Algo pouco observado pelos desenvolvedores web, mas que deveria ser muito bem avaliado antes de contratar um serviço de hospedagem de sites, ou sistema web feitos em PHP, é a versão do PHP que está instalado nestes servidores. Este tipo de avaliação conta, e muito, na hora de avaliar o quanto o seu site ou sistema é seguro.

Conforme pesquisa promovida pela W3Techs, pouco mais de 80% dos sites espalhados por todo o mundo utilizam a versão 5 do PHP. Ou seja, 20% ainda se encontram vulneráveis à falhas das versões 4 e inferiores, cujo suporte está descontinuado desde o início de 2008.

Refinando os dados

O mais interessante, é que 88,7% dos sites que utilizam a versão 5 do PHP estão ainda nas versões 5.2, 5.3 e 5.4, conforme podemos ver na distribuição de dados abaixo: Segundo o blog do Anthony Ferrara, facilitador de desenvolvimento do Google, algo mais surpreendente vem à tona, quando avaliamos quais as subversões do PHP 5 são consideradas seguras.

Na data da avaliação, dezembro de 2014, de todas as subversões do PHP 5, as únicas que até o momento não possuíam nenhum tipo de vulnerabilidade ou falha de segurança conhecida eram as seguintes:

• 5.6.4
• 5.5.20
• 5.4.36

Além destas, existem algumas versões que são mantidas atualizadas por mantenedores de distribuições GNU/Linux e que se pode considerar versões seguras, uma vez que patches de segurança são constantemente disponibilizados a seus usuários:

• 5.5.12
• 5.5.9
• 5.4.16
• 5.4.4
• 5.3.10
• 5.3.3
• 5.3.2
• 5.1.6

Ou seja, apenas um total de 11 subversões da versão 5 do PHP são consideradas seguras. Assim, de acordo com as subversões existentes temos a seguinte proporção:

• Seguros: 21,71%
• Não Seguros: 78,29%

E isso, considerando que as instalações nos servidores estão com todos os patches de correção atualizados. Senão este número seria ainda menor.