Algo pouco observado pelos desenvolvedores web, mas que deveria ser muito bem avaliado antes de contratar um serviço de hospedagem de sites, ou sistema web feitos em PHP, é a versão do PHP que está instalado nestes servidores. Este tipo de avaliação conta, e muito, na hora de avaliar o quanto o seu site ou sistema é seguro.
Conforme pesquisa promovida pela W3Techs, pouco mais de 80% dos sites espalhados por todo o mundo utilizam a versão 5 do PHP. Ou seja, 20% ainda se encontram vulneráveis à falhas das versões 4 e inferiores, cujo suporte está descontinuado desde o início de 2008.
Refinando os dados
O mais interessante, é que 88,7% dos sites que utilizam a versão 5 do PHP estão ainda nas versões 5.2, 5.3 e 5.4, conforme podemos ver na distribuição de dados abaixo:
Segundo o blog do Anthony Ferrara, facilitador de desenvolvimento do Google, algo mais surpreendente vem à tona, quando avaliamos quais as subversões do PHP 5 são consideradas seguras.
Na data da avaliação, dezembro de 2014, de todas as subversões do PHP 5, as únicas que até o momento não possuíam nenhum tipo de vulnerabilidade ou falha de segurança conhecida eram as seguintes:
Além destas, existem algumas versões que são mantidas atualizadas por mantenedores de distribuições
GNU/Linux e que se pode considerar versões seguras, uma vez que patches de segurança são constantemente disponibilizados a seus usuários:
- 5.5.12
- 5.5.9
- 5.4.16
- 5.4.4
- 5.3.10
- 5.3.3
- 5.3.2
- 5.1.6
Ou seja, apenas um total de 11 subversões da versão 5 do PHP são consideradas seguras. Assim, de acordo com as subversões existentes temos a seguinte proporção:
- Seguros: 21,71%
- Não Seguros: 78,29%
E isso, considerando que as instalações nos servidores estão com todos os patches de correção atualizados. Senão este número seria ainda menor.