Aggiornare PHP Giacomo Lanzi

Aggiornare php: perche’ e come fare

Tempo di lettura: 5 min

PHP e’ uno dei linguaggi di scripting piu’ popolari oggi sul web. Secondo W3Techs, il PHP e’ utilizzato da oltre l’82% di tutti i siti web che utilizzano un linguaggio di programmazione lato server. Cio’ significa che 8 siti su 10 utilizzano PHP in una forma o nell’altra. Essendo un linguaggio di scripting, e’ fondamentale aggiornare PHP all’ultima versione disponibile, a meno di esigenze particolari.

Oggi cerchiamo di capire l’importanza di aggiornare alle ultime versioni PHP, non solo per motivi di sicurezza, ma anche per migliorare le prestazioni e il supporto. Verra’ anche mostrato il procedimento preciso tramite un semplice how-to.

Quando aggiornare PHP?

Come per ogni software, PHP ha un ciclo di vita a cui deve attenersi per continuare ad apportare miglioramenti e avanzare nello sviluppo. Ogni rilascio principale di PHP e’ in genere pienamente supportata per due anni. Durante questo periodo, i bug e i problemi di sicurezza vengono risolti e corretti regolarmente. e’ garantito un terzo anno di supporto, solo per quello che riguarda la sicurezza del linguaggio e non delle prestazioni.

Versioni PHP supportate

Ad oggi (estate 2020), chiunque esegua una versione di PHP 7.1 o inferiore non usufruisce piu’ del supporto di sicurezza ed e’ esposto a vulnerabilita’ che non verranno risolte. Secondo la pagina ufficiale di WordPress Stats, al momento di scrivere questo articolo, oltre il 41% degli utenti WordPress utilizza ancora su PHP 7.1 o inferiore. Questo non e’ solo un problema dal punto di vista della sicurezza, ma e’ anche un ostacolo perche’ si sono ancora molti siti che non sfruttano ulteriori miglioramenti delle prestazioni introdotte con PHP 7.2 e successive.

Purtroppo, non tutti sono informati del pericolo e poiche’ aggiornare PHP e’ un’operazione che va fatta sul server e non dal sito stesso, una buona fetta degli utenti non sa nemmeno come procedere.

Versioni php supportateCome e’ visibile da questa immagine, le versioni attualmente supportate di PHP sono 3: la 7.2, il cui supporto di sicurezza terminera’ il 30 novembre 2020; la 7.3, supportata fino a dicembre 2021 e la 7.4 supportata fino al novembre 2022. Attenzione: negli ultimi 12 mesi di vita della versione, l’unico supporto garantito e’ quello di sicurezza.

Lentezza degli aggiornamenti

Molti sono i fattori che potrebbero influire una lenta adozione di versioni recenti del linguaggio, di seguito ne vediamo alcuni:

1. I proprietari dei siti, non essendo tecnici, non conoscono il linguaggio e non sanno di dover aggiornare PHP al fine di avere un sito sicuro e al passo coi tempi.
2. Chi utilizza temi o plugin personalizzati sul proprio sito, vuole essere sicuro che le nuove versioni PHP non abbiano problemi di retrocompatibilita’. Questi sviluppatori aspettano che vengano rilasciate le nuove linee guida per le versioni piu’ recenti, e solo dopo aver controllato i loro plugin e temi, adottano pienamente la nuova versione.
3. Alcuni host hanno paura ad aggiornare il linguaggio sul server perche’ potrebbe portare a un’ondata di ticket di supporto. Sempre di piu’, per fortuna, i provider mettono a disposizione la scelta della versione all’utente finale, come vedremo tra poco.

Onestamente, non capisco tutta questa paura nell’aggiornare PHP e tenere i propri sistemi ben funzionanti e al sicuro. Ritengo l’attesa abbastanza inutile e rischiosa.

Come aggiornare PHP sul pannello hosting di SOD

Per prima cosa, accedere al proprio pannello di controllo e dalla dashboard principale, scorrere in basso fino alla sezione del sito interessato. In fondo, cliccare sul tasto “Show More” per visualizzare le opzioni relative a all’hosting.

Aggiornare php - passo 1

Tra le opzioni, cercare quella chiamata “PHP Settings”. Da notare che gia’ a fianco del nome e’ presente, tra parentesi, la versione in uso in quel momento dal server. Cliccare sull’opzione per approdare nella pagina delle impostazioni PHP.

All’interno della sezione PHP, e’ possibile, tramite un menu’ a tendina, modificare la versione in uso. Le versioni che non sono piu’ aggiornate, sono segnate come “outdated”, ma comunque selezionabili.

Nella pagina, oltre alla versione attiva sul server, e’ possibile modificare molte altre opzioni PHP relative alle performance e alla sicurezza. Per esempio il limite della memoria dedicata, il tempo massimo di esecuzione degli script, la posizione delle cartelle di scripting e cosi’ via. 

Sono tutte funzionalita’ di cui l’utente medio non ha bisogno quotidianamente, ma il fatto che sia disponibile un controllo cosi’ approfondito delle opzioni PHP e’ un punto a favore per la duttilita’ del pannello di controllo e del servizio.

Assicuratevi che il vostro host utilizzi le ultime versioni di PHP

Come abbiamo visto, l’aggiornamento PHP alla versione supportata e’ un’operazione semplice da eseguire tramite l’apposito pannello del piano di hosting.

Qualche anno fa, un ottimo articolo intitolato “Whipping Your Host Into Shape” di Joost de Valk, entrava nel dettaglio di come il vero problema sia che i provider non adottano piu’ velocemente le versioni recenti e, anche se lo fanno, non incoraggiano gli utenti ad aggiornarsi. Sono passati anni da quell’articolo e mi auguro che il trend vada migliorando, e che sempre di piu’ si pensi alla sicurezza dei propri portali anche attraverso l’aggiornamento dell’infrastruttura che li ospita.

Tramite il pannello di controllo dei piani hosting di SOD, tenere aggiornato e sicuro il servizio e’ semplice, e aggiornare PHP e’ solo un esempio delle potenzialita’ del pannello stesso. Verifica tu stesso accedendo a una demo del servizio.

Link utili:

Gestire WordPress dal pannello hosting

Hosting online per siti web

Server hosting per sito web di SOD

Plesk CloudFlare estensione gratuita per gli utenti Webhosting 

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Win32.MarsStealer Web Panel / Unauthenticated Remote Data Deletion Gennaio 16, 2022
    Posted by malvuln on Jan 16Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/8abb41f6e7010d70c90f65fd9a740faa_C.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Win32.MarsStealer Web Panel Vulnerability: Unauthenticated Remote Data Deletion Description: The Mars-Stealer web interface has a "Grab Rules" component area that lets a user specify which type of files to collect from […]
  • Win32.MarsStealer Web Panel / Unauthenticated Remote Persistent XSS Gennaio 16, 2022
    Posted by malvuln on Jan 16Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/8abb41f6e7010d70c90f65fd9a740faa_B.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Win32.MarsStealer Web Panel Vulnerability: Unauthenticated Remote Persistent XSS Description: The Mars-Stealer web interface has a "Marker Rules" component area. Third-party attackers who can reach the Mars-Stealer server can send HTTP...
  • Win32.MarsStealer Web Panel / Unauthenticated Remote Information Disclosure Gennaio 16, 2022
    Posted by malvuln on Jan 16Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/8abb41f6e7010d70c90f65fd9a740faa.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Win32.MarsStealer Web Panel Vulnerability: Unauthenticated Remote Information Disclosure Description: The malware web interface stores screen captures named "screenshot.jpg" in the panel directory, ZIP archived. Third-party attackers who...
  • Ab Stealer Web Panel / Unauthenticated Remote Persistent XSS Gennaio 16, 2022
    Posted by malvuln on Jan 16Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/9e44c10307aa8194753896ecf8102167.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Ab Stealer Web Panel Vulnerability: Unauthenticated Remote Persistent XSS Description: The "Ab Stealer" web Panel By KingDomSc for "AbBuild v.1.0.exe" is used to browse victim information "Get All Victims Passwords, With...
  • SEC Consult SA-20220113-0 :: Cleartext Storage of Phone Password in Cisco IP Phones Gennaio 14, 2022
    Posted by SEC Consult Vulnerability Lab, Research on Jan 14SEC Consult Vulnerability Lab Security Advisory < 20220113-0 > ======================================================================= title: Cleartext Storage of Phone Password product: Cisco IP Phone Series 78x1, 88x5, 88x1, 7832, 8832, 8821 and 3905 vulnerable version: Firmware
  • 🐞 Call for Papers for Hardwear.io USA 2022 is OPEN! Gennaio 14, 2022
    Posted by Andrea Simonca on Jan 14Hello, We are happy to announce that the CFP for Hardwear.io USA 2022 is OPEN! If you have a groundbreaking embedded research or an awesome open-source tool you’d like to showcase before the global hardware security community, this is your chance. Send in your ideas on various hardware subjects, […]
  • APPLE-SA-2022-01-12-1 iOS 15.2.1 and iPadOS 15.2.1 Gennaio 12, 2022
    Posted by Apple Product Security via Fulldisclosure on Jan 12APPLE-SA-2022-01-12-1 iOS 15.2.1 and iPadOS 15.2.1 iOS 15.2.1 and iPadOS 15.2.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213043. HomeKit Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, […]
  • Reprise License Manager 14.2 - Reflected Cross-Site Scripting Gennaio 12, 2022
    Posted by Gionathan Reale via Fulldisclosure on Jan 12# Product:  RLM 14.2 # Vendor:   Reprise Software # CVE ID:   CVE-2021-45422 # Vulnerability Title: Reflected Cross-Site Scripting # Severity: Medium # Author(s): Giulia Melotti Garibaldi # Date:     2022-01-11 # ############################################################# Introduction: An issue was discovered in Reprise License Manager 14.2, Reprise License Manager 14.2 is affected […]
  • [RT-SA-2021-009] Credential Disclosure in Web Interface of Crestron Device Gennaio 12, 2022
    Posted by RedTeam Pentesting GmbH on Jan 12Advisory: Credential Disclosure in Web Interface of Crestron Device When the administrative web interface of the Crestron HDMI switcher is accessed unauthenticated, user credentials are disclosed which are valid to authenticate to the web interface. Details ======= Product: Crestron HD-MD4X2-4K-E Affected Versions: 1.0.0.2159 Fixed Versions: - Vulnerability Type: […]
  • Backdoor.Win32.Controlit.10 / Unauthenticated Remote Command Execution Gennaio 11, 2022
    Posted by malvuln on Jan 11Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/859aab793a42868343346163bd42f485.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Controlit.10 Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP port 3347. Third-party attackers who can reach an infected system can run any OS commands made available by the […]

Customers

Newsletter