Theo thống kê từ W3Techs, khoảng 78,9% tất cả các trang Internet hiện nay đều chạy trên PHP.
Nhưng vào ngày 31 tháng 12 năm 2018, hỗ trợ bảo mật cho PHP 5.6.x sẽ chính thức chấm dứt, đánh dấu sự kết thúc của tất cả các hỗ trợ cho bất kỳ phiên bản nào của phiên bản PHP 5.x trước đây.
Điều này có nghĩa là bắt đầu với năm sau, khoảng 62% các trang Internet vẫn đang chạy phiên bản PHP 5.x sẽ ngừng nhận các cập nhật bảo mật cho máy chủ và công nghệ cơ bản của trang web, phơi bày hàng trăm triệu trang web đến với những rủi ro nghiêm trọng.
Nếu một hacker tìm thấy lỗ hổng trong PHP sau năm mới, nhiều trang web và người dùng sẽ gặp rủi ro thực sự.
Đây là một vấn đề lớn đối với hệ sinh thái PHP. Có khả năng mọi lỗ hổng lớn có thể bị khai thác hàng loạt trong PHP 5.6 cũng sẽ ảnh hưởng đến các phiên bản PHP mới hơn.
Cộng đồng PHP đã biết thời hạn này khá lâu. Sau khi PHP 5.6 trở thành phiên bản PHP được sử dụng rộng rãi nhất vào mùa xuân năm 2017, các nhà bảo trì PHP nhận ra nó sẽ là một thảm họa nếu họ ngừng cập nhật bảo mật ngay khi PHP 5.6 trở thành phiên bản PHP phổ biến nhất, do vậy họ đã mở rộng ngày EOL tới cuối năm 2018.
Kể từ đó, đã có một số nhà phát triển và các nhà nghiên cứu bảo mật đã cảnh báo về việc “đánh bom quả bom PHP”, mặc dù không nhiều như cộng đồng infosec mong muốn.
Chưa có nỗ lực nào để mọi người chuyển sang PHP 7.x mới hơn, nhưng một số dự án hệ thống quản lý nội dung trang web (CMS), từng bước một, đã bắt đầu sửa đổi các yêu cầu tối thiểu và cảnh báo người dùng sử dụng môi trường lưu trữ hiện đại hơn .
Trong số ba nhà cung cấp lớn gồm WordPress, Joomla và Drupal, chỉ Drupal đã thực hiện bước chính thức để điều chỉnh các yêu cầu tối thiểu của nó đối với PHP 7, nhưng động thái đó sẽ đến vào tháng 3 năm 2019. Trớ trêu thay, phiên bản 7.0.x đã đạt đến EOL vào ngày 03 tháng 12 năm 2017, mà không thực sự giải quyết bất cứ điều gì, nhưng nó vẫn là một bước tiến.
Yêu cầu tối thiểu của Joomla vẫn là PHP 5.3, trong khi yêu cầu tối thiểu của WordPress vẫn là PHP 5.2. WordPress được sử dụng cho hơn một phần tư tất cả các trang web trên Internet sẽ không thay đổi quan điểm của mọi người về sự cần thiết của việc sử dụng các phiên bản PHP hiện đại nếu dự án sẽ chuyển yêu cầu PHP tối thiểu của nó sang phiên bản PHP 7.x mới hơn.
Một trong những thách thức lớn nhất khi triển khai nâng cấp phiên bản PHP lên một số lượng lớn các trang web là các yêu cầu hỗ trợ, và rõ ràng là nhiều dự án CMS và nhà cung cấp dịch vụ lưu trữ web rất kín đáo và không muốn làm như vậy.
Nhà cung cấp hosting tốt sẽ luôn triển khai người dùng mới trên các phiên bản PHP mới theo mặc định, thay vì cho phép khách hàng chọn và sẽ cập nhật các khách hàng hiện tại lên các phiên bản PHP mới chỉ khi được yêu cầu.
Nhưng trừ khi khách hàng nhận thức được rằng phiên bản PHP của họ đã hết hạn, rất ít người sẽ yêu cầu được chuyển sang phiên bản mới hơn.
Đây là nơi các thông báo của WordPress cho người dùng đang chạy các trang web trên các phiên bản PHP lỗi thời sẽ đến để giúp mọi người cập nhật máy chủ của họ hoặc yêu cầu nhà cung cấp dịch vụ lưu trữ của họ cho môi trường lưu trữ hiện đại hơn.
Dựa trên các lỗ hổng PHP trước đây, mối đe dọa chủ yếu là với các ứng dụng PHP, cho thấy những kẻ tấn công có thể sẽ tiếp tục tập trung vào các thư viện PHP và các hệ thống CMS. Vâng, đó hoàn toàn là một yếu tố nguy cơ.
.jpg "Thứ trưởng Bùi Hoàng Phương họp trực tuyến với các tỉnh, thành chỉ đạo \"nóng\" về thực hiện phân cấp, phân quyền trong lĩnh vực KH&CN")
