image

Populaire CMS’en nemen nog altijd genoegen met oude PHP-versies

woensdag 17 oktober 2018, 14:36 door Redactie, 9 reacties

Van de drie grootste contentmanagementsystemen, te weten WordPress, Joomla en Drupal, motiveert alleen Drupal haar gebruikers over te stappen op de nieuwste versie van PHP. Deze situatie levert na 1 januari 2019 mogelijk de nodige beveiligingsproblemen op.

Drupal heeft aangekondigd dat het vanaf 6 maart 2019 alleen nog draait op computers waarop PHP 7.0 of hoger wordt gebruikt. Momenteel werkt Drupal ook nog met PHP 5.5.9. Joomla vereist minimaal PHP 5.3 en WordPress neemt momenteel ook nog genoegen met PHP 5.2.4.

Met ingang van 1 januari 2019 vervalt de ondersteuning van PHP 5.6 en oudere versies, wat betekent dat eventuele nieuwe kwetsbaarheden niet meer worden gedicht.

Volgens berekeningen van W3Techs maakt bijna 79% van alle internetsites gebruik van PHP. Ongeveer zes op de tien sites gebruiken een verouderde PHP-versie,wat betekent dat vanaf volgend jaar ongeveer 62 procent van alle internetsites geen beveiligingsupdates meer ontvangt waardoor honderden miljoenen websites, zo niet meer, aan serieuze beveiligingsrisico's worden blootgesteld, aldus ZDnet.

De aanhoudende populariteit van PHP-versie 5.6 was vorig jaar al aanleiding om de ondersteuning te verlengen tot en met 31 december 2018.

Reacties (9)
17-10-2018, 14:50 door Anoniem
PHP 7 is natuurlijk veel beter, maar een "minimale vereiste" is puur gebasseerd op de gebruikte SPL.
17-10-2018, 17:52 door Anoniem
Volgens berekeningen van W3Techs maakt bijna 79% van alle internetsites gebruik van PHP.
Dat lijkt me sterk. "Websites" kan ik inkomen, maar "internetsites", nee. En ja, dat verschil hoor je te weten als je er dagelijks mee bezig bent. En hee, als je toch pretendeert journalistiek bezig te zijn, trek ook even de cijfertjes boven water en kijk ze na.
17-10-2018, 23:04 door Anoniem
Door Anoniem:
Volgens berekeningen van W3Techs maakt bijna 79% van alle internetsites gebruik van PHP.
Dat lijkt me sterk. "Websites" kan ik inkomen, maar "internetsites", nee. En ja, dat verschil hoor je te weten als je er dagelijks mee bezig bent. En hee, als je toch pretendeert journalistiek bezig te zijn, trek ook even de cijfertjes boven water en kijk ze na.

Je kan ook een aanvulling op het artikel geven als je meer denkt te weten. Dat negatieve oordeel erbij over de schrijver van het stuk is onnodig en misplaatst. En nee, ik heb geen connecties met de schrijver van het stuk.
18-10-2018, 05:04 door Anoniem
Maanlandertje werkt nog gewoon op een Texas Instruments SR-52. En al 40 jaar niet ge-updatet.
18-10-2018, 09:11 door Anoniem
Helaas heb ik niet het idee dat de auteur van dit stuk ook zelf onderzoek heeft gedaan. "Van de drie grootste contentmanagementsystemen, te weten WordPress, Joomla en Drupal, motiveert alleen Drupal haar gebruikers over te stappen op de nieuwste versie van PHP. "

Hoe is deze conclusie tot stand gekomen? Welk onderzoek is er verricht om tot deze conclusie te komen?

Als ik Joomla download en installeer op een "oude PHP-versie" krijg ik direct na inloggen in het controlepaneel een grote duidelijke melding:

"Uw PHP versie, 7.0.30, krijgt op dit moment alleen beveiligingsfixes vanuit het PHP-project. Dit betekent dat uw PHP-versie spoedig niet meer zal worden ondersteund. Het is raadzaam om de upgraden naar een nieuwere versie van PHP te plannen voor het einde van de ondersteuning op 2018-09-03. Joomla zal sneller en veiliger zijn als u een upgrade naar een nieuwere versie van PHP uitvoert (PHP 7.x wordt aanbevolen). Neem contact op met uw hoster voor upgrade-instructies."

Nu is deze melding al vervroegd zichtbaar vanwege een bug met de datum, maar er wordt dus wel degelijk actief opgeroepen om de PHP versie te upgraden.

Groeten, Sander
18-10-2018, 11:55 door Herman L.T.
Je kan mensen wel proberen te motiveren om PHP te updaten, maar dit doen ze waarschijnlijk toch niet. Niet iedereen houdt zich bezig met het technische aspect van zijn site.
18-10-2018, 17:29 door Anoniem
Door Anoniem: Maanlandertje werkt nog gewoon op een Texas Instruments SR-52. En al 40 jaar niet ge-updatet.
Het was niet letterlijk een rekenmachine die pas 9 jaar na de eerste Apollo-missie werd geïntroduceerd, het was dit:
https://en.wikipedia.org/wiki/Apollo_Guidance_Computer
20-10-2018, 16:04 door -karma4 - Bijgewerkt: 20-10-2018, 16:06
Door Herman L.T.: Je kan mensen wel proberen te motiveren om PHP te updaten, maar dit doen ze waarschijnlijk toch niet. Niet iedereen houdt zich bezig met het technische aspect van zijn site.

Ik vind dat de webhosting provider PHP moet updaten. Tijdig en proactief. Net zoals je mag verwachten dat ze het besturingssysteem op hun server, de http server (Apache, NGINX, etc.), database server, etc. tijdig en proactief updaten. Ik vind het onderdeel van het webhosting pakket.

Over zaken als een CMS dat gebruik maakt van PHP om te draaien valt te twisten. Ik vind dat je de vrijheid zou moeten hebben om dit op eigen verantwoordelijkheid te installeren en te onderhouden. Dat neemt niet weg dat het voor beginnende gebruikers zinvol zou zijn om ook dit onder beheer van de webhosting provider te brengen. Eventueel met een tussenoplossing als 'Installatron'.
21-10-2018, 20:44 door Anoniem
@The FOSS,

Met je eens. Dan zou de website hoster dit moeten doen bij de niet technisch onderlegde web admins/ amateurs.

Dus de hoster zou de Word Press CMS installatie moeten scannen op verouderde kernel software, op kwetsbare thema's en verouderde plug-ins. Ook op configuratie fouten als user enumeration aan en directory listing aan etc.

Verder een scan op af te voeren jQuery bibliotheken. Daar gaat nogal het nodige voortdurend mis.

Naast een PHP security scan, ook scannen voor security zaken, zoals die aan de orde komen bij een webhint scan of mozilla observatory security grade scan en de daarbij horende aanbevelingen. Best policy scan.

Voor de andere php-gerelateerde CMSsen zijn andere scans aanwezig, denk aam mage report voor Magento 1 & 2 webshop CMS kwetsbaarheden, zie: https://www.magereport.com/

Zulke routines kunnen website eigenaars of web admins ook zelf doen, maar als het geen dagelijkse routine is, laat iemand met relatieve kennis dat dan maar eens doen. Die kan ook een beeld geven waar de code op de site soms gevaar loopt.

Maar ja met een hoster, die zelf nog volop excessieve server info proliferatie weggeeft en die andere zaken ook niet op orde heeft, gaat jouw voorgestelde vlieger helaas niet op.

Ook bij de hosters waar men voor een dubbeltje op de eerste ranfg hoopt te zitten, daar kost het je soms je sub-domeinen, die ineens jouw subdomeinen niet meer blijken te zijn. Kijk b.v. naar afraid dot org in de gratis versie. Ook bij hosters, waar je het risico loopt geblacklist te worden vanwege malware verspreidende IP buren is het niet zo goed toeven. Dan heb je meer aan dedicated hosting, kost iets meer, maar ook een veilig gevoel in vertrouwde handen te zijn.

luntrus ( 3rd party cold reconnaissance website security analyst)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.