¿Por qué utilizar versiones anteriores de PHP hace que su sitio web vulnerable

Versiones de PHP

PHP está evolucionando rápidamente y después de más de diez años sin una actualización significativa, introdujo su versión 7.0. PHP 7 hizo su debut a finales de 2015. En los últimos años hemos sido testigos de la adopción de un esquema de proceso de lanzamiento muy definido y consistente. Ha habido un calendario regular y predecible de nuevas versiones que salen en el último trimestre del año, versiones anteriores que caen en mantenimiento, problemas críticos de seguridad y el infame título End of Life (EOL). Cada versión recibe soporte activo durante dos años. Mientras tanto, el tercer año solo recibe actualizaciones críticas relacionadas con la seguridad.

Los últimos días de cada año suelen generar mucha reflexión. Un gran problema al que nos enfrentamos hoy es que muchas empresas, organizaciones, desarrolladores y hosts no han podido mantener el ritmo cuando se trata de soportar las últimas versiones de PHP.

Versiones de PHP

Hoy pretendemos discutir por qué es tan vital que todos usen esas últimas versiones de PHP, principalmente desde un punto de vista de seguridad. A continuación, también encontrará algunas estadísticas impactantes sobre por qué es importante para usted mantener PHP actualizado.

El problema de la versión PHP

Según un reciente informe estadístico de W3Techs, aproximadamente el 79% de los sitios web actuales se ejecutan en PHP. A finales de año, programado para el 31/12/2018, el soporte de seguridad para la popular versión PHP 5.6.x se suspenderá oficialmente, marcando el final de una era, lo que también significa que todo el soporte para versiones de 5. x de PHP, es decir, el 62% de todos los sitios web que se ejecutan en esa versión de PHP habrán alcanzado su EOL.

Por lo tanto, a partir del próximo año, alrededor del 62% de todos los sitios web que todavía utilizan PHP 5.x dejarían de recibir sus actualizaciones de seguridad debido a la interrupción del soporte. Inevitablemente, esto expondrá a millones de sitios web en todo el mundo a serios riesgos cuando se trata de seguridad, lo que también conduciría a un bajo rendimiento. En consecuencia, si un pirata informático se entera de la vulnerabilidad y decide explotarla después de la víspera de Año Nuevo, muchos sitios web y usuarios estarían en riesgo.

WordPress y su estado actual

Según las estadísticas oficiales, alrededor del 36% de los usuarios de WordPress ya habían actualizado a la versión 7 de PHP y superior y solo el 6% usa PHP 7.2. Además, podemos notar fácilmente que una gran mayoría de los usuarios más del 37% continúan usando PHP 5.6. Lo que es aún más aterrador, más del 26% de todos los usuarios ejecutan versiones de PHP no compatibles. En diciembre de 2016, WordPress.org aumentó su recomendación oficial para que los usuarios pasen de la versión 5.6 a la 7 o superior. A partir del 2017, WordPress ha comenzado oficialmente a recomendar el uso de PHP 7.2. La razón de esto es porque WordPress planea continuar siendo completamente operativo con algunas versiones anteriores de PHP que han alcanzado su EOL.

¿Ejecutar una versión anterior es solo un riesgo de seguridad menor?

Quizás se pregunte: «¿Por qué no puedo seguir usando la misma versión para siempre?». Es una pregunta viable y podemos arrojar algo de luz sobre el asunto.

El uso de cualquiera de las versiones anteriores conlleva el riesgo de exponerlo a ciertas vulnerabilidades de seguridad, errores, etc., vulnerabilidades que se han corregido en las versiones más recientes de PHP. Si uno va al feed XML del National Vulnerability Database (NVD), podrá encontrar muchas vulnerabilidades de seguridad de las versiones anteriores de PHP. El feed incluye información adicional sobre los impactos y la gravedad de las actualizaciones. PHP 5, de hecho, tenía muchas vulnerabilidades que fueron reparadas con el tiempo. Si está interesado, puede consultar la biblioteca de vulnerabilidades de la versión 5.6. Teniendo todo en cuenta, si su sitio web se ejecuta en una versión anterior de PHP, algunas de las vulnerabilidades pueden estar presentes y pueden explotarse fácilmente. Estas vulnerabilidades son bien conocidas principalmente entre los cibercriminales que constantemente se dirigen a sitios web que se ejecutan en estas versiones anteriores para explotar fácilmente esos proyectos.

En gran parte, una de las principales razones por las que un sitio web en WordPress se torna inseguro, es por que esos sitios aún ejecutan versiones obsoletas de PHP. En más de la mitad de los casos, cuando una determinada versión se vuelve obsoleta, los propietarios del sitio web no pueden actualizar y, en algunos casos, ni siquiera saben que se necesita dicha actualización. Lo que urge la pregunta …

Es el cuarto trimestre de 2018, ¿sabe qué versión de PHP está utilizando su sitio?

Related Articles