Esto es un problema, más del 60% de todas las webs en Internet usan una versión de PHP que estará muerta a final de 2018

Básicamente, en 10 semanas tendremos a más de la mitad de los sitios web expuestos a potenciales problemas de seguridad, si después del año nuevo se encuentra alguna vulnerabilidad en PHP 5.x.

De acuerdo a las estadísticas de W3Techs, el 61.7% de todos los sitios web cuyo lenguaje de programación del lado del servidor conocemos, utilizan actualmente PHP 5.x, y PHP 5.6 dejará de tener soporte el 31 de diciembre de 2018, es decir que dejarán de recibir actualizaciones de seguridad para su servidor y para las tecnologías subyacentes.

Esto es un gran problema porque simplemente se expone a cientos de millones de sitios web a graves riesgos de seguridad, y si algo ha demostrado la historia reciente, podemos poner el simple ejemplo de HTTPS, es que hacer que la mayoría de la web se pase a la última versión de cualquier tecnología a tiempo, no es nunca una labor fácil.

Un problema para el ecosistema PHP

PHP, explicado de la forma más simple, es un lenguaje de scripting que ayuda a las personas a hacer que las páginas web sean más interactivas al permitirles hacer más cosas. Es un lenguaje del lado del servidor diseñado para el desarrollo web, aunque también es usado como un lenguaje de programación general.

Por ejemplo, con PHP un sitio web puede hacer cosas como tener usuarios y contraseñas. Si un sitio web no está programado con lenguajes como PHP, no puede hacer la mayoría de las cosas a las que estamos acostumbrados aparte de mostrar texto, enlaces e imágenes de forma simple.

Aproximadamente el 78% de todos los sitios web (los que no ocultan sus tecnologías y se pueden cuantificar) utilizan alguna versión de PHP, pero la mayoría usa versiones viejas.

Toda la rama actual de las versiones 5.x de PHP son sumamente antiguas, PHP 5.6 se lanzó en agosto de 2014, su soporte activo terminó en 2017, hace casi dos años. Su soporte de seguridad se acaba, como ya dijimos, a finales de 2018. La versión más reciente es PHP 7.2, que fue lanzada en noviembre de 2017 y que tendrá soporte de seguridad hasta noviembre de 2020.

WordPress, uno de los sistemas de gestión de contenidos más usados y conocidos (más de un cuarto de todos los sitios web usan WordPress), recomienda en su página de requerimientos el uso de PHP 7.2, pero explican que siguen soportando PHP 5.2.4 y posteriores, a pesar de advertir que son versiones sin soporte y que podrían exponer tu sitio a vulnerabilidades de seguridad.

WordPress se niega a dejar de dar soporte a PHP 5.2, y para algunos el CMS es también parte del problema

Esto es especialmente problemático, y para el experto Scott Arciszewski, WordPress es la principal fuente de inercia en el ecosistema por negarse a eliminar el soporte para PHP 5.2.

La buena noticia al menos, es que PHP no ha tenido ninguna vulnerabilidad crítica en su historia reciente, y aunque eso le da paz mental a algunos, otros creen que ahora que muera el soporte de PHP 5.6 y siga siendo tan ampliamente utilizado, las vulnerabilidades empezarán a aparecer y a ser explotadas. Solo el tiempo nos dirá, pero lo responsable sin duda es actualizar.