Giacomo Lanzi
Aggiornare php: perche’ e come fare
Tempo di lettura: 5 min
PHP e’ uno dei linguaggi di scripting piu’ popolari oggi sul web. Secondo W3Techs, il PHP e’ utilizzato da oltre l’82% di tutti i siti web che utilizzano un linguaggio di programmazione lato server. Cio’ significa che 8 siti su 10 utilizzano PHP in una forma o nell’altra. Essendo un linguaggio di scripting, e’ fondamentale aggiornare PHP all’ultima versione disponibile, a meno di esigenze particolari.
Oggi cerchiamo di capire l’importanza di aggiornare alle ultime versioni PHP, non solo per motivi di sicurezza, ma anche per migliorare le prestazioni e il supporto. Verra’ anche mostrato il procedimento preciso tramite un semplice how-to.
Quando aggiornare PHP?
Come per ogni software, PHP ha un ciclo di vita a cui deve attenersi per continuare ad apportare miglioramenti e avanzare nello sviluppo. Ogni rilascio principale di PHP e’ in genere pienamente supportata per due anni. Durante questo periodo, i bug e i problemi di sicurezza vengono risolti e corretti regolarmente. e’ garantito un terzo anno di supporto, solo per quello che riguarda la sicurezza del linguaggio e non delle prestazioni.
Versioni PHP supportate
Ad oggi (estate 2020), chiunque esegua una versione di PHP 7.1 o inferiore non usufruisce piu’ del supporto di sicurezza ed e’ esposto a vulnerabilita’ che non verranno risolte. Secondo la pagina ufficiale di WordPress Stats, al momento di scrivere questo articolo, oltre il 41% degli utenti WordPress utilizza ancora su PHP 7.1 o inferiore. Questo non e’ solo un problema dal punto di vista della sicurezza, ma e’ anche un ostacolo perche’ si sono ancora molti siti che non sfruttano ulteriori miglioramenti delle prestazioni introdotte con PHP 7.2 e successive.
Purtroppo, non tutti sono informati del pericolo e poiche’ aggiornare PHP e’ un’operazione che va fatta sul server e non dal sito stesso, una buona fetta degli utenti non sa nemmeno come procedere.
Come e’ visibile da questa immagine, le versioni attualmente supportate di PHP sono 3: la 7.2, il cui supporto di sicurezza terminera’ il 30 novembre 2020; la 7.3, supportata fino a dicembre 2021 e la 7.4 supportata fino al novembre 2022. Attenzione: negli ultimi 12 mesi di vita della versione, l’unico supporto garantito e’ quello di sicurezza.
Lentezza degli aggiornamenti
Molti sono i fattori che potrebbero influire una lenta adozione di versioni recenti del linguaggio, di seguito ne vediamo alcuni:
- 1. I proprietari dei siti, non essendo tecnici, non conoscono il linguaggio e non sanno di dover aggiornare PHP al fine di avere un sito sicuro e al passo coi tempi.
- 2. Chi utilizza temi o plugin personalizzati sul proprio sito, vuole essere sicuro che le nuove versioni PHP non abbiano problemi di retrocompatibilita’. Questi sviluppatori aspettano che vengano rilasciate le nuove linee guida per le versioni piu’ recenti, e solo dopo aver controllato i loro plugin e temi, adottano pienamente la nuova versione.
- 3. Alcuni host hanno paura ad aggiornare il linguaggio sul server perche’ potrebbe portare a un’ondata di ticket di supporto. Sempre di piu’, per fortuna, i provider mettono a disposizione la scelta della versione all’utente finale, come vedremo tra poco.
Onestamente, non capisco tutta questa paura nell’aggiornare PHP e tenere i propri sistemi ben funzionanti e al sicuro. Ritengo l’attesa abbastanza inutile e rischiosa.
Come aggiornare PHP sul pannello hosting di SOD
Per prima cosa, accedere al proprio pannello di controllo e dalla dashboard principale, scorrere in basso fino alla sezione del sito interessato. In fondo, cliccare sul tasto “Show More” per visualizzare le opzioni relative a all’hosting.
Tra le opzioni, cercare quella chiamata “PHP Settings”. Da notare che gia’ a fianco del nome e’ presente, tra parentesi, la versione in uso in quel momento dal server. Cliccare sull’opzione per approdare nella pagina delle impostazioni PHP.
All’interno della sezione PHP, e’ possibile, tramite un menu’ a tendina, modificare la versione in uso. Le versioni che non sono piu’ aggiornate, sono segnate come “outdated”, ma comunque selezionabili.
Nella pagina, oltre alla versione attiva sul server, e’ possibile modificare molte altre opzioni PHP relative alle performance e alla sicurezza. Per esempio il limite della memoria dedicata, il tempo massimo di esecuzione degli script, la posizione delle cartelle di scripting e cosi’ via.
Sono tutte funzionalita’ di cui l’utente medio non ha bisogno quotidianamente, ma il fatto che sia disponibile un controllo cosi’ approfondito delle opzioni PHP e’ un punto a favore per la duttilita’ del pannello di controllo e del servizio.
Assicuratevi che il vostro host utilizzi le ultime versioni di PHP
Come abbiamo visto, l’aggiornamento PHP alla versione supportata e’ un’operazione semplice da eseguire tramite l’apposito pannello del piano di hosting.
Qualche anno fa, un ottimo articolo intitolato “Whipping Your Host Into Shape” di Joost de Valk, entrava nel dettaglio di come il vero problema sia che i provider non adottano piu’ velocemente le versioni recenti e, anche se lo fanno, non incoraggiano gli utenti ad aggiornarsi. Sono passati anni da quell’articolo e mi auguro che il trend vada migliorando, e che sempre di piu’ si pensi alla sicurezza dei propri portali anche attraverso l’aggiornamento dell’infrastruttura che li ospita.
Tramite il pannello di controllo dei piani hosting di SOD, tenere aggiornato e sicuro il servizio e’ semplice, e aggiornare PHP e’ solo un esempio delle potenzialita’ del pannello stesso. Verifica tu stesso accedendo a una demo del servizio.
Link utili:
Gestire WordPress dal pannello hosting
Server hosting per sito web di SOD
Plesk CloudFlare estensione gratuita per gli utenti Webhosting
Condividi
RSS
Piu’ articoli…
- Secure Online Desktop 10 anni dopo: il nostro anniversario aziendale
- Advanced persistent threat (APT): cosa sono e come difendersi
- Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile
- Esempi di phishing: le ultime campagne menzionate dal CSIRT
- Event Overload? Il nostro SOCaaS può aiutare!
- Schemi di business email compromise (BEC)
- XDR come approccio alla sicurezza
- Cos’è la threat intelligence?
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (13)
- ownCloud (7)
- Privacy (7)
- Secure Online Desktop (14)
- Security (8)
- Ethical Phishing (5)
- SOCaaS (17)
- Vulnerabilita' (82)
- Web Hosting (15)
Tags
CSIRT
- Risolte vulnerabilità in Apple iOS 12
(AL01/210616/CSIRT-ITA) Giugno 16, 2021Apple ha rilasciato aggiornamenti di sicurezza per sanare 3 vulnerabilità di iOS 12, di cui due 0-day.
- Aggiornamenti per prodotti SonicWall
(AL01/210615/CSIRT-ITA) Giugno 15, 2021Gli aggiornamenti di sicurezza per il sistema operativo SonicOS sanano una vulnerabilità con gravità “alta”.
- La Settimana Cibernetica del 13 giugno 2021 Giugno 14, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 07 al 13 giugno 2021.
- Rilasciate le chiavi di decrittazione del ransomware Avaddon
(AL01/210612/CSIRT-ITA) Giugno 12, 2021L’11 giugno sono state inviate a una nota testata del settore tecnologico le chiavi per decifrare i dati crittografati dal ransomware Avaddon.
- Risolte vulnerabilità di switch e NAS QNAP
(AL03/210611/CSIRT-ITA) Giugno 11, 2021Le vulnerabilità potrebbero permettere a un attaccante di compromettere la sicurezza del software.
- Palo Alto Networks rilascia aggiornamenti per Cortex XDR
(AL02/210611/CSIRT-ITA) Giugno 11, 2021Gli aggiornamenti di sicurezza per l’agent Cortex XDR sanano una vulnerabilità con gravità “alta”.
- CryptBot diffuso tramite siti di phishing
(AL01/210611/CSIRT-ITA) Giugno 11, 2021I siti distribuirebbero software o utility apparentemente legittimi, ma modificati con codice malevolo.
- Rilevate vulnerabilità critiche in SAP
(AL03/210610/CSIRT-ITA) Giugno 10, 2021Disponibili aggiornamenti di sicurezza per prodotti SAP che sanano diverse vulnerabilità, di cui 2 con gravità “critica”.
- Nuova versione di Google Chrome
(AL02/210610/CSIRT-ITA) Giugno 10, 2021Google ha rilasciato una nuova versione del browser Chrome per sanare 14 vulnerabilità, di cui una con gravità “critica”.
- Aggiornamenti Citrix risolvono 3 vulnerabilità
(AL01/210610/CSIRT-ITA) Giugno 10, 2021Gli aggiornamenti rilasciati da Citrix risolvono 3 vulnerabilità che interessano i prodotti Citrix SD-WAN WANOP, Citrix Cloud Connector e Citrix Application Delivery Controller (NetScaler ADC) e Citrix Gateway (NetScaler Gateway).
Dark Reading:
- Don't Get Stymied by Security Indecision Giugno 16, 2021You might be increasing cyber-risk by not actively working to reduce it.
- Thousands of VMware vCenter Servers Remain Open to Attack Over the Internet Giugno 15, 2021Three weeks after company disclosed two critical vulnerabilities in the workload management utility, many organizations have not patched the technology yet, security vendor says.
- Microsoft Disrupts Large-Scale BEC Campaign Across Web Services Giugno 15, 2021Attackers had used the cloud-based infrastructure to target mailboxes and add forwarding rules to learn about financial transactions.
- Security Experts Scrutinize Apple, Amazon IoT Networks Giugno 15, 2021Both companies have done their due diligence in creating connected-device networks, but the pervasiveness of the devices worries some security researchers.
- Andariel Group Targets South Korean Entities in New Campaign Giugno 15, 2021Andariel, designated as a sub-group of the Lazarus Group APT, has historically targeted South Korean organzations.
- Deloitte Buys Terbium Labs to Expand Threat Intel Capabilities Giugno 15, 2021Terbium Labs' products and services will become part of Deloitte's Detect & Respond lineup, the company confirms.
- What Industrial Control System Vulnerabilities Can Teach Us About Protecting the Supply Chain Giugno 15, 2021Older technologies used in industrial and critical infrastructure leave the sector highly vulnerable to attack, but organizations can take steps to better protect themselves.
- How President Biden Can Better Defend the US From Russian Hacks Giugno 15, 2021Wilson Center cybersecurity expert Meg King pinpoints five ambitious steps the administration should take, including a comprehensive national data breach notification protocol.
- How Does the Government Buy Its Cybersecurity? Giugno 15, 2021The federal government is emphasizing cybersecurity regulation, education, and defense strategies this year.
- VPN Attacks Surged in First Quarter Giugno 14, 2021But volume of malware, botnet, and other exploit activity declined because of the Emotet botnet takedown.
Full Disclosure
- Backdoor.Win32.Zombam.gen / Information Disclosure Giugno 15, 2021Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/ff6516c881dee555b0cd253408b64404_D.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.gen Vulnerability: Information Disclosure Description: Zombam malware listens on TCP port 80 and deploys an unsecured HTML Web UI for basic remote administration capability. Third-party attackers who can reach an infected...
- Backdoor.Win32.VB.pld / Unauthenticated Remote Command Execution Giugno 15, 2021Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6ff35087d789f7aca6c0e3396984894e_B.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.VB.pld Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP port 4000. Third-party attackers who can reach infected systems can connect to port 4000 and run commands made available […]
- Backdoor.Win32.VB.pld / Insecure Transit Giugno 15, 2021Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6ff35087d789f7aca6c0e3396984894e.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.VB.pld Vulnerability: Insecure Transit Description: The malware listens on TCP port 4000 and has a chat feature "Hnadle-X Pro V1.0 Text Chat". Messages are passed in unencrypted plaintext across the network. […]
- popo2, kernel/tun driver bufferoverflow. Giugno 15, 2021Posted by KJ Jung on Jun 15Linux kernel 5.4 version. latest. __tun_chr_ioctl function of ~/drivers/net/tun.c has a stack buffer overflow vulnerability. it get's arg, ifreq_len, and copy the arg(argp) to ifr(ifreq struct) and this steps are no bounds-checking. if cmd == TUNSETIFF or TUNSETQUEUE or and so on condition then it's enter copy_from_user function area.
- Onapsis Security Advisory 2021-0014: Missing authorization check in SAP Solution Manager LM-SERVICE Component SP 11 PL 2 Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0014: Missing authorization check in SAP Solution Manager LM-SERVICE Component SP 11 PL 2 ## Impact on Business Due to a missing authorization check in SAP Solution Manager LM-SERVICE component a remote authenticated attacker could be able to execute privileged actions in the […]
- Onapsis Security Advisory 2021-0013: [CVE-2020-26829] - Missing Authentication Check In SAP NetWeaver AS JAVA P2P Cluster communication Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0013: [CVE-2020-26829] - Missing Authentication Check In SAP NetWeaver AS JAVA P2P Cluster communication ## Impact on Business A malicious unauthenticated user could abuse the lack of authentication check on SAP Java P2P cluster communication, in order to connect to the respective TCP […]
- Onapsis Security Advisory 2021-0012: SAP Manufacturing Integration and Intelligence lack of server side validations leads to RCE Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0012: SAP Manufacturing Integration and Intelligence lack of server side validations leads to RCE ## Impact on Business By abusing a Code Injection in SAP MII, an authenticated user with SAP XMII Developer privileges could execute code (including OS commands) on the server. […]
- Onapsis Security Advisory 2021-0011 Missing authorization check in SolMan End-User Experience Monitoring Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0011: Missing authorization check in SolMan End-User Experience Monitoring ## Impact on Business Any authenticated user of the Solution Manager is able to craft/upload and execute EEM scripts on the SMDAgents affecting its Integrity, Confidentiality and Availability. ## Advisory Information - Public Release […]
- Onapsis Security Advisory 2021-0010: File exfiltration and DoS in SolMan End-User Experience Monitoring Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0010: File exfiltration and DoS in SolMan End-User Experience Monitoring ## Impact on Business The End-User Experience Monitoring (EEM) application, part of the SAP Solution Manager, is vulnerable to path traversal. As a consequence, an unauthorized attacker would be able to read sensitive […]
- Onapsis Security Advisory 2021-0009: Hard-coded Credentials in CA Introscope Enterprise Manager Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0009: Hard-coded Credentials in CA Introscope Enterprise Manager ## Impact on Business Unauthenticated attackers can bypass the authentication if the default passwords for Admin and Guest have not been changed by the administrator. This may impact the confidentiality of the service. ## Advisory […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Ten years ago, on June 16, 2011, Secure Online Desktop was born. Many things have changed in ten years and we have… https://t.co/DN23n6BK7q
-
SecureOnlineDesktop
Dieci anni fa, il 16 giugno del 2011, nasceva Secure Online Desktop. Sono cambiate moltissime cose in dieci anni e… https://t.co/H7TPlWJ5Pk
-
SecureOnlineDesktop
Estimated reading time: 8 minutes The term shoulder surfing might conjure up images of a little surfer on his… https://t.co/3poUTq9MUc
-
SecureOnlineDesktop
Estimated reading time: 5 minutes I ricercatori della sicurezza hanno appena digerito il protocollo HTTP/2, ma gl… https://t.co/XsFsgBTpia
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Security researchers have just digested the HTTP / 2 protocol, but web innova… https://t.co/FBPWe1pBx5
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Secure Online Desktop 10 anni dopo: il nostro anniversario aziendale Giugno 16, 2021
- Advanced persistent threat (APT): cosa sono e come difendersi Maggio 19, 2021
- Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile Maggio 17, 2021
- Esempi di phishing: le ultime campagne menzionate dal CSIRT Maggio 10, 2021
- Event Overload? Il nostro SOCaaS può aiutare! Maggio 3, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications