,大約是在2014、2015年之間,距離這次改版已有3年。林瑞男認為,這主要跟商業模式有很大關係,畢竟網路世界不太可能一招走天下,為了追求公司成長,舊有的技術就要做出調整,網站架構也是,才能符合公司發展上的需求。而且,當新版PHP 7推出時,就已經知道PHP 5的支援有一天總是會中止。

對於有高比例網站未升級PHP 7一事,林瑞男指出這是以「網站數」來統計,而不是用「流量」。一般而言,高流量的網站,通常自己也會有開發的團隊在維運,升級PHP 7是常態,使用者不用太過擔心。而對於很多小流量的網站尚未升級的問題,則要看網站主面對的風險。

在CVE Details弱點資料庫的PHP統計數據顯示,每年都有不少相關漏洞揭露,當中也曾發生CVE評分為10的重大漏洞。儘管今年PHP本身的漏洞數量算低,但從過往經驗來看,這些漏洞問題只會不斷被發現,而舊版漏洞不再修補的問題,相對要有其他方案來解決,以減少被攻擊的機率。

舊版PHP失去安全更新,之後一旦發現漏洞,將面臨無人修補的窘境

捕夢網數位科技技術長趙永弘表示,很多企業對於PHP更新終止支援,並沒有概念。而3年前的一次資安事件,令他印象深刻,原因是CVE-2015-4024的漏洞。他說:「當時,很多PHP網站都看不到內容,直到一個多禮拜的時間後,漏洞修補才公布。」

原來,這個關於PHP的重大漏洞,將造成使用PHP的主機大量消耗CPU資源,只要一個小程式的請求,就導致CPU負載多10%,一下子就可以讓CPU滿載,達到Dos攻擊。受影響的PHP版本是從5.0~5.6都有。

之後,PHP官方釋出小版本更新,但僅針對5.5與5.6的版本,其他較早期的版本需要升級應對。假設,這個漏洞沒有PHP官方修補,用戶需要自己設法解決,相對困難許多。

畢竟,如果漏洞先被公開且尚未修補,所有用戶都需要想辦法因應。但如果是一般漏洞揭露的過程,是從漏洞發現,到通報,然後修補。儘管仍有時間差,但至少有開發團隊可以處理。若是不再提供安全更新,未來用戶就要自己修補,或是採用其他防禦機制來阻擋,以降低漏洞未修補的風險。

關於近期PHP漏洞問題,我們進一步檢視PHP官方網站的版本更新日誌,以5.6版為例,每隔幾個月就會發布小版本的更新,以修補漏洞,增強安全性。例如,今年9月13日釋出的5.6.38版,修補了關於XSS的CVE-2018-17082漏洞;在7月19日釋出的5.6.37版,修補了CVE-2018-14883、CVE-2018-14851與CVE-2018-15132這三個漏洞;而4月26日釋出的5.6.36版,一次修補了CVE-2018-10549、CVE-2018-10546、CVE-2018-10548與CVE-2018-10547這四個漏洞。總計,今年修補了12個漏洞。

而上述這些CVE的漏洞,在PHP 7.0、7.1與7.2版中,也都同樣獲得PHP開發團隊的修補。但若是一個月後,又有新的PHP漏洞被發現,由於PHP 5.6、7.0版將不再提供安全更新,停留在舊版PHP的網站,承擔的風險成本相對更高。

再從CVE漏洞的角度來看,其實今年關於PHP的數量要比往年少。根據CVE Details弱點資料庫統計數據顯示,這裡整理列出了近18年來PHP的CVE漏洞。其中,今年PHP的CVE漏洞數量為12個,去年是48個,前年則是有165個,儘管PHP本身的漏洞有減少的趨勢,但用戶不能因此掉以輕心。

最主要的原因是,如果版本的更新支援到期,但用戶數卻仍高的情況下,駭客是有很大可能,積極在PHP 5.6以前版本中找出漏洞。

語法的不相容是主要升級門檻

關於新版PHP 7,基本上帶來了相當大的網站效能改進,許多用戶的實際經驗都是,有2成到3成的增長,甚至在PHP 7剛推出時,號稱是PHP 5.6版的2倍,但是,為何許多用戶的網站不直接升級?

相較於PHP 5,PHP 7在基本架構上有很大幅度的調整,並且有不少功能無法向下相容。舉例來說,一些舊有錯誤事件的呼叫機制將會出問題,因為原本PHP 5中的致命錯誤(Fatal errors),在PHP 7中則改成異常(Exceptions)處理機制,而這也意謂著,以前的錯誤處理程式碼,在新版環境下就無法觸發執行,必須做出修改,變成符合PHP 7語法才能正常運作。

對於網站開發者而言,必須要檢查、確認後,才能升級,並不像PHP 5.5升級PHP 5.6那樣容易。因為由於有許多函式(Function)必須修改,若是網站本身的程式碼越複雜,修改花費的代價可能就會越高,這很可能就是網站沒有升級的主因。

基本上,各業者均表示,升級難度會因程式碼複雜程度而不同,因此企業理當提早評估,了解需修改的幅度。事實上,PHP開發團隊也延長了中止支援的期限,讓網站主能有更多準備的時間。

網站平臺升級只是安全的一環,企業必須要有更多網站安全的概念

再仔細探究下去,對於用戶停留在PHP 5或是更舊的版本的情況,企業應該採取更積極的態度,因為就怕是企業根本無法認知到這樣的問題,自然也就無從重視網站安全的升級與維護。

對於流量高的大型PHP網站,用戶本身可能就有一群開發團隊負責維運,要因應PHP升級會相對容易。

例如企業IT人員或高層主管,管理公司資安問題是重要的工作,舊的版本有漏洞就應該修補,版本不再支援就應該往上提升。若是企業既有網站使用PHP,就應該命令自家程式設計師去研究如何將PHP 5升級至PHP 7,而不應該放著,沒人處理更新的問題。

而對於網站外包的企業而言,如果網頁設計公司使用PHP,也應該要同樣重視到這樣的問題。

但是,更積極的觀念是,網站技術應該隨著商業模式與資安威脅不斷調整。補夢網趙永弘提到,在他們上萬的客戶中,有三家公司的網站很特別,只要3年一到,沒有任何理由,就是重寫一個網站。這主要應該也是怕之前寫的網站程式語法,在未來幾年可能發生問題,然而,只有極少企業願意定期投入預算。

面對PHP 5將停止支援,目前虛擬主機商的態度是仍提供舊版PHP環境,確實讓企業網站主能有更長的緩衝時間。

無論如何,企業應該要意識到的是,網站本身的環境也有升級的需要,若能注意到這樣的問題,就能提出要求。

對於開發程式語言不斷升級的現況,無可避免,有人認為這會被版本捆綁,而不得不持續前進,但事實上,技術、威脅也是不斷在變化。

而且,不只是各種開發程式語言的生命週期問題,企業在網站安全需要關注的議題其實不少,舉例來說,像是PHP函式庫及CMS系統的弱點,也是近年網站攻擊的目標,還有伺服器端像是Apache、資料庫,SSL憑證過期失效等。此外,網站要全面採取HTTPS加密傳輸,瀏覽器業者和搜尋引擎近幾年來不斷在推動,但是至今仍然有不少網站沒有做,企業自己必須要有所體認。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

【升級PHP7與強化網站防護成焦點】不論是否升級至新版環境,PHP 5網站都不能坐以待斃

PHP 5.6將在12月31日中止安全更新,整個PHP 5的世代都將告一段落,但問題是,全球與臺灣都還有一半以上的PHP網站,還沒有升級PHP 7(PHP 6未發行),導致他們即將面臨新漏洞被發現,卻無以修補的狀況,導致網站的潛在安全風險增加。

儘管一兩年前,PHP開發團隊就已經警告,PHP 5最後一版是5.6,同時他們也將該版的主要與安全的更新支援延長,讓用戶能有更多轉換準備時間。後續,他們也將開發資源移轉至PHP 7,期望用戶加速網站升級的動作。

但從現況來看,距離PHP 5.6最後的安全支援期限,只剩一個月了,仍有相當高比例的PHP網站沒有做出因應。而這樣的現象,也讓網站程式語言不升級的風險隱憂浮上檯面。

例如,很多網站仍使用早已停止安全支援的PHP版本,沒有定期檢查與更新伺服器的觀念,網站外包的企業更是可能根本沒有概念,這似乎造就了網站安全上的一個盲點。

面對PHP 5即將停止支援,從安全角度來看,最好的解決辦法就是,現在開始著手升級PHP 7;第二個選擇,若尚未做好準備升級而仍然使用PHP 5,必須知道應採取相關防護措施,減少風險;至於最後一種辦法,則是不使用PHP。不過,這種方式的代價可能太大,因為也要評估其他程式語言的可適性。因此,前兩種辦法相對比較實際,就是當今用戶的主要因應方式。

既有PHP 5網站尚未升級的5大可能原因

原因1 升級門檻

存在語法不相容的問題,升級可能影響網站運作,需評估升級代價。

原因2 企業網站外包的狀況

企業網站外包後,網站主對於網站程式語言需要升級的概念不足,決定權可能落在負責執行的網頁設計公司。

原因3 網頁設計產業的態度

仍有不少網頁設計產業習慣以舊版PHP開發,且產業存在明顯的比價問題。

原因4 虛擬主機供應商的態度

虛擬主機商仍提供舊版PHP環境的支援,用戶沒有急迫的升級需求。

原因5 開發者的習慣

可能受到設計師習慣,或是既有系統環境所內建的PHP版本的影響。

資料來源:iThome整理,2018年11月

先進行升級的相容性測試,才能了解PHP網站需修改的幅度並評估

基本上,對於還沒升級的網站而言,應審視網站程式語言生命週期結束,對於企業的影響與衝擊,一旦有漏洞發生,可能面臨的風險有多大,自行處理可能性有多高,暫時的替代方案有那些,以及更新版本的成本也要評估。簡單來說,實務上要從風險與代價這兩個面向來同時考量。

因此,企業最先應該著手的項目,可以請開發人員或虛擬主機供應商,先做升級PHP 7的測試,才能了解需修改的幅度,以及評估所要的代價。由於升級的難度,將因程式碼複雜程度而有不同,加上可能影響到既有服務營運,這將會是企業所需面對的挑戰,是否有人力與資源進行升級。

這不像同個版本的小升級那樣容易,例如PHP 5.5升級PHP 5.6。畢竟,部分PHP 5語法在PHP 7環境的不相容,導致用戶再升級時,需要做出調整,舉例來說,已經廢棄的函式,需要使用其他函式替代,還有已經移除的舊式SAPI和模組,都要做出修改,才能在更新為PHP 7後,不影響網站運作。

其實,不少以網站為核心業務、流量大的PHP網站,企業本身的網站開發團隊較積極,可能都已經升級到PHP 7,但上述語法不相容的問題,還是成為了其他PHP網站的升級門檻。

尚未升級PHP的用戶,也可以搭配WAF方案增加自身的防護力

若要降低自身網站的風險,企業用戶的PHP網站在還沒升級前,現在可以如何因應呢?

以當前的局勢而言,即使停止PHP 5.6更新支援後,使用PHP 5.6的客戶仍將存在。從這次我們詢問臺灣虛擬主機供應商的過程,也瞭解到在他們的客戶中,至少有5至7成以上的客戶網站,仍然是使用PHP 5。

而就這些業者的因應方式來看,是會運用網站相關的資安解決方案,幫助客戶轉移安全風險。例如,他們會禁止一些與系統相關的PHP函式,畢竟他們的環境包含了每個客戶的網站,也要避免網站漏洞遭到攻擊,而可能導致其他受損的情況。

不僅如此,這些業者當中,有不少開始提供虛擬主機,搭配網頁應用程式防火牆WAF(Web Application Firewall)的方案,讓用戶有另一種較安全的選擇,以降低網站主機受攻擊的風險,當然,這也連帶減緩PHP漏洞的影響。

而對於自建網站主機的企業,這種方式就是一種替代的方案。當然,沒有錢有沒有錢的作法,像是用開源的ModSecurity來實作,也是相對可以增強防護的做法。

面對這次的網站安全與風險的問題,捕夢網數位科技技術長趙永弘指出,安全是相對的,他並以體質與衣服來比喻。若是本身體質就健康是最好的,就像是從PHP 5升級PHP 7,但如果體質不好也可多加衣服來避免感冒,就像是額外採取更多網站防護措施來降低風險。不過,體質還是最重要的部分,只是在沒辦法調體質時,就從外部來做。

對此,匯智資訊技術總監潘昆周也用風險轉嫁的概念來形容,每個版本都有風險,因此需要制定良善的資安防護機制,與定期檢核網站安全性,來提升網站安全性。假設PHP 7.2版突然有個重大CVE的漏洞,除了等官方釋出修補,安全層級要求高的單位,可能在WAF端就要先做條件的過濾,這也就是他所指的風險轉嫁。

此外,儘管近年PHP揭露的漏洞不算非常多,而就他的觀察,都是在集中在特定的CMS例如Wordpress、Joomla,因為這些工具很容易上手,建構網站容易,也是問題點。

再從不升級的現象來看,若是仔細探究下去,可能還有衍生的複雜問題存在。首先是,企業是否有人力或資源去升級,再者,網站主能否意識到這樣的問題,甚至不少企業本身是將網站委外設計,進而牽扯到各層面的影響,並讓用戶不升級的原因變得複雜。

網站委外的企業不升級原因較複雜,網站主與開發方需主動出擊

談到PHP用戶不升級的原因,在虛擬主機供應商眼中,網站升級的關鍵是在網頁設計公司,並不是客戶本身,也不是他們這樣的平臺服務商。

最主要的原因是,客戶可能根本不瞭解網站開發的問題。匯智資訊技術總監潘昆周表示,因為企業客戶通常只重視網站完成後的成果,以需求導向找設計師,因此,採用何種程式語言,還是要看設計師的喜好。例如,一間麵包店業者想要做網站,需求可能是要有購物車,並注重如何結帳,但對於要用PHP,或ASP.NET,或PHP哪一個版本,其實不是那麼瞭解,甚至沒有概念,自然也就不知道怎麼跟設計師討論。對於PHP版本這樣的議題,只有開發界比較多人討論。

而在他們的虛擬主機客戶中,主要分兩種:一種是網站已經設計完成從別地方要搬移過來,一種是剛要設計網站,他們可以提供企業與設計師煤合的幫助。若是企業想要升級PHP網站,而且內容如果需要大改,要看企業是否願意投入經費去進行,但若在網站建構之前企業來詢問,他們是可以與設計業者進行溝通。

還有一個挑戰,潘昆周認為是在設計師或客戶端,他們一開始安裝的作業系統環境中,原生提供的PHP是什麼版本,這也影響多數開發者,很可能會依著那個環境去做。

另一家業者也有同樣的看法,捕夢網數位科技技術長趙永弘表示,以他們的客戶而言,有9成網站都是交由外包網頁設計公司,企業本身有網站開發團隊的並不多,這些企業都是預算有限,不會自建機房,甚至接下來負責管理網站的人員,都是跟帳務有關的行政人員會計,並沒有IT背景與資安意識。

在設計端,就他們的觀察來看,很少有網頁設計公司用新的技術,原因是既有團隊已經建立了模版,能夠快速套用,穩定性也高,如果要維護不同版本,團隊的人力配置就會很吃緊。當然,但若是一些網站設計團隊都是專案方式進行,狀況就不同,但對於用戶而言,網站設計成本相對是可能較高。在現今網站設計非常普遍的情勢下,業主如果傾向於比價,問題也會難以解決,成為另一挑戰。

此外,還有後續維護與開發人員經常流動的問題。舉例來說,在網頁設計公司完成網站後,一般與客戶的網站維護內容可能只是改文字與改圖片,為了資安而改寫程式的需求,不在維護費用的範圍之內,也就是說企業需要額外付錢;還有其他狀況像是系統可能是前幾任工程師所寫,但因網頁設計領域的人力流動性高,新的工程師接手,可能看不懂之前舊的,認為可能要重寫。

但終究,這樣的問題或許又會回到用戶本身,是否意識到這樣的問題,才能做出改變。挑戰上,既有用戶需要評估是否願意再花錢去改變,或是採取可以因應的措施;而新用戶的概念則應該是,網頁設計非單次性的服務,應該是種長期的維護合約,維護內容也不應該限於簡單的修改。

還有一些安全的觀念必需能意識到,像是在網站上線後,仍需定期維護並進行資安掃描,若發生問題也應能與設計師溝通修補。不應該是遇到問題,找不到原有設計師,還要花一筆費用設計網站或是排除問題。

虛擬主機商將持續提供舊版環境,但用戶仍需面對版本升級的問題

面對PHP 5將停止支援,儘管虛擬主機商都認為客戶網站應該升級最新版,這也會減少他們管理虛擬主機的麻煩,只是客戶對於舊版環境的需求仍然龐大,因此,明年他們其實仍將持續提供相應的服務。

但是,也有網站開發團隊曾經提出不同想法,他們認為網站是否必須改用新版,取決於虛擬主機商是否持續提供舊版本的環境。不過,這種雞生蛋、蛋生雞的問題,對於企業升級新版的意願,其實也會帶來某種程度上的干擾。最好的自保之道,還是要放在用戶自身對於安全的重視。

反觀採用虛擬主機的客戶,對於版本升級的觀念,通常取決於網站是否攸關企業的重要營運與收益。匯智資訊潘昆周指出,多數電商網站會主動關切升級與網站相關議題,但若是形象或是單頁式簡易網站,通常在建置完成後就無常態性營運,因此對於升級的觀念可能需要時間累積發酵。

提升網站安全不能光靠版本升級和WAF,應藉機爭取更多資源改善

對於這次PHP升級的議題,前面已經提到可採用WAF方案來因應,但是整體網站安全需要關注的問題可不只如此。舉例來說,像是WAF也有可能被繞過的問題存在,而在WAF方案之外,還有SSL憑證、資料庫防火牆(DAF),最好企業也要執行網站弱點掃描,或是定期每季的網站滲透測試的服務,以及原始碼掃描與DDoS的防範,這些都是進一步強化安全的作法。

此外,關於網站資料外洩的問題,更是網站主與消費者都很在意的問題,由於可能洩漏的管道相當多元,因此各個環節的風險都需要重視。

捕夢網趙永弘提到,現在許多電子商務網站,有些會貼出提醒民眾接到詐騙電話的警語,其實不少就被網站已經被入侵了。由於這些事件的發生,可能都不會主動通知客戶,導致問題無法被突顯與改善。

而匯智資訊潘昆周也指出,一旦發生個資外洩事件,應先釐清資料在哪一段被竊走,才能真正解決問題,像是非網路端的物流端,也可能是導致外洩的原因,因此資安檢核必須多面向的評估。

要知道,現代人對於網站安全的要求,已經越來越高,企業對於網站安全的不重視,都很有可能導致企業自身形象、品牌價值受損。

而隨著這次PHP 5的終止支援,僅管只剩一個月了,用戶也不用太過擔心無法即時因應,只要企業現在知道這樣的問題,並且開始進行準備,其實是可以趁著這次的機會,向公司提出資源來改善網站安全的種種問題。而每一種增加網站安全的作法,其實也都等於是減少被攻擊的機率。

三大網站內容管理系統需求皆建議採用PHP 7,其中,並以Drupal 8支援新版態度最積極

市面上熱門的架站內容管理系統WordPress,現在已經將安裝的系統環境需求,建議為PHP 7.2版以上,最主要的原因,就是為了最佳安全性的考量所做出的建議。不過要注意的是,在11月23日,我們發現WordPress正體中文官方網站的安裝頁面並未更新,這可能導致國內用戶在資訊接收上有落差。圖片來源/Wordpress官方網站

對於PHP新版的支援,若從三大知名網站內容管理系統(CMS)專案來看。目前,Drupal 8已經宣布從明年3月6日起,最低支援需求是使用PHP 7,並建議採用7.1版。

不過,像是Joomla與Wordpress對PHP的態度則是相對寬鬆,例如,Joomla 3.x則建議為5.6或7版以上,支援下限為5.3.10。而Wordpress則建議 PHP 7.2版以上,最低為5.2.4版。

顯然,這三大網站內容管理系統的安裝需求建議,都已經是PHP 7版。

儘管,Joomla與Wordpress還沒有打算因此,將支援底線提升至PHP 7,但用戶還是必須要有自知之明,若明年仍使用PHP 5,未來舊版漏洞問題誰來解決?升級仍是較好的建議作法。

升級PHP 7時的3大注意事項

PHP 7是一個新的主要版本,效能提升是最大的改變,但也有語法不相容舊版的問題產生,成為既有用戶升級的重大門檻。因此,PHP開發團隊也在官方網站上,提供了向下相容性問題的詳細說明。

用戶要升級PHP 7是否有些小祕訣,或是更好的參考資訊。首先,PHP官網其實提供了向下相容性問題的列表,並附上詳細說明,此外,網路上,也有許多像是PHP 7 Compatibility Checker的工具,可以協助網站主進行評估。

其實,這樣的第三方工具檢查,並不會花太多時間,基本上,只要準備好相應的環境,程式檢查可能只要不到半小時就完成,就能快速檢查出,網站的程式是否出現不符合PHP7語法的地方。

提供網頁開發與電子商務服務的業者歐斯瑞(Astral web)表示,大多公司不會定期檢查更新伺服器,因此不少公司仍在使用舊的版本運作,並且有許多網站內的客製程式碼不一定符合PHP 7,若不先做調整,很有可能再更新為PHP 7時影響網站運作。

其次,對於升級過程,開發者可能遇到的問題與挑戰有那些?一些已經經歷升級的用戶與業者,也提供了相關建議參考。

在已經升級至PHP 7的用戶網站中,知名部落格社群網站痞客邦是一例。該公司研發中心總監林瑞男表示,在PHP 5升級到PHP 7,有一個最重要的問題點,就是不支援舊的MySQL系統函式,變成要使用MySQLi或PDO(PHP Data Object)),這是一般企業升級時,較容易遇到的問題。

在MySQL資料庫之外,林瑞男也提到,如果已使用PHP社群提供的擴充套件(Extension),也要注意是否跟進支援新版的問題,否則就要尋找替代方案。特別是較少人使用的擴充套件,風險相對較高。

其他還有像是一些函式或API不太一樣,需要一個個檢查,整體還是要看網站的複雜性。此外,如果開發者是使用PHP框架(Framework),例如像是近年熱門的Laravel,解決這些問題時更為簡便,因為只要升級Laravel,就等於做完PHP升級。

林瑞男也指出,他發現近期較多的風險,其實是出在PHP的延伸外掛模組(Extension)方面,用戶如果有用一些模組,風險也會相對較高。此外,除了PHP本身,還有PHP函式庫及CMS系統,也都可能會是漏洞攻擊者的目標。

最後,歐斯瑞公司對於PHP升級也提醒大家注意到下列改變,像是foreach的修改、字符串處理機制修改,以及移除的模組與SAPI(Server API)。

以PHP 7已移除的模組為例,包括ereg、mssql、mysql、sybase_ct;移除的SAPI則有15個,包括Aolserver、apache、apache_hooks、apache2filter、caudium、continuity、isapi、milter、nsapi、phttpd、pi3web、roxen、thttpd、tux、webjames。

總而言之,歐斯瑞公司建議,需要先檢查網站的程式碼,並記得將擴充功能同步升級,最重要的是,需要一個與正式網站相同架構的環境作為測試區。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏