Év végén megszűnik a PHP 5.x verziófrissítése, amely hasonló helyzetet eredményezhet majd, mint anno a Windows XP támogatásának megszűnése. A Windows XP-t számos gépre telepítették világszerte, így nagy fejfájást okozott a további biztonságos használata például a bankautomaták esetében.

Kiket érinthet a PHP 5.x kivezetése?
A világ weblapjainak 62% használja a PHP 5 valamelyik verzióját, így nekik mindenképpen megoldást kell találniuk arra, hogy PHP 7-re álljanak át.
- PHP 5.6 41.5%
- PHP 5.4 20.0%
- PHP 5.3 17.2%
- PHP 5.5 14.2%
- PHP 5.2 6.7%
- PHP 5.1 0.4%
- PHP 5.0 kevesebb, mint 0.1%
Ezek között a weblapok között található a világ legnépszerűbb CMS rendszerét – WordPress – használók csoportja is, hiszen egy WP oldal üzemeltetésének egyik alappillére a megfelelő PHP verzió használata.
A WordPress optimális üzemeltetéséhez kiadott ajánlás:
- PHP 7.2 vagy frissebb kiadás
- MySQL 5.6 vagy frissebb kiadás VAGY MariaDB 10.0 vagy frissebb kiadás
- HTTPS támogatás
Miért probléma, ha egy weboldal 2019-ben PHP 5-öt használ?
A válasz egyszerű: védtelenek lesznek a támogatás megszűnése után felfedezett biztonsági rések hackerek és/vagy vírusok által való támadásaival szemben.
A közhiedelem szerint a WordPress az egyik legsebezhetőbb CMS rendszer. Pont azért alakult ki ez a nézet, mert nem a megfelelő keretek között használták a WordPresst.
Mikor sebezhető egy WordPress weboldal?
- Nem az ajánlásoknak megfelelő tárhelyen, VPS-en vagy szerveren futtatják. pl. PHP 5.x verziót használnak lásd feljebb
- Nem a legfrissebb WordPress verziót használják pl. 4.5.2-es WordPress verziót használnak
- Nem a legfrissebb témát használják pl. AVADA 5.6.1-et használnak 5.7 helyett
- Nem a legfrissebb bővítményeket használják pl. WooCommerce 2.0.0-át használnak 2.2.4 helyett
- Nem használnak biztonságot növelő bővítményeket pl. Wordfence Securitiy plugint
- Nem biztonságos felhasználó, jelszó párost használnak pl. Felhasználó: admin, jelszó: 12345
Tehát nem a WordPress hibája, ha feltörik azt, hanem a felhasználóé, aki nem frissíti megfelelően a rendszerét, nem gondoskodik a biztonságról, illetve gyenge felhasználó, jelszó párost használ.
2019 januártól sokan fogják továbbra is PHP 5-öt használni, így a hackerek potenciális célpontjaivá válnak. Nem fog számítani, hogy pár látogatós weboldal vagy egy napi 100.000-es látogatottságú portálról beszélünk: bárki számíthat támadásra.
Miért használjunk PHP 7.x-et?
- Növeli az oldalak biztonságát
- Növeli a betöltődési sebességet
- Csökkenti a szerverterheltséget
- Aszinkron programozási módszerek használat
- Just-in-time compiler alapjait lefektették
Mi történhet, ha nem frissítünk?
- Nem történik semmi, az oldal továbbra is 100%-osan üzemel tovább
- Látszólag minden jónak tűnik, DE a háttérben biztonsági rések bújhatnak meg, illetve szinte észrevehetetlen hibák keletkezhetnek
- Az oldal összeomlik
- Hibaüzenettel: segíti a hiba forrásának megtalálását
- Hibaüzenet nélkül: fehér képernyőt látunk, ami nem sokat segít abban, hogy megtaláljuk a hiba forrását
Kockázatmentes PHP verziófrissítés
Érdemes biztonsági mentést készíteni az oldalról (alapvetően érdemes rendszeres: heti vagy két heti mentés készíteni – ez függ az oldal típusától, illetve attól, hogy milyen gyakran frissül a tartalom) és azt feltölteni egy tesztkörnyezetbe, ahol le lehet tesztelni azt. Többnyire a karbantartott WordPress oldalak esetében papíron nem lehet fennakadás, viszont jobb felkészülni a váratlan lehetőségekre is – Murphy sosem alszik.
Ha egyedi fejlesztés is szükséges volt a teljes funkcionalitás eléréséhez, akkor kötelező a tesztkörnyezet, hiszen amíg a „gyári” fejlesztések fel vannak készítve a magasabb PHP verziókra, addig a saját kódrészleteink nem biztos.
Milyen lépéseket érdemes elvégezni?
- Biztonsági mentés készítése
- PHP verzió ellenőrzése
- Tesztkörnyezet kialakítása – WordPress esetén érdemes a Duplicator – WordPress Migration Plugint használni - https://hu.wordpress.org/plugins/duplicator/
- Frissíts minden szolgáltatás, témát, plugint a lehető legújabbra
- Teszteld le a funkciókat
- Ha minden úgy működik, ahogy az a specifikációban szerepelt, akkor éles környezetben állítható az oldal
Az átállásra mindenképpen olyan időpontot kell választani, amely nem akadályozza az üzletmenetet. Mi a késő esti, éjszakai vagy hajnali időpontokat javasoljuk, DE érdemes megnézni a statisztikákat, hogy ténylegesen mikor nem látogatják az oldalt.
FONTOS! Nem szabad az utolsó pillanatra hagyni az átállást.
Forrás: