PHP 5版年底终止安全更新 6成网站恐面临风险

根据PHP官网列出的支持版本及时程表 (下)，PHP 5.6是在2014年推出，主要支持已在2017年1月19日截止，而安全支持也将在2018年12月31日终止。也就是二个半月后，使用PHP 5.6以前版本的网站都将不会再获得安全漏洞或功能臭虫的更新，除非用户付费使用作业系统厂商的更新服务。如果黑客发现并开采了PHP旧版本的漏洞，数百万网站及用户可能立即曝险。

被某些人描述为PHP定时炸弹的大限中，较新的PHP 7.0更将在今年12月1日EOL(end of lifecycle)，不再提供安全支持云主机域名，连7.1版也将在12月1日终止主要支持，一年后结束安全支持。

目前三大网站内容管理系统(CMS)专案中，只有Drupal宣布从明年3月6日起，Drupal支持网页最低要使用PHP 7，建议采用7.1版。

Joomla建议为5.6或7版以上，支持下限为5.3.10。Wordpress则建议 PHP 7.2版以上，最云主机域名低为5.2.4版。

ZDNet报导引述WordPress安全元件WordFence研发主管Sean Murphy指出，PHP漏洞攻击者主要目标不是在PHP本身，而是在PHP函式库及CMS系统，但是其他安全专家相信，等大限到来，黑客会更积极在PHP 5.6以前版本中找出漏洞。