Een verouderde php op de server, is dat echt onveilig?

Een verouderde php op de server, is dat echt onveilig?
datum-geschreven 6 okt 2019

Ter info: Op moment van schrijven is de PHP 7.3 engine de nieuwste PHP versie. We spreken in dit artikel niet over de code op zich, maar spreken specifiek over de engine die de PHP uitvoert.

Diverse beveiligingsdiensten, online scanners en zelfs WordPress springen direct in op de komst van de nieuwste php release door de PHP 7.2 engine en vorige releases van de PHP engine onveilig te noemen. Maar, is dat ook zo?

waarschuwingsbord
Met rode letters en iconen maken diverse diensten je erop attent dat je een verouderde en mogelijk onveilige versie van PHP gebruikt.

 

Ook WordPress doet zijn deel door PHP 5.6 niet meer te ondersteunen en waarschuwingen in je dashboard te tonen.

De sitediagnose van WordPress geeft een kritische noot bij het achterlopen op PHP. Niet alleen als het gaat om een verschil van versie maar ook bij tussenliggende update’s.


Hoe serieus moeten we een verouderde PHP nemen? Wat verouderd er aan PHP?

De ondersteuning, ontwikkeling en het beveiligen van lekken is bij PHP 5.6 en 7.0 eind 2018 gestopt.

Het ontbreken van ondersteuning en het oplossen van lekken bij de oudere PHP versies is dus een serieus probleem als het gaat om de veiligheid van je website en zelfs de webserver.

Wanneer hackers een lek ontdekt hebben kunnen ze die keer-op-keer blijven gebruiken!

Hackers en met name geautomatiseerde scripts besmetten, bewerken of voorzien website na website van virussen. Het is een kwestie van tijd tot ze jouw site tegenkomen op Google en uittesten en besmetten als je website draait op de verouderde PHP engine.

Oke, verouderde PHP versies zijn dus onveilig?

Zijn er dan al problemen, hacks of lekken bekend voor de oudere PHP versies?

Tijdens onze research leek het erop dat er maar weinig lekken bekend zijn.

We zijn bekend met het feit dat een lek uitgebuit wordt door hackers en hoogstens onderling gedeeld wordt dus veel lekken zullen niet publiekelijk bekend zijn..

Maar we vonden een website die zwakheden, lekken en problemen van PHP versies registreert.
Dat zijn er niet 2 of 20…

Deze website toont een GROOT AANTAL zwakheden, problemen en lekken – op moment van schrijven zijn er 600+ geregisteerd en dat aantal zal alleen maar groeien door het gebrek aan ondersteuning voor de oude PHP versies!

Het updaten naar de nieuwste PHP versie is geen luxe maar een belangrijke sleutel om je website en de server veilig te houden.

Extra informatie


De rol van je webhoster bij de update naar de nieuwste PHP release

Je webhost is verantwoordelijk voor de huidige PHP, echter is niet elke hoster even vlot met het updaten van de server naar de nieuwere PHP versies. Kortom, soms zul je erom moeten vragen.
Let wel op: wanneer je een unmanaged server hebt.. ben jij of je serverbeheerder verantwoordelijk voor het update van de php engine.

Jouw rol bij het updaten naar de nieuwste PHP release

Als je website verouderde plugins, of thema’s bevat loop je het risico dat de website niet meer werkt na de PHP update.
Hoe vaak komt dat voor? Onze ervaring is dat 1-3 op de 100 sites niet meer werkt na een PHP update. (wij of onze klanten ervaren die problemen overigens niet, want die zijn behoorlijk up-to-date)

Wat te doen als je WordPress website niet meer werkt na de update van PHP

De oplossing om je website weer werkend te maken is simpel als je gewend bent om met ftp software te werken. Je moet je WordPress en plugins namelijk handmatig updaten. Nieuwe updates zijn vaak wel klaar voor de nieuwere PHP versies.

Waarom handmatig via de ftp software?
Omdat je website niet meer werkt, kun je dat niet via het admin doen 😉

Wat je dus moet doen is WordPress of je plugins handmatig vervangen via de FTP/direct op de server. (Maak eerst een backup)
Ps: hernoem de oude plugin, zet er een – voor en upload dan de nieuwe plugin. Bij een WordPress core, zet die even in een andere map en upload de nieuwste WordPress release.

Meer WordPress: , , ,

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
9 Reacties
Inline Feedbacks
Bekijk alle reacties
Bob

Mijn hoster update zelf niet de PHP versie. Ook krijg ik geen bericht als er een update is. In DirectAdmin kan ik wel een nieuwe versie kiezen. Zelf meegemaakt dat nadat ik een nieuwere versie had gekozen, niet alles goed meer werkte. Op internet gezocht. Er moest nog een extra module aangevinkt worden. Het zou wel zo fijn zijn dat in ieder geval de hoster wat meer informatie hierover zou verstrekken bijvoorbeeld via email.

Esther

Wat ik zo raar vind, dat steeds alles php, plugins, thema’s en WordPress steeds maar geupdate moeten worden. het lijkt wel het verdienmodel van de programmeurs. Waarom kunnen dit soort dingen niet gelijk veilig worden geprogrammerd?

Mariska

Kan het ook gebeuren dat je website niet meer werkt na een update van WordPress. En ook zodanig dat je niet meer kan inloggen?

Arkadi

Ja, ik weet de makkelijke methode. Maar als je website niet meer te benaderen is.

Arkadi

Klinkt eenvoudig. Via ftp plugins opdaten. Klopt het dat dan eerst de zipfile van de plugin moet worden gedownload, uitgepakt moet worden en dan naar de plugin map gekopiëerd moet worden?