Como sabrás WordPress, Joomla, Drupal y muchos otros CMS populares se han realizado con un lenguaje de programación llamado PHP. Actualmente muchos servidores utilizan la versión 7.3 de PHP la cuál está a punto de llegar al final de su vida y dejará de recibir actualizaciones de seguridad antes de finalizar el 2021.
Muchos sitios web aún permanecen en la versión 5.6 o anterior. Una vez que el soporte para una versión de PHP finaliza estos sitios son vulnerables y se podrán explotar a medida que surjan nuevas vulnerabilidades de las viejas versiones de PHP sin actualizaciones de seguridad.
Para entender un poco mejor esta situación vamos a aclarar algunas preguntas entorno a este tema. Puedes ayudar compartiendo esta publicación con tus colegas que administran sitios web de PHP o usan WordPress para que estén al tanto.
¿Qué es el fin de la vida útil o EOL en el software?
Cuando un producto de software llega a EOL (End Of Life), significa que, incluso si alguien encuentra un agujero de seguridad en el software, los desarrolladores no lo arreglarán. Si un equipo de desarrollo es productivo, lanzarán muchas versiones del software con el que trabajarán a lo largo del tiempo.
El equipo de desarrollo se compromete a actualizar su software durante un período de tiempo determinado. Una vez transcurrido ese tiempo, el equipo de desarrollo sugiere que la comunidad de usuarios actualice a una versión más nueva del mismo software, que generalmente hace las cosas mejor que las versiones anteriores y es totalmente compatible.
PHP 5.6 es obsoleto desde el 2019 pero el 38% de las webs aún lo utilizan
A pesar de que la versión 5.6 llegó al final de su vida en Enero de 2019, según w3techs.com (que es una web que monitorea el uso de tecnologías en internet), aun se sigue usando en el 38.1% de los sitios webs que trabajan con PHP.
La política del equipo de desarrollo de PHP con respecto al final de la vida útil es la siguiente: cada versión de PHP es totalmente compatible durante dos años a partir de la fecha de publicación. Entonces se admite por un año adicional solo para problemas de seguridad críticos. Una vez transcurridos tres años desde la fecha de lanzamiento, la versión de PHP ya no es compatible.
La siguiente tabla incluye las fechas importantes para las ramas PHP 7 y PHP 8. Puedes encontrar esta tabla en la página de la web de PHP.
¿Por qué debería actualizar a PHP 7.4 ya mismo?
Como se mencionó anteriormente, cuando una versión de PHP llega al final de su vida, ya no será recibe correcciones de seguridad. Eso significa que incluso si se descubre una vulnerabilidad, no se solucionará, dejando todos los sitios web que la utilicen vulnerable.
Cada nueva versión de PHP tiene muchas mejoras sobre las anteriores
Estas incluyen mejoras de rendimiento. PHP 5 tenía muchos errores conocidos de rendimiento y uso de la memoria que fueron solucionados con PHP 7. Además las nuevas versiones tiene soporte activo y, por lo tanto, los desarrolladores pueden implementar nuevas mejoras y hacer que las páginas web se ejecuten más rápido, sean más estables y usen sus recursos de manera más eficiente.
Como beneficio adicional, las nuevas versiones permiten el uso de estructuras de programación más modernas, lo que es un beneficio agradable para los desarrolladores de software.
¿Cómo puedo averiguar la versión de PHP?
Si está utilizando WordPress y está ejecutando el plugin de seguridad de Wordfence, simplemente ve a «Herramientas», luego haz clic en la pestaña «Diagnóstico» en la parte superior derecha. Desplázate hasta la sección «Entorno PHP» y podrás ver la versión de PHP en el lado derecho de la página.
Alternativamente, puede instalar este plugin extremadamente básico en su sitio de WordPress que mostrará tu versión de PHP.
Si tiene acceso FTP a su sitio web, puedes crear un archivo con un nombre que sea difícil de adivinar. Luego agrega las siguiente línea:
<?php phpinfo(); ?>
¿PHP tiene alguna vulnerabilidad?
Las vulnerabilidades de seguridad son continuamente reportadas en PHP. Algunas de estas son muy graves, si visitas CVEDetails.com te podrás dar una idea del volumen y la gravedad de las vulnerabilidades de PHP que se han informado recientemente.
Todos los años se encuentran vulnerabilidades sobre las versiones nuevas y obsoletas, pero las nuevas reciben actualizaciones tan pronto como son descubiertas mientras que las obsoletas no. Por eso es de vital importancia que actualices a una versión de PHP que sea compatible con WordPress y esté recibiendo actualizaciones de seguridad.
¿Se romperá algo si actualizo a PHP 7.4?
Puedes descubrir incompatibilidades que deben ser solucionadas. PHP 7.4 ha sufrido algunos cambios desde la versión 7.0, que han mejorado el lenguaje y lo ha hecho más seguro, pero se puede generar advertencias o errores en el código.
Si eres un usuario de WordPress, el núcleo de WordPress es totalmente compatible con PHP 7.4
Sin embargo, es muy importante que se asegure de que tus temas y plugins también sean compatibles con PHP 7.4. Si está utilizando un tema o plugin que no recibe actualizaciones periódicas, puedes encontrar advertencias o errores debido a incompatibilidades.
Por este motivo, te recomendamos que pruebes tu sitio web en una cuenta de hosting o servidor que ejecute PHP 7.4. Si encuentras algún problema, comunícate con el desarrollador del tema o el plugin y pídele una solución urgente. Para saber exactamente que versión es la más adecuada y cómo hacer el salto sin dañar tu sitio web, te recomendamos leer:
- Lo que necesitas saber para cambiar WordPress a PHP 7
- Guía de migración para desarrolladores de PHP que migran código de PHP 5.6 a PHP 7
- Lista de funciones en desuso en PHP 7.2 y será útil para un desarrollador que está migrando código de PHP 5 a PHP 7.
¿Qué pasa si mi Hosting no soporta PHP 7.4?
Tu cuenta de alojamiento debe incluir algún tipo de panel de control o la página de opciones y configuración. Si no ves la opción de actualizar a PHP 7.4, debes comunicarte con el equipo de soporte de tu compañía de hospedaje web para ver cuáles son tus opciones. Si no hay ninguno disponible, te recomendamos que realices la transición a un nuevo hospedaje web antes de que sea muy tarde. En este caso te recomendamos la oferta extendida de Hostinger con un 90% de descuento.
¿Qué pasa si mi plugin o tema no soporta PHP 7.4?
Lamentablemente existen muchos plugins muy buenos que no se han seguido actualizando. Si tu eres como yo, seguro tienes 2 o 3 tres de esos que ya no se han actualizado en años. Lo que te recomiendo es buscar un programador o tu mismo actualizarlo y publicarlo en el repositorio como un nuevo plugin, o simplemente buscar un reemplazo.
¿Cuál es la forma más fácil de actualizar a PHP 7.4?
Muchos proveedores de hosting ofrecen un cambio de versión de PHP en un solo clic en CPanel. Esto le permite cambiar a PHP 7 y revisar tu sitio en busca de problemas. Si algo no funciona, puedes volver atrás y crear un plan para abordar los problemas encontrados.
Si no puedes encontrar dónde actualizar tu versión de PHP, tu proveedor de hospedaje web puede aconsejarte cómo actualizar PHP en su entorno. Puede significar incluso el cambio a un nuevo servidor.
Recuérdame otra vez porqué debo actualizar a PHP 7.4
La buena noticia es que probablemente verá una buena mejora de rendimiento cuando actualice su sitio. Claro, es posible que deba lidiar con algunas incompatibilidades, con suerte menores. Pero una vez que haya actualizado a PHP 7.2, puede estar seguro de que continuará recibiendo actualizaciones de seguridad hasta el 30 de noviembre de 2020.
Si permanece en PHP 5.6, es posible que se encuentre lidiando con un sitio pirateado en algún momento del año próximo cuando se lance una vulnerabilidad para PHP 5.6 y el equipo de PHP no lance ninguna solución porque PHP 5.6 es el fin de la vida útil.
¿Cómo puedo ayudar?
Hay una gran cantidad de sitios web que aún están en PHP 5.6 y versión de 7.0, 7.1, y 7.2. Tan pronto como finalizan las actualizaciones de seguridad, los atacantes están felices y muy motivados para encontrar vulnerabilidades que pueden explotar.
Para ayudar a la transición de la comunidad web global a versiones con soporte, haz correr la voz compartiendo esta publicación y ayudando a crear conciencia sobre este plazo ajustado y cómo hacer la transición a PHP 7.4.