Вчера состоялся выпуск новой версии системы управления контентом — WordPress. Самая популярная система во всём мире. Мои сайты также работают на ней. Но если в версии 5.1.1 WordPress только мягко намекал о том, что пора переходить на интерпретатор PHP 7+, то уже минимальные требования 5.2 — PHP уровнем не ниже 5.6.20
Согласно статистике разработчиков, только 2% сайтов на WordPress используют в качестве интерпретатора версию PHP 5.2.4 и 20% версии от 5.3 до 5.5. Конечно же я вхожу в эту двадцатку. На одном из серверов у меня установлен PHP 5.5.9 (эээх, одной сотой не хватает), на другом как модуль Apache 5.4.16.
Что ж придется обновлять ПО на серверах. Вчера при обновлении WordPress у меня слетела админка. Стили просто не подгружались, пришлось откатываться из резервной копии (всегда делайте копии перед обновлением!). Сегодня обновился на том же самом хостинге — проблем никаких не заметил. То ли изначально выложили немного недоработанную версию, потом исправили, то ли у меня был какой-то странный, непознанный глюк.
Ранее одним из самых требовательных к хостингу я считал «движок» форума phpbb 3.2.X (аж 5.4.8 ему требовалось), теперь же пальму первенства перехватил WordPress. Столь радикальные изменения вызваны, скорее всего, необходимостью проверки обновлений и дополнений по цифровой подписи. При установке обновлений в WordPress основным фактором обеспечения безопасности было доверие к инфраструктуре и серверам WordPress . В случае компрометации серверов проекта атакующие имели возможность подменить обновление и распространить вредоносный код среди сайтов на базе WordPress, использующих систему автоматической установки обновлений. На стороне пользователей подобная подмена осталась бы незамеченной.
Внедрению проверки источника обновлений по цифровой подписи мешало то, что поддержка необходимых криптографических алгоритмов появилась в штатной поставке PHP относительно недавно. Нужные криптографические алгоритмы появились благодаря интеграции библиотеки Libsodium в основной состав PHP 7.2.(!) Выходом стала разработка и включение в состав WordPress 5.2 компактного варианта Libsodium — Sodium Compat, в котором на языке PHP реализован минимальный набор алгоритмов для проверки цифровых подписей. (подробнее можно прочесть здесь: https://www.opennet.ru/opennews/art.shtml?num=50649).
Так что ещё легко отделались 🙂 CMS WordPress используют более 30% сайтов, представляете, что было бы в случае компрометации обновлений? На всякий случай публикую таблицу версий Ubuntu Linux LTS и нативной поддержки php из репозиториев по умолчанию.
Версии PHP в Ubuntu
| Ubuntu | PHP |
|---|---|
| 12.04 LTS (Precise) | 5.3 |
| 14.04 LTS (Trusty) | 5.5 |
| 15.10 (Wily) | 5.6 |
| 16.04 LTS (Xenial) | 7.0 |
| 18.04 LTS | 7.2 |
В Ubuntu 18.04.2 LTS (Bionic Beaver) поддержка 32-битных платформ прекращается и если есть желание сделать сервер из старенького Intel Pentium IV — нативно установить не выйдет. Пришло время обновлений.
