El 57% de las webs en WordPress serán menos seguras en diciembre

Un 57% de las webs realizadas en WordPress serán menos seguras a partir de diciembre de 2018. PHP 5.6 y PHP 7.0 dejan de recibir actualizaciones de seguridad a partir de ese momento. Y si le sumamos los WordPress que funcionan sobre versiones no soportadas actualmente, tenemos que un 83,20% de los WordPress funcionarán sobre versiones de PHP sin actualizaciones de seguridad.

PHP 5.6 y 7.0, el lenguaje de scripting que subyace en el 57,1% de todos los sitios de WordPress, dejará de recibir actualizaciones de seguridad en diciembre de 2018. No se emitirán parches de seguridad para esas versiones de PHP después de esa fecha, haciendo que esos sitios sean menos seguros.

¿Cuántos sitios web en WordPress serán más vulnerables a partir de diciembre?

WordPress publica las estadísticas oficiales de las versiones de PHP en uso aquí y según las mismas el 57,1% usan a día de hoy (8 de noviembre de 2018) la versión 7.0 y la 5.6:

Versiones de PHP instaladas en sitios WordPress: Estadísticas oficiales de Noviembre 2018

Y si sumamos las versiones anteriores:

  • 5.5 (sin actualizaciones de seguridad desde 21 de julio de 2016),
  • 5.4 (sin actualizaciones de seguridad desde 3 de septiembre de 2015),
  • 5.3 (sin actualizaciones de seguridad desde 14 de agosto de 2014) y
  • 5.2 (sin actualizaciones de seguridad desde 6 de enero de 2011).

Tenemos un 26,1% más de WordPress que funcionan sobre versiones de PHP que ya no están soportadas hoy en día.

Con lo cual a finales de 2018 tendremos: un 83,20% de WordPress que funcionan sobre versiones de PHP que no tienen actualizaciones de seguridad.

¿Cuándo dejarán de recibir actualizaciones de seguridad PHP 5.6 y 7.0?

La versión 5.6 tiene soporte de actualizaciones de seguridad hasta el 31 de diciembre de 2018.

La versión 7.0 tiene soporte de actualizaciones de seguridad hasta el 3 de diciembre de 2018.

Versiones de PHP soportadas actualmente

Aquí está toda la información sobre el soporte de PHP.

¿Por qué termina el soporte de seguridad?

El soporte de seguridad para cada versión está programado para durar un número limitado de años hasta que alcance lo que se conoce como fin de vida útil (EOL). En este punto no se implementan más mejoras de seguridad, incluso si se descubre una vulnerabilidad.

Según el sitio web oficial de PHP, esto es lo que significa EOL:

“A release that is no longer supported. Users of this release should upgrade as soon as possible, as they may be exposed to unpatched security vulnerabilities.”

“Una versión que ya no está soportada. Los usuarios de esta versión deben actualizar lo antes posible, ya que pueden estar expuestos a vulnerabilidades de seguridad sin parches”.

Todos los sitios web deben actualizarse a la última versión o corren el riesgo de volverse vulnerables.

¿Cómo identificar qué versión de PHP estás usando?

La forma más sencilla de saber que versión de PHP está usando tu WordPress es instalar nuestro plugin Server IP & Memory Usage Display que añade en el pie de las pantallas de administración de WordPress información sobre la memoria usada y disponible, además de la versión de WordPress que se usa. Aquí está la página de WordPress del plugin.

Server IP & Memory Usage Display: Ejemplo de versión de PHP

Si ahí te aparece cualquier versión que no sea la 7.1.x o la 7.2.x deberías actualizar la versión usada.

¿Qué pasa si no se actualiza PHP?

Todos los sitios web que no se actualicen a la última versión de PHP serán vulnerables a ser hackeadas una vez que las versiones 5.6 y 7.0 entren en su período de Fin de Vida (EOL). Esto significa que incluso si se descubren vulnerabilidades de seguridad, nadie hará un parche para arreglarlas en esas versiones de PHP.

La acción más prudente es actualizar a la última versión de PHP.

¿A qué versión de PHP actualizo?

Estando en la versión 5.6 o 7.0 lo más prudente es actualizar primero a 7.1 que no tiene muchos cambios frente a las anteriores. En la versión 7.2 si que hay más cambios que hacen que plugins o temas que no se hayan actualizado puedan no funcionar correctamente.

 

¿Cómo actualizo la versión de PHP?

Pregúntale a tu hosting si te pueden actualizar ellos o que te expliquen como puedes actualizar tu.

Nada más actualizar siempre hay que comprobar que la web funciona (y también la administración). Si tienes un plugin de caché te recomendamos deshabilitarlo antes de actualizar la versión de PHP. Y siempre tener todo actualizarlo (tema y plugins) antes de actualizar la versión de PHP.

Si la web no se muestra, lo siguiente es habilitar WP_DEBUG en wp-config.php para ver qué está produciendo el error para que no funcione.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.