Den 31. december 2018 er det officielt slut med sikkerhedsopdateringer til PHP 5.6.x, skriver Zdnet.
Dermed vil de omkring 62 procent af alle internetsider, der stadig kører på en PHP 5.6.x-version, ikke længere modtage sikkerhedsopdateringer, hvilket potentielt kan gøre millioner af websites usikre.
Lykkes det en hacker at finde en sårbarhed i PHP efter nytår, vil mange websteder og dermed brugere være i fare.
»Det er et stort problem for PHP-økosystemet,« siger Scott Arciszewski, Chief Development Officer hos Paragon Initiative Enterprise, til ZDNet.
»Mange synes, at de kan 'slippe afsted' med at køre PHP 5 i 2019, men den simpleste måde at beskrive dette valg på er: ligegyldighed.«
Der har ifølge mediet ikke været en koordineret indsats for at få CMS-brugerne over på PHP 7.x, og kun Drupal har taget et officielt skridt til at tilpasse til den nye version - i marts 2019. Wordpress og Joomla lader stadig vente på dig.
Især Wordpress kritiseres for stædigt at holde fast i en PHP-version fra 2011.
»For at være helt fair: Det er sandsynligt, at enhver større mass-exploitable fejl i PHP 5.6 også vil påvirke de nyere versioner af PHP,« tilføjer Arciszewski.
Opgraderer man til PHP 7.2 får man gratis patches fra PHP-teamet, mens PHP 5.6 kun får patches, hvis du betaler for løbende support hos din OS-sælger.
Sean Murphy, direktør for Threat Intelligence hos Defiant , som står bag WordFence-sikkerhedsprogrammet til WordPress, mener, at en af de største udfordringer i forhold til at få udbredt nyere PHP-versioner er frygt blandt CMS-og webhostingudbydere for en strøm af supportanmodninger.
Men det er altså ikke et udtryk for best-practice, påpeger han.
