Év végén megszűnik a PHP 5.x verziófrissítése, amely hasonló helyzetet eredményezhet majd, mint anno a Windows XP támogatásának megszűnése. A Windows XP-t számos gépre telepítették világszerte, így nagy fejfájást okozott a további biztonságos használata például a bankautomaták esetében.



Kiket érinthet a PHP 5.x kivezetése?

A világ weblapjainak 62% használja a PHP 5 valamelyik verzióját, így nekik mindenképpen megoldást kell találniuk arra, hogy PHP 7-re álljanak át.

  • PHP 5.6                 41.5%
  • PHP 5.4                 20.0%
  • PHP 5.3                 17.2%
  • PHP 5.5                 14.2%
  • PHP 5.2                 6.7%
  • PHP 5.1                 0.4%
  • PHP 5.0                 kevesebb, mint 0.1%

Ezek között a weblapok között található a világ legnépszerűbb CMS rendszerét – WordPress – használók csoportja is, hiszen egy WP oldal üzemeltetésének egyik alappillére a megfelelő PHP verzió használata.

A WordPress optimális üzemeltetéséhez kiadott ajánlás:

  • PHP 7.2 vagy frissebb kiadás
  • MySQL 5.6 vagy frissebb kiadás VAGY MariaDB 10.0 vagy frissebb kiadás
  • HTTPS támogatás

Miért probléma, ha egy weboldal 2019-ben PHP 5-öt használ?

A válasz egyszerű: védtelenek lesznek a támogatás megszűnése után felfedezett biztonsági rések hackerek és/vagy vírusok által való támadásaival szemben.

A közhiedelem szerint a WordPress az egyik legsebezhetőbb CMS rendszer. Pont azért alakult ki ez a nézet, mert nem a megfelelő keretek között használták a WordPresst.

Mikor sebezhető egy WordPress weboldal?

  1. Nem az ajánlásoknak megfelelő tárhelyen, VPS-en vagy szerveren futtatják. pl. PHP 5.x verziót használnak lásd feljebb
  2. Nem a legfrissebb WordPress verziót használják pl. 4.5.2-es WordPress verziót használnak
  3. Nem a legfrissebb témát használják pl. AVADA 5.6.1-et használnak 5.7 helyett
  4. Nem a legfrissebb bővítményeket használják pl. WooCommerce 2.0.0-át használnak 2.2.4 helyett
  5. Nem használnak biztonságot növelő bővítményeket pl. Wordfence Securitiy plugint
  6. Nem biztonságos felhasználó, jelszó párost használnak pl. Felhasználó: admin, jelszó: 12345

Tehát nem a WordPress hibája, ha feltörik azt, hanem a felhasználóé, aki nem frissíti megfelelően a rendszerét, nem gondoskodik a biztonságról, illetve gyenge felhasználó, jelszó párost használ.

2019 januártól sokan fogják továbbra is PHP 5-öt használni, így a hackerek potenciális célpontjaivá válnak. Nem fog számítani, hogy pár látogatós weboldal vagy egy napi 100.000-es látogatottságú portálról beszélünk: bárki számíthat támadásra.

Miért használjunk PHP 7.x-et?

  1. Növeli az oldalak biztonságát
  2. Növeli a betöltődési sebességet
  3. Csökkenti a szerverterheltséget
  4. Aszinkron programozási módszerek használat
  5. Just-in-time compiler alapjait lefektették

Mi történhet, ha nem frissítünk?

  • Nem történik semmi, az oldal továbbra is 100%-osan üzemel tovább
  • Látszólag minden jónak tűnik, DE a háttérben biztonsági rések bújhatnak meg, illetve szinte észrevehetetlen hibák keletkezhetnek
  • Az oldal összeomlik
    • Hibaüzenettel: segíti a hiba forrásának megtalálását
    • Hibaüzenet nélkül: fehér képernyőt látunk, ami nem sokat segít abban, hogy megtaláljuk a hiba forrását

Kockázatmentes PHP verziófrissítés

Érdemes biztonsági mentést készíteni az oldalról (alapvetően érdemes rendszeres: heti vagy két heti mentés készíteni – ez függ az oldal típusától, illetve attól, hogy milyen gyakran frissül a tartalom) és azt feltölteni egy tesztkörnyezetbe, ahol le lehet tesztelni azt. Többnyire a karbantartott WordPress oldalak esetében papíron nem lehet fennakadás, viszont jobb felkészülni a váratlan lehetőségekre is – Murphy sosem alszik.

Ha egyedi fejlesztés is szükséges volt a teljes funkcionalitás eléréséhez, akkor kötelező a tesztkörnyezet, hiszen amíg a „gyári” fejlesztések fel vannak készítve a magasabb PHP verziókra, addig a saját kódrészleteink nem biztos.

Milyen lépéseket érdemes elvégezni?

  1. Biztonsági mentés készítése
  2. PHP verzió ellenőrzése
  3. Tesztkörnyezet kialakítása – WordPress esetén érdemes a Duplicator – WordPress Migration Plugint használni - https://hu.wordpress.org/plugins/duplicator/
  4. Frissíts minden szolgáltatás, témát, plugint a lehető legújabbra
  5. Teszteld le a funkciókat
  6. Ha minden úgy működik, ahogy az a specifikációban szerepelt, akkor éles környezetben állítható az oldal

Az átállásra mindenképpen olyan időpontot kell választani, amely nem akadályozza az üzletmenetet. Mi a késő esti, éjszakai vagy hajnali időpontokat javasoljuk, DE érdemes megnézni a statisztikákat, hogy ténylegesen mikor nem látogatják az oldalt.

FONTOS! Nem szabad az utolsó pillanatra hagyni az átállást.

Forrás:



 Wednesday, October 17, 2018



« Vissza