Populaire CMS’en nemen nog altijd genoegen met oude PHP-versies
Van de drie grootste contentmanagementsystemen, te weten WordPress, Joomla en Drupal, motiveert alleen Drupal haar gebruikers over te stappen op de nieuwste versie van PHP. Deze situatie levert na 1 januari 2019 mogelijk de nodige beveiligingsproblemen op.
Drupal heeft aangekondigd dat het vanaf 6 maart 2019 alleen nog draait op computers waarop PHP 7.0 of hoger wordt gebruikt. Momenteel werkt Drupal ook nog met PHP 5.5.9. Joomla vereist minimaal PHP 5.3 en WordPress neemt momenteel ook nog genoegen met PHP 5.2.4.
Met ingang van 1 januari 2019 vervalt de ondersteuning van PHP 5.6 en oudere versies, wat betekent dat eventuele nieuwe kwetsbaarheden niet meer worden gedicht.
Volgens berekeningen van W3Techs maakt bijna 79% van alle internetsites gebruik van PHP. Ongeveer zes op de tien sites gebruiken een verouderde PHP-versie,wat betekent dat vanaf volgend jaar ongeveer 62 procent van alle internetsites geen beveiligingsupdates meer ontvangt waardoor honderden miljoenen websites, zo niet meer, aan serieuze beveiligingsrisico's worden blootgesteld, aldus ZDnet.
De aanhoudende populariteit van PHP-versie 5.6 was vorig jaar al aanleiding om de ondersteuning te verlengen tot en met 31 december 2018.
Je kan ook een aanvulling op het artikel geven als je meer denkt te weten. Dat negatieve oordeel erbij over de schrijver van het stuk is onnodig en misplaatst. En nee, ik heb geen connecties met de schrijver van het stuk.
Hoe is deze conclusie tot stand gekomen? Welk onderzoek is er verricht om tot deze conclusie te komen?
Als ik Joomla download en installeer op een "oude PHP-versie" krijg ik direct na inloggen in het controlepaneel een grote duidelijke melding:
"Uw PHP versie, 7.0.30, krijgt op dit moment alleen beveiligingsfixes vanuit het PHP-project. Dit betekent dat uw PHP-versie spoedig niet meer zal worden ondersteund. Het is raadzaam om de upgraden naar een nieuwere versie van PHP te plannen voor het einde van de ondersteuning op 2018-09-03. Joomla zal sneller en veiliger zijn als u een upgrade naar een nieuwere versie van PHP uitvoert (PHP 7.x wordt aanbevolen). Neem contact op met uw hoster voor upgrade-instructies."
Nu is deze melding al vervroegd zichtbaar vanwege een bug met de datum, maar er wordt dus wel degelijk actief opgeroepen om de PHP versie te upgraden.
Groeten, Sander
https://en.wikipedia.org/wiki/Apollo_Guidance_Computer
Ik vind dat de webhosting provider PHP moet updaten. Tijdig en proactief. Net zoals je mag verwachten dat ze het besturingssysteem op hun server, de http server (Apache, NGINX, etc.), database server, etc. tijdig en proactief updaten. Ik vind het onderdeel van het webhosting pakket.
Over zaken als een CMS dat gebruik maakt van PHP om te draaien valt te twisten. Ik vind dat je de vrijheid zou moeten hebben om dit op eigen verantwoordelijkheid te installeren en te onderhouden. Dat neemt niet weg dat het voor beginnende gebruikers zinvol zou zijn om ook dit onder beheer van de webhosting provider te brengen. Eventueel met een tussenoplossing als 'Installatron'.
Met je eens. Dan zou de website hoster dit moeten doen bij de niet technisch onderlegde web admins/ amateurs.
Dus de hoster zou de Word Press CMS installatie moeten scannen op verouderde kernel software, op kwetsbare thema's en verouderde plug-ins. Ook op configuratie fouten als user enumeration aan en directory listing aan etc.
Verder een scan op af te voeren jQuery bibliotheken. Daar gaat nogal het nodige voortdurend mis.
Naast een PHP security scan, ook scannen voor security zaken, zoals die aan de orde komen bij een webhint scan of mozilla observatory security grade scan en de daarbij horende aanbevelingen. Best policy scan.
Voor de andere php-gerelateerde CMSsen zijn andere scans aanwezig, denk aam mage report voor Magento 1 & 2 webshop CMS kwetsbaarheden, zie: https://www.magereport.com/
Zulke routines kunnen website eigenaars of web admins ook zelf doen, maar als het geen dagelijkse routine is, laat iemand met relatieve kennis dat dan maar eens doen. Die kan ook een beeld geven waar de code op de site soms gevaar loopt.
Maar ja met een hoster, die zelf nog volop excessieve server info proliferatie weggeeft en die andere zaken ook niet op orde heeft, gaat jouw voorgestelde vlieger helaas niet op.
Ook bij de hosters waar men voor een dubbeltje op de eerste ranfg hoopt te zitten, daar kost het je soms je sub-domeinen, die ineens jouw subdomeinen niet meer blijken te zijn. Kijk b.v. naar afraid dot org in de gratis versie. Ook bij hosters, waar je het risico loopt geblacklist te worden vanwege malware verspreidende IP buren is het niet zo goed toeven. Dan heb je meer aan dedicated hosting, kost iets meer, maar ook een veilig gevoel in vertrouwde handen te zijn.
luntrus ( 3rd party cold reconnaissance website security analyst)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.