Mehr als 78 Prozent aller PHP-Installationen laufen mit mindestens einer Sicherheitslücke, so ein Sicherheitsforscher. Der Google-Entwickler-Anwalt Anthony Ferrara kam nach einer Korrelation von Statistiken der Seite W3Techs und bekannten PHP-Schwachstellen zu dieser Schlussfolgerung.

Er fand heraus, dass unzählige PHP-basierte Webseiten eine ungeschützte Version nutzen – so viele, dass es einfacher ist, eine unsichere PHP-Installation zu finden als eine sichere.

Die zwei populärsten PHP-Versionen sind die Versionen 5.2.17 und 5.3.29, so W3Techs. Diese beiden zusammen machen 24 Prozent der Gesamtheit aus – und sind beide unsicher.

Ferrara zufolge haben von den PHP-Versionen 5.3 bis 5.6 nur wenige unbedeutendere keine Sicherheitslücken, die meisten Systeme nutzen aber nicht diese sicheren Versionen.

• 93,3 Prozent aller PHP 5.6x Versionen sind Ferrara zufolge unsicher,
• 63,4 Prozent aller 5.5x Versionen,
• 89,6 Prozent aller 5.4x Versionen und
• 66,1 Prozent aller 5.3x PHP-Versionen.

Die 5.2-Versionen sollte man komplett vergessen – keine dieser Versionen wird als sicher betrachtet.

Überraschenderweise fallen die Ergebnisse recht positiv aus für PHP-Version 5.1x. Ganze 94,8 Prozent dieser Installationen waren sicher. Dies geht aus den W3Techs-Statistiken hervor. PHP 5.1 ist allerdings bereits neun Jahre alt und nur 1,2 Prozent aller Seiten verwenden es noch.

Dies bedeutet nicht, dass alle Software-Pakete, auf denen das Internet basiert, Sicherheitslücken enthalten. Ferrara fand heraus, dass „nur“

• 38 Prozent der Webseiten mit dem Apache-Webserver unsicher sind,
• 36 Prozent der Nginx-Seiten,
• 22 Prozent der Python-Seiten und
• 18 Prozent der Perl-Seiten.

Die schlechte Performance von PHP sticht aber definitiv ins Auge. Dazu kommt: Viele der Anwendungen, die auf PHP-Basis laufen, haben selbst Schwachstellen. So sind 55 Prozent der Drupal-Installationen unsicher und 40 Prozent der WordPress-Installationen. Somit kann man fast sagen, dass nahezu jeder Server auf Basis der PHP-Sprache nur auf einen Angriff wartet.

Außer man gehört zu den wenigen glücklichen, auf deren Systemen eine sichere Version von PHP läuft. Zu diesen zählen die zuletzt veröffentlichten Versionen von PHP 5.4, 5.5. und 5.6.
Ferrara rät:

„Überprüfen Sie Ihre installierten Versionen. Treiben Sie Ihre Leute dazu, Aktualisierungen vorzunehmen. Gehen Sie nicht von ‚solange es funktioniert, muss man es nicht reparieren‘ aus. … Sie haben jetzt die Möglichkeit, es zu ändern, also ändern Sie es. Sicherheit geht jeden etwas an. Wichtig ist, wie Sie damit umgehen.“

Artikel von theregister.co.uk, 31.12.2014: Want to have your server pwned? Easy: Run PHP
Artikel von ircmaxell.com, 30.12.2014: PHP Install Statistics