Aggiornare php: perche’ e come fare
Home » Aggiornare php: perche’ e come fare

Aggiornare php: perche’ e come fare
Tempo di lettura: 5 min
PHP e’ uno dei linguaggi di scripting piu’ popolari oggi sul web. Secondo W3Techs, il PHP e’ utilizzato da oltre l’82% di tutti i siti web che utilizzano un linguaggio di programmazione lato server. Cio’ significa che 8 siti su 10 utilizzano PHP in una forma o nell’altra. Essendo un linguaggio di scripting, e’ fondamentale aggiornare PHP all’ultima versione disponibile, a meno di esigenze particolari.
Oggi cerchiamo di capire l’importanza di aggiornare alle ultime versioni PHP, non solo per motivi di sicurezza, ma anche per migliorare le prestazioni e il supporto. Verra’ anche mostrato il procedimento preciso tramite un semplice how-to.
Quando aggiornare PHP?
Come per ogni software, PHP ha un ciclo di vita a cui deve attenersi per continuare ad apportare miglioramenti e avanzare nello sviluppo. Ogni rilascio principale di PHP e’ in genere pienamente supportata per due anni. Durante questo periodo, i bug e i problemi di sicurezza vengono risolti e corretti regolarmente. e’ garantito un terzo anno di supporto, solo per quello che riguarda la sicurezza del linguaggio e non delle prestazioni.
Versioni PHP supportate
Ad oggi (estate 2020), chiunque esegua una versione di PHP 7.1 o inferiore non usufruisce piu’ del supporto di sicurezza ed e’ esposto a vulnerabilita’ che non verranno risolte. Secondo la pagina ufficiale di WordPress Stats, al momento di scrivere questo articolo, oltre il 41% degli utenti WordPress utilizza ancora su PHP 7.1 o inferiore. Questo non e’ solo un problema dal punto di vista della sicurezza, ma e’ anche un ostacolo perche’ si sono ancora molti siti che non sfruttano ulteriori miglioramenti delle prestazioni introdotte con PHP 7.2 e successive.
Purtroppo, non tutti sono informati del pericolo e poiche’ aggiornare PHP e’ un’operazione che va fatta sul server e non dal sito stesso, una buona fetta degli utenti non sa nemmeno come procedere.
Come e’ visibile da questa immagine, le versioni attualmente supportate di PHP sono 3: la 7.2, il cui supporto di sicurezza terminera’ il 30 novembre 2020; la 7.3, supportata fino a dicembre 2021 e la 7.4 supportata fino al novembre 2022. Attenzione: negli ultimi 12 mesi di vita della versione, l’unico supporto garantito e’ quello di sicurezza.
Lentezza degli aggiornamenti
Molti sono i fattori che potrebbero influire una lenta adozione di versioni recenti del linguaggio, di seguito ne vediamo alcuni:
- 1. I proprietari dei siti, non essendo tecnici, non conoscono il linguaggio e non sanno di dover aggiornare PHP al fine di avere un sito sicuro e al passo coi tempi.
- 2. Chi utilizza temi o plugin personalizzati sul proprio sito, vuole essere sicuro che le nuove versioni PHP non abbiano problemi di retrocompatibilita’. Questi sviluppatori aspettano che vengano rilasciate le nuove linee guida per le versioni piu’ recenti, e solo dopo aver controllato i loro plugin e temi, adottano pienamente la nuova versione.
- 3. Alcuni host hanno paura ad aggiornare il linguaggio sul server perche’ potrebbe portare a un’ondata di ticket di supporto. Sempre di piu’, per fortuna, i provider mettono a disposizione la scelta della versione all’utente finale, come vedremo tra poco.
Onestamente, non capisco tutta questa paura nell’aggiornare PHP e tenere i propri sistemi ben funzionanti e al sicuro. Ritengo l’attesa abbastanza inutile e rischiosa.
Come aggiornare PHP sul pannello hosting di SOD
Per prima cosa, accedere al proprio pannello di controllo e dalla dashboard principale, scorrere in basso fino alla sezione del sito interessato. In fondo, cliccare sul tasto “Show More” per visualizzare le opzioni relative a all’hosting.
Tra le opzioni, cercare quella chiamata “PHP Settings”. Da notare che gia’ a fianco del nome e’ presente, tra parentesi, la versione in uso in quel momento dal server. Cliccare sull’opzione per approdare nella pagina delle impostazioni PHP.
All’interno della sezione PHP, e’ possibile, tramite un menu’ a tendina, modificare la versione in uso. Le versioni che non sono piu’ aggiornate, sono segnate come “outdated”, ma comunque selezionabili.
Nella pagina, oltre alla versione attiva sul server, e’ possibile modificare molte altre opzioni PHP relative alle performance e alla sicurezza. Per esempio il limite della memoria dedicata, il tempo massimo di esecuzione degli script, la posizione delle cartelle di scripting e cosi’ via.
Sono tutte funzionalita’ di cui l’utente medio non ha bisogno quotidianamente, ma il fatto che sia disponibile un controllo cosi’ approfondito delle opzioni PHP e’ un punto a favore per la duttilita’ del pannello di controllo e del servizio.
Assicuratevi che il vostro host utilizzi le ultime versioni di PHP
Come abbiamo visto, l’aggiornamento PHP alla versione supportata e’ un’operazione semplice da eseguire tramite l’apposito pannello del piano di hosting.
Qualche anno fa, un ottimo articolo intitolato “Whipping Your Host Into Shape” di Joost de Valk, entrava nel dettaglio di come il vero problema sia che i provider non adottano piu’ velocemente le versioni recenti e, anche se lo fanno, non incoraggiano gli utenti ad aggiornarsi. Sono passati anni da quell’articolo e mi auguro che il trend vada migliorando, e che sempre di piu’ si pensi alla sicurezza dei propri portali anche attraverso l’aggiornamento dell’infrastruttura che li ospita.
Tramite il pannello di controllo dei piani hosting di SOD, tenere aggiornato e sicuro il servizio e’ semplice, e aggiornare PHP e’ solo un esempio delle potenzialita’ del pannello stesso. Verifica tu stesso accedendo a una demo del servizio.
Link utili:
Gestire WordPress dal pannello hosting
Server hosting per sito web di SOD
Plesk CloudFlare estensione gratuita per gli utenti Webhosting
Condividi
RSS
Piu’ articoli…
- HTTP/3, tutto quello che c’è da sapere del protocollo di ultima versione
- Machine learning e cybersecurity: Applicazioni UEBA e sicurezza
- Logic Bomb: cosa sono e come prevenirle
- Pass the hash: come guadagnare accesso senza la password
- Ransomware e NAS: un rischio che non si considera
- Monitoring SIEM: le best practice
- Cyber Threat Hunting: a caccia di minacce per la sicurezza
- Ethical hacking: difendere sapendo come attaccare
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (12)
- ownCloud (7)
- Privacy (7)
- Secure Online Desktop (14)
- Security (8)
- Ethical Phishing (3)
- SOCaaS (13)
- Vulnerabilita' (82)
- Web Hosting (15)
Tags
CSIRT
- Vulnerabilità in prodotti Cisco non più supportati (EOL)
(AL01/210408/CSIRT-ITA) Aprile 8, 2021Cisco ha reso nota una vulnerabilità critica che interessa alcuni suoi prodotti end-of-life, per i quali consiglia la dismissione.
- Phishing a tema Aruba
(AL01/210407/CSIRT-ITA) Aprile 7, 2021Rilevata una pagina di phishing finalizzata al furto delle credenziali di accesso al portale di gestione dei servizi Aruba.
- Campagna malspam diffonde il trojan Poulight
(AL02/210406/CSIRT-ITA) Aprile 6, 2021È stata recentemente rilevata una campagna malspam finalizzata a diffondere il trojan Poulight, programmato per raccogliere il maggior numero di informazioni sulla macchina infetta.
- Risolta vulnerabilità critica in VMware
(AL01/2100406/CSIRT-ITA) Aprile 6, 2021VMware ha pubblicato un bollettino di sicurezza contenente aggiornamenti per sanare una vulnerabilità con gravità “critica” nella soluzione Carbon Black Cloud Workload.
- La Settimana Cibernetica del 4 aprile 2021 Aprile 5, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 29 marzo al 4 aprile 2021.
- Aggiornamenti di sicurezza per Chrome
(AL02/210402/CSIRT-ITA) Aprile 2, 2021Google ha rilasciato una nuova versione del browser Chrome per sanare 8 vulnerabilità, alcune delle quali di gravità “alta”.
- Risolte vulnerabilità su Zimbra
(AL01/210402/CSIRT-ITA) Aprile 2, 2021Rilasciati aggiornamenti per sanare 4 vulnerabilità riscontrate nel software Zimbra, di cui una con gravità “critica”.
- Campagna malevola diffonde Remcos
(BL01/210401/CSIRT-ITA) Aprile 1, 2021Il tool legittimo Remcos viene diffuso per scopi malevoli tramite un file Excel armato di macro.
- Risolte vulnerabilità OpenSSL su prodotti Cisco
(AL02/210331/CSIRT-ITA) Marzo 31, 2021Cisco ha pubblicato un bollettino di sicurezza contenente aggiornamenti per sanare le recenti vulnerabilità di OpenSSL che interessano alcuni prodotti Cisco.
- Risolte vulnerabilità su VMware
(AL01/210331/CSIRT-ITA) Marzo 31, 2021VMware ha pubblicato un bollettino di sicurezza contenente aggiornamenti per sanare 2 vulnerabilità con gravità “critica”.
Dark Reading:
- Battle for the Endpoint Aprile 9, 2021How to build a new cyber strategy for 2021 and beyond.
- CISA Launches New Threat Detection Dashboard Aprile 9, 2021Aviary is a new dashboard that works with CISA's Sparrow threat detection tool.
- Unofficial Android App Store APKPure Infected With Malware Aprile 9, 2021The APKPure app store was infected with malware that can download Trojans to other Android devices, researchers report.
- 8 Security & Privacy Apps to Share With Family and Friends Aprile 9, 2021Mobile apps to recommend to the people in your life who want to improve their online security and privacy.
- Women Are Facing an Economic Crisis & the Cybersecurity Industry Can Help Aprile 9, 2021Investing in women's cybersecurity careers can bring enormous benefits and help undo some of the significant economic damage wrought by the pandemic.
- Zoom Joins Microsoft Teams on List of Enterprise Tools Hacked at Pwn2Own Aprile 8, 2021White-hat hacking event shows yet again why there's no such thing as foolproof security against modern attacks.
- Fraudsters Use HTML Legos to Evade Detection in Phishing Attack Aprile 8, 2021Criminals stitch pieces of HTML together and hide them in JavaScript files, researchers report.
- 600K Payment Card Records Leaked After Swarmshop Breach Aprile 8, 2021A leaked database also contains the nicknames, hashed passwords, contact details, and activity history of Swarmshop admins, sellers, and buyers.
- Handcuffs Over AI: Solving Security Challenges With Law Enforcement Aprile 8, 2021We've tried everything else ... now it's time to make the prospect of getting caught -- and punished -- a real deterrent to cybercrime.
- SecOps and DevOps: From Cooperation to Automation Aprile 7, 2021Omdia Principal Analyst Eric Parizo discusses the major obstacles SecOps organizations face as they seek to build ties with DevOps teams, and offers a programmatic approach to help create a path toward DevSecOps.
Full Disclosure
- CFP ZeroNights 2021 Aprile 10, 2021Posted by CFP ZeroNights on Apr 09ZeroNights 2021 CFP is OPEN: Offensive and defensive research (15/30/45min). Submit your talk! # About conference Place: Saint-Petersburg, Russia Date: 30 June Timeslots: 15/30/45 min Site: https://zeronights.org # CFP Timeline CFP start: 1 March CFP end: 15 May CFP page: https://01x.cfp.zeronights.ru/zn2021/ # Conditions: A speaker may deliver either a […]
- Backdoor.Win32.Small.n / Unauthenticated Remote Command Execution (SYSTEM) Aprile 8, 2021Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/fb24c3509180f463c9deaf2ee6705062.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Small.n Vulnerability: Unauthenticated Remote Command Execution (SYSTEM) Description: The backdoor malware listens on TCP Port 1337, upon successful connection we get handed a remote shell from the infected host with SYSTEM...
- [SYSS-2020-032] Open Redirect in Tableau Server (CVE-2021-1629) Aprile 8, 2021Posted by Vladimir Bostanov on Apr 08Advisory ID: SYSS-2020-032 Product: Tableau Server Manufacturer: Tableau Software, LLC, a Salesforce Company Affected Version(s): 2019.4-2019.4.17, 2020.1-2020.1.13, 2020.2-2020.2.10, 2020.3-2020.3.6, 2020.4-2020.4.2 Tested Version(s): 2020.2.1 (20202.20.0525.1210) 64-bit Windows Vulnerability Type: URL Redirection to Untrusted Site (CWE-601) Risk Level: Medium Solution Status: Fixed Manufacturer Notification: 2020-07-29 Solution Date:...
- Backdoor.Win32.Hupigon.das / Unauthenticated Open Proxy Aprile 8, 2021Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/7afe56286039faf56d4184c476683340.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Hupigon.das Vulnerability: Unauthenticated Open Proxy Description: The malware drops an hidden executable named "winserv.com" under Windows dir, which accepts TCP connections on port 8080. Afterwards, it connects to a...
- Trojan.Win32.Hotkeychick.d / Insecure Permissions Aprile 8, 2021Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/aff493ed1f98ed05c360b462192d2853.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Hotkeychick.d Vulnerability: Insecure Permissions Description: creates an insecure dir named "Sniperscan" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can rename the...
- Trojan-Downloader.Win32.Genome.qiw / Insecure Permissions Aprile 8, 2021Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/5cddc4647fb1c59f5dc7f414ada7fad4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Downloader.Win32.Genome.qiw Vulnerability: Insecure Permissions Description: Genome.qiw creates an insecure dir named "tmp" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
- Trojan-Downloader.Win32.Genome.omht / Insecure Permissions Aprile 8, 2021Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/01055838361f534ab596b56a19c70fef.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Downloader.Win32.Genome.omht Vulnerability: Insecure Permissions Description: Genome.omht creates an insecure dir named "wjmd97" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
- Trojan.Win32.Hosts2.yqf / Insecure Permissions Aprile 8, 2021Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/274a6e846c5a4a2b3281198556e5568b.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Hosts2.yqf Vulnerability: Insecure Permissions Description: Hosts2.yqf creates an insecure dir named "mlekaocYUmaae" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
- usd20210005: Privileged File Write in Check Point Identity Agent < R81.018.0000 Aprile 8, 2021Posted by Responsible Disclosure via Fulldisclosure on Apr 08### Advisory: Privileged File Write Description =========== The Check Point Identity Agent allows low privileged users to write files to protected locations of the file system. Details ======= Advisory ID: usd-2021-0005 Product: Check Point Identity Agent Affected Version: < R81.018.0000 Vulnerability Type: Symlink Vulnerability Security Risk: High […]
- CVE-2021-26709 - Multiple Pre-Auth Stack Buffer Overflow in D-Link DSL-320B-D1 ADSL Modem Aprile 8, 2021Posted by Gabriele Gristina on Apr 08Multiple Pre-Auth Stack Buffer Overflow in D-Link DSL-320B-D1 ADSL Modem ======== < Table of Contents > ========================================= 0. Overview 1. Details 2. Solution 3. Disclosure Timeline 4. Thanks & Acknowledgements 5. References 6. Credits 7. Legal Notices ======== < 0. Overview > =============================================== Release Date: 7 March 2021 Revision: […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
ICON_PLACEHOLDEREstimated reading time: 6 minutes Out of nowhere, someone replies to an email conversation dated… https://t.co/kXIx3FPWfm
-
SecureOnlineDesktop
L'hacking etico e la salvaguardia del patrimonio aziendale https://t.co/SLncmaZ1ci
-
SecureOnlineDesktop
ICON_PLACEHOLDERTempo di lettura: 5 minutes Le ransomware gang hanno preso di mira le aziende negli ultimi tempi,… https://t.co/3hF62deo6S
-
SecureOnlineDesktop
ICON_PLACEHOLDEREstimated reading time: 10 minutes Ingegneria sociale è il termine usato per una vasta gamma di a… https://t.co/gj1hMDdfjn
-
SecureOnlineDesktop
Enterprise e piccole aziende, l'importanza di un Next Generation SIEM https://t.co/qT4PxR13Li
Newsletter
Prodotti e Soluzioni
- Cloud Server
- Conferenza Cloud
- Web Hosting
- Cloud CRM
- Consulenza ICT | Outsourcing
- ownCloud
- BaaS | Cloud Backup
- Log Management
- Servizio di monitoraggio ICT
- Next Generation SIEM
- Phishing Etico
- VPN Aziendali
- Progetti ICT
- Consulenze
- Vulnerability Assessment & Penetration Test
- Progetti Web
- Privacy | GDPR
- SOC as a Service
News
- HTTP/3, tutto quello che c’è da sapere del protocollo di ultima versione Aprile 5, 2021
- Machine learning e cybersecurity: Applicazioni UEBA e sicurezza Marzo 31, 2021
- Logic Bomb: cosa sono e come prevenirle Marzo 29, 2021
- Pass the hash: come guadagnare accesso senza la password Marzo 24, 2021
- Ransomware e NAS: un rischio che non si considera Marzo 22, 2021
Recensioni Google
























Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications