abonneren

PHP 5 wordt over 2 maanden kwetsbaar

PHP is de meest populaire scripttaal voor websites. Het heeft alleen niet het eeuwige leven. PHP 5 zal over een paar maanden geen beveiligingsupdates meer ontvangen. Klinkt misschien ver van je bed, maar veel bekende websites als WordPress, Drupal en Joomla werken op deze taal.

Als iemand bijvoorbeeld een WordPress-website bezoekt, dan stuur je website media naar die bezoeker. De server “serveert” de PHP-code in WordPress en de thema’s en plugins van je website. Bijvoorbeeld het bestand sidebar.php (die je als beheerder van de website kunt zien) laat zien hoe je zij-menu eruitziet en functioneert. Zo heb je nog een hele rij .php-bestanden, want dat is waar WordPress op draait Bij HTML zie je als bezoeker de code van de website, omdat dat niet server-gebaseerd is. PHP is dat wel, dus bezoekers zien niet de PHP-code die je WordPress-site mogelijk maakt..

PHP End Of Life-beleid

Het beleid van PHP is dat voor elke variant van PHP geldt dat er twee jaar na de releasedatum nog volledige ondersteuning is. Dan volgt er nog een jaartje uitloop, waarbij alleen grote veiligheidsproblemen worden opgelost. Na drie jaar is het uiteindelijk klaar.

De laatst PHP 5-versie die op dit moment nog wordt ondersteunt is PHP 5.6. Deze is verschenen in 2014 en had officieel dus al ‘end of life’ (EOL) moeten zijn. Omdat dit echter de meest recente versie is van PHP 5, hebben de ontwikkelaars de veiligheidsupdates een jaar gelengd tot eind 2018. Die ondersteuning stopt op 1 januari 2019. Dat maakt websites die deze programmeertaal gebruiken vatbaar voor aanvallen. Als er een beveiligingslek wordt gevonden, is er immers niemand meer om het te dichten. Zorg er dus op tijd voor dat je checkt waar jouw site op runt en hoe je een nieuwe versie van PHP gebruikt.

PHP 5.6 is binnenkort helemaal aan het einde van zijn bestaan, waardoor een upgrade naar een variant van PHP 7 geen overbodige luxe is. De eerste versie van PHP 7 stamt uit 2015 en is inmiddels al zo’n 3 jaar uit. De meest recente versie, PHP 7.2, kwam uit op 30 november 2017 en wordt de komende jaren dus nog ondersteunt. Het verschil tussen 5 en 7 is groot, want in 7 worden requests veel sneller verwerkt en wordt er de helft minder geheugen gebruikt bij het uitvoeren van scripts. Hierdoor is deze nieuwe PHP-variant veel toekomstbestendiger. En veel Google-vriendelijker: Google acht de snelheid van een website als een belangrijke factor om te ranken.

Oke, geen ondersteuning meer, reden voor paniek? Dat hoeft niet per se. Op de meeste weblogsoftwarepakketten zijn genoeg artikelen te vinden die je uitleggen hoe je je PHP upgrade voor je website - als je het zelf al niet doet via SSH-commands. Het kan soms ook via een speciale plugin, maar je zou zelfs in je hostingpakket de PHP-instellingen kunnen zien en daar simpelweg een nieuwe versie van PHP selecteren. Het hangt erg van je hosting en je weblog-website af wat precies de manier is om je PHP te upgraden.

Widgets die niet meer werken

Wees wel gewaarschuwd, sommige widgets werken niet meer als je upgradet, dus maak voor je deze toch best rigoureuze upgrade uitvoert wel een backup. Ook foutmeldingen zijn erg anders in de nieuwere varianten: ze komen minder vaak voor of zijn verborgen. Dat is voor je bezoekers heel fijn, maar het kan voor jou als beheerder toch goed zijn om te weten dat er iets niet goed gaat. Bezoek zo veel mogelijk verschillende pagina’s na het upgraden, om te kijken of je geen witte pagina’s ziet. Hier kun je ook een widget voor gebruiken; WP Engine is een WordPress-plugin die alle sitemeldingen van verschillende pagina’s in kaart brengt.

De laatst PHP 5-versie die op dit moment nog wordt ondersteunt is PHP 5.6. Omdat dit de meest recente versie is van PHP 5, hebben de ontwikkelaars de veiligheidsupdates een jaar gelengd tot eind 2018. Die ondersteuning stopt op 1 januari 2019. Zorg er dus op tijd voor dat je checkt waar jouw site op runt en hoe je een nieuwe versie van PHP gebruikt. Inmiddels zijn er 7.1 en 7.2 om naar te upgraden, maar 7.3 wordt begin december ook alweer verwacht.

En PHP 6 dan?

Voor veel gebruikers is de stap van PHP 5 naar PHP 7 makkelijk gemaakt, maar hoe zit het met PHP 6? Leuk weetje: PHP 6 zou gebruikmaken van Unicode, maar is uiteindelijk door grote problemen nooit verschenen. Vandaar dat PHP 5 in de praktijk direct werd opgevolgd door PHP 7.

Geschreven door: Laura Kempenaar op

Category: Nieuws, Hosting, Internet, Webdevelopment

Tags: Php, Wordpress, php 5, php 7, code, website, Hosting