Een verouderde php op de server, is dat echt onveilig?
Ter info: Op moment van schrijven is de PHP 7.3 engine de nieuwste PHP versie. We spreken in dit artikel niet over de code op zich, maar spreken specifiek over de engine die de PHP uitvoert.
Diverse beveiligingsdiensten, online scanners en zelfs WordPress springen direct in op de komst van de nieuwste php release door de PHP 7.2 engine en vorige releases van de PHP engine onveilig te noemen. Maar, is dat ook zo?
Ook WordPress doet zijn deel door PHP 5.6 niet meer te ondersteunen en waarschuwingen in je dashboard te tonen.
De sitediagnose van WordPress geeft een kritische noot bij het achterlopen op PHP. Niet alleen als het gaat om een verschil van versie maar ook bij tussenliggende update’s.
Hoe serieus moeten we een verouderde PHP nemen? Wat verouderd er aan PHP?
De ondersteuning, ontwikkeling en het beveiligen van lekken is bij PHP 5.6 en 7.0 eind 2018 gestopt.
Het ontbreken van ondersteuning en het oplossen van lekken bij de oudere PHP versies is dus een serieus probleem als het gaat om de veiligheid van je website en zelfs de webserver.
Wanneer hackers een lek ontdekt hebben kunnen ze die keer-op-keer blijven gebruiken!
Hackers en met name geautomatiseerde scripts besmetten, bewerken of voorzien website na website van virussen. Het is een kwestie van tijd tot ze jouw site tegenkomen op Google en uittesten en besmetten als je website draait op de verouderde PHP engine.
Oke, verouderde PHP versies zijn dus onveilig?
Zijn er dan al problemen, hacks of lekken bekend voor de oudere PHP versies?
Tijdens onze research leek het erop dat er maar weinig lekken bekend zijn.
We zijn bekend met het feit dat een lek uitgebuit wordt door hackers en hoogstens onderling gedeeld wordt dus veel lekken zullen niet publiekelijk bekend zijn..
Maar we vonden een website die zwakheden, lekken en problemen van PHP versies registreert.
Dat zijn er niet 2 of 20…
Deze website toont een GROOT AANTAL zwakheden, problemen en lekken – op moment van schrijven zijn er 600+ geregisteerd en dat aantal zal alleen maar groeien door het gebrek aan ondersteuning voor de oude PHP versies!
Het updaten naar de nieuwste PHP versie is geen luxe maar een belangrijke sleutel om je website en de server veilig te houden.
Extra informatie
De rol van je webhoster bij de update naar de nieuwste PHP release
Je webhost is verantwoordelijk voor de huidige PHP, echter is niet elke hoster even vlot met het updaten van de server naar de nieuwere PHP versies. Kortom, soms zul je erom moeten vragen.
Let wel op: wanneer je een unmanaged server hebt.. ben jij of je serverbeheerder verantwoordelijk voor het update van de php engine.
Jouw rol bij het updaten naar de nieuwste PHP release
Als je website verouderde plugins, of thema’s bevat loop je het risico dat de website niet meer werkt na de PHP update.
Hoe vaak komt dat voor? Onze ervaring is dat 1-3 op de 100 sites niet meer werkt na een PHP update. (wij of onze klanten ervaren die problemen overigens niet, want die zijn behoorlijk up-to-date)
Wat te doen als je WordPress website niet meer werkt na de update van PHP
De oplossing om je website weer werkend te maken is simpel als je gewend bent om met ftp software te werken. Je moet je WordPress en plugins namelijk handmatig updaten. Nieuwe updates zijn vaak wel klaar voor de nieuwere PHP versies.
Waarom handmatig via de ftp software?
Omdat je website niet meer werkt, kun je dat niet via het admin doen 😉
Wat je dus moet doen is WordPress of je plugins handmatig vervangen via de FTP/direct op de server. (Maak eerst een backup)
Ps: hernoem de oude plugin, zet er een – voor en upload dan de nieuwe plugin. Bij een WordPress core, zet die even in een andere map en upload de nieuwste WordPress release.
Klinkt eenvoudig. Via ftp plugins opdaten. Klopt het dat dan eerst de zipfile van de plugin moet worden gedownload, uitgepakt moet worden en dan naar de plugin map gekopiëerd moet worden?
Dat is een methode inderdaad.
Gelukkig heeft WordPress een gemakkelijker manier, je kunt in je admin naar > plugins > nieuwe plugin en dan zie je linksbovenaan de pagina naast “plugin toevoegen” een knop: Plugin uploaden.
Daar kun je een bestand kiezen van je computer, dat moet een zip of rar bestand zijn.
Kortom, je hoeft die niet uit te pakken maar kunt ze gewoon daar uploaden en dan activeren.
Ja, ik weet de makkelijke methode. Maar als je website niet meer te benaderen is.
Kan het ook gebeuren dat je website niet meer werkt na een update van WordPress. En ook zodanig dat je niet meer kan inloggen?
Dat komt geregeld voor. Daarom updaten wij meestal handmatig, zelf en niet geautomatiseerd zodat we kunnen kijken of alles goed gegaan is.
De truc wanneer dat gebeurd is vaak om WordPress er via de ftp opnieuw goed op te zetten. In sommige gevallen gaat het verkeerd tussen de plugins en de nieuwe WordPress versie. Het updaten van plugins is daarom belangrijk.
Wat ik zo raar vind, dat steeds alles php, plugins, thema’s en WordPress steeds maar geupdate moeten worden. het lijkt wel het verdienmodel van de programmeurs. Waarom kunnen dit soort dingen niet gelijk veilig worden geprogrammerd?
De programmeurs leveren het liefst een plugin of thema af die ze niet moeten onderhouden. Dat scheelt ze veel tijd.
De updates zijn de eerste 12 maanden inbegrepen in de aankoopprijs, en ze moeten er nog veel aan doen om al die updates te programmeren.
Het internet wisselt zo snel van eisen dat ze hun plugin continu moeten aanpassen. Aan de nieuwe PHP versie, aan een certificaatvereiste, aan de WordPress hooks en filters.
Na een jaar vragen ze inderdaad om een verlenging van de licentie, en daar kunnen ze bij voldoende verkoop wel aan verdienen maar ik kan me voorstellen dat ze liever een plugin bouwen om daarna gewoon te profiteren.
Ik denk dat het een verdienmodel kan zijn, maar dat veel programmeurs van de plugins of thema’s liever geen updates doen.
Dat zie je bij sommige pluginbouwers, die updaten niet en dan werkt zo’n plugin niet meer na een tijdje.
Mijn hoster update zelf niet de PHP versie. Ook krijg ik geen bericht als er een update is. In DirectAdmin kan ik wel een nieuwe versie kiezen. Zelf meegemaakt dat nadat ik een nieuwere versie had gekozen, niet alles goed meer werkte. Op internet gezocht. Er moest nog een extra module aangevinkt worden. Het zou wel zo fijn zijn dat in ieder geval de hoster wat meer informatie hierover zou verstrekken bijvoorbeeld via email.
Inderdaad het zou soms best handig zijn als een webhost een php upgrade zou vermelden, maar vermoedelijk komen er dan zoveel vragen dat ze extra personeel moeten aannemen 😉
Het is ook nogal technisch, de wisseling van PHP en de mogelijke gevolgen daarvan. Die gevolgen zijn door alle WordPress plugins zo onberekenbaar.
In veel gevallen heeft een PHP upgrade geen negatieve gevolgen voor je website, dat is als WordPress en de plugins up-to-date zijn. De pluginbouwers en WordPress zelf houden dat meestal bij, en php is in theorie backwards-compatible wat betekent dat die ook de functies van vorige php versies blijft verwerken.
In 95/100 gevallen zal het goed gaan en merk je niets van een php/server update, 100x melden dat iets ge-update is kost de hoster en de web eigenaren dan meer stress.