Résumé

Les sites Web utilisant des versions PHP obsolètes peuvent être vulnérables et même compromettre l’ensemble du serveur Plesk. Par ailleurs, la mise à jour d’un site Web ancien pour qu’il puisse exécuter une version PHP compatible peut s’avérer coûteuse et/ou chronophage.

Pour résoudre ce problème, Plesk permet de sécuriser les sites Web utilisant des versions PHP obsolètes grâce à des packages PHP personnalisés de TuxCare, une marque de CloudLinux. Ces packages PHP intègrent des correctifs pour les failles de sécurité découvertes lorsqu’une version PHP donnée n’est plus prise en charge par la communauté.

Dans cette section, vous découvrirez comment installer des packages PHP personnalisés de TuxCare sur votre serveur Plesk, comment sécuriser les sites Web et comment maintenir à jour ces packages PHP personnalisés.

Vue d’ensemble

Chaque version de PHP entre dans l’une des trois catégories suivantes :

Prise en charge active

Ces versions bénéficient d’une prise en charge active. Des mises à jour correctives, dont des correctifs pour les bugs et les failles de sécurité, sont régulièrement publiées.

Correctifs de sécurité uniquement

Ces versions reçoivent uniquement des mises à jour pour corriger les failles de sécurité critiques.

Fin de vie (soit « End of life », « EOL »)

Ces versions ne reçoivent plus de mises à jour ni de correctifs, même pour les problèmes de sécurité critiques.

Les sites Web codés en PHP sont généralement conçus pour une version spécifique de PHP. S’ils sont adaptés à une version différente, ils risquent de mal fonctionner, voire de ne pas fonctionner du tout. Mettre à jour un tel site pour qu’il fonctionne correctement avec une version récente de PHP peut s’avérer coûteux, voire impossible.

Toutefois, si une faille de sécurité est découverte dans une version PHP en fin de vie, les sites Web utilisant cette version sont vulnérables. Pire encore, une telle faille peut compromettre l’ensemble du serveur Plesk. Dans ce cas, le propriétaire du site Web vulnérable et son hébergeur disposent de plusieurs options, aucune n’étant optimale :

  • Demander au propriétaire du site Web de le mettre à jour, s’il en a les moyens et si cela est possible.

  • Placer le site Web hors ligne.

  • Continuer à héberger le site Web et accepter les risques.

Plesk et TuxCare offrent une autre solution, qui permet au site Web de rester en ligne sans mises à niveau coûteuses ni risques liés à l’utilisation de versions PHP en fin de vie :

  • TuxCare propose des packages PHP personnalisés intégrant des correctifs pour les failles de sécurité affectant les versions PHP en fin de vie. L’équipe TuxCare déploie des efforts considérables pour développer et tester rapidement des correctifs pour ces versions, dans l’objectif de fournir des correctifs pour les vulnérabilités critiques et à haut risque (CVSS 7+) dans les 14 jours suivant leur divulgation publique.

  • Plesk propose une extension qui facilite l’installation de ces packages, et permet également de sécuriser les sites Web utilisant des versions PHP en fin de vie en les remplaçant par des gestionnaires PHP sécurisés de la même version.

TuxCare fait partie de la famille CloudLinux. CloudLinux est un fournisseur de confiance qui propose des produits et des services tels que CloudLinux OS et KernelCare, et accompagne les hébergeurs depuis quinze ans.

Prérequis

Note

Une seule licence couvre un nombre illimité de sites Web et permet d’accéder aux packages pour toutes les versions PHP avec correctif fournies par TuxCare.

Défis et limites

  • TuxCare Extended Lifecycle Support for PHP fournit des mises à jour de sécurité pour PHP 5.6 et les versions EOL ultérieures. Découvrez l’état actuel du prise en charge de toutes les versions de PHP.

  • TuxCare Extended Lifecycle Support for PHP couvre uniquement les versions de PHP fournies par Plesk. L’extension ne couvre pas les versions PHP installées à partir du référentiel du fournisseur du système d’exploitation.

Installer des versions PHP sécurisées

Avant de pouvoir sécuriser vos sites Web, vous devez installer les packages PHP de TuxCare pour une ou plusieurs versions PHP en fin de vie présentes sur le serveur.

Vous pouvez installer les packages pour certaines versions PHP obsolètes, mais pas pour d’autres. L’installation de ces packages n’a aucune incidence sur les sites Web.

Note

L’extension TuxCare Extended Lifecycle Support pour PHP est payante. Si votre licence expire, vous pourrez toujours utiliser les versions sécurisées de PHP installées, mais vous n’aurez plus accès aux futures mises à jour incluant des correctifs de sécurité supplémentaires.

Pour installer une version sécurisée de PHP :

  1. Connectez-vous à Plesk.

  2. Dans le volet de navigation, cliquez sur Extensions, puis ouvrez l’onglet « Mes extensions ».

  3. Recherchez l’extension « TuxCare Extended Lifecycle Support for PHP », puis cliquez sur Ouvrir.

  4. Pour chaque version de PHP que vous souhaitez sécuriser, cliquez sur [Install] (Installer).

image not configured

L’installation ne devrait prendre que quelques minutes. Une fois une version sécurisée de PHP installée, chaque gestionnaire PHP « obsolète » de cette version sera remplacée par un gestionnaire sécurisé. Vous pouvez consulter les nouveaux gestionnaires PHP sur la page Outils & Paramètres > Paramètres PHP (dans la section « Paramètres généraux »).

image secured handlers

Note

Attention, l’installation d’une version sécurisée de PHP ne suffit pas à elle seule. Pour sécuriser les sites Web, il est nécessaire de les basculer manuellement vers des versions sécurisées de PHP.

Sécuriser les sites Web

Une fois qu’une version sécurisée de PHP a été installée, vous pouvez commencer à sécuriser les sites Web en les faisant passer aux versions « sécurisées » des gestionnaires PHP.

Note

Les versions sécurisées de PHP sont fournies avec les mêmes ensembles de gestionnaires (par exemple : « Application FastCGI » ou « Application FPM dédiée ») que les versions obsolètes (non sécurisées). La migration d’un site Web vers la version sécurisée de PHP, avec le même gestionnaire, ne devrait avoir aucun impact, si ce n’est la suppression des failles de sécurité.

Pour sécuriser tous les sites Web exécutant une version PHP EOL spécifique :

  1. Connectez-vous à Plesk.

  2. Dans le volet de navigation, cliquez sur Extensions, puis ouvrez l’onglet « Mes extensions ».

  3. Recherchez l’extension « TuxCare Extended Lifecycle Support for PHP », puis cliquez sur Ouvrir.

  4. Trouvez la version PHP EOL souhaitée, puis cliquez sur [Switch] (Basculer).

image configured

Tous les sites Web utilisant cette version de PHP seront basculés vers la version « sécurisée » de cette même version de PHP et de son gestionnaire.

Pour sécuriser un site Web spécifique exécutant une version PHP EOL :

  1. Connectez-vous à Plesk.

  2. Dans le volet de navigation, cliquez sur Sites Web et Domaines.

  3. Trouvez le site Web concerné, puis cliquez sur PHP (sous « Outils Dévelop. » dans l’onglet « Tableau de bord »).

  4. Dans la liste déroulante, sélectionnez la version « sécurisée » de PHP, puis cliquez sur OK.

image php secured

Le site Web passera à la version PHP sélectionnée tout en conservant le même type de gestionnaire.

Revenir à des versions non sécurisées de PHP

Si un ou plusieurs sites Web rencontrent des problèmes après leur sécurisation, vous pouvez toujours revenir aux versions PHP d’origine, « obsolètes » (non sécurisées). Attention : les sites Web pourraient être exposés à divers risques.

  • Pour rétablir la version précédente d’un site Web spécifique, remplacez son gestionnaire PHP par le gestionnaire « obsolète » de la même version PHP.

  • Pour rétablir tous les sites Web utilisant une version spécifique de PHP EOL, cliquez sur [Rollback] (Rétablir) sur la page de l’extension.

image roll back

Reconfigurer les versions PHP sécurisées

Lorsque la configuration PHP globale aura été modifiée (par exemple, en éditant le fichier global php.ini, en installant de nouvelles extensions PECL ou PEAR, en activant ou désactivant des extensions PHP, etc.), nous vous recommandons vivement de reconfigurer manuellement les versions sécurisées de PHP. Ainsi, les versions « sécurisées » et « obsolètes » (non sécurisées) de PHP seront configurées de manière identique et se comporteront de la même façon.

Pour reconfigurer toutes les versions PHP sécurisées :

  1. Connectez-vous à Plesk.

  2. Dans le volet de navigation, cliquez sur Extensions, puis ouvrez l’onglet « Mes extensions ».

  3. Recherchez l’extension « TuxCare Extended Lifecycle Support for PHP », puis cliquez sur Ouvrir.

  4. Pour chaque version PHP sécurisée, cliquez sur [Reconfigure] (Reconfigurer).

image reconfigure

Chaque site Web utilisant une version sécurisée de PHP adoptera les modifications apportées à la configuration PHP globale.

Mettre à jour les versions sécurisées de PHP

Pour assurer la sécurité de vos sites Web, les packages PHP de TuxCare doivent être maintenus à jour. Ces packages peuvent être mis à jour comme n’importe quel autre package système. Les noms des packages PHP de TuxCare commencent par alt-php. Vous pouvez les voir dans l’interface de l’outil Plesk System Updates.

image update tool

Les packages PHP de TuxCare peuvent être mis à jour automatiquement ou manuellement. Pour protéger vos sites Web utilisant des versions PHP EOL, nous vous recommandons fortement de mettre à jour automatiquement les packages PHP de TuxCare. Vous pouvez le faire, par exemple, en utilisant l’outil Plesk System Updates.

Si vous choisissez de mettre à jour manuellement les package PHP de TuxCare, vous devrez suivre les mises à jour publiées. Pour cela, nous vous recommandons de consulter la liste officielle des flux RSS sur le site Web de TuxCare et de vous abonner aux flux pour le ou les systèmes d’exploitation qui vous concernent.

Migrating Websites Using EOL PHP Versions

When migrating websites from a Plesk server running an outdated OS to one running a modern OS, you may run into an issue with websites using EOL PHP versions. If the PHP versions used by such websites are no longer shipped by Plesk for the destination server’s OS, migrating them will not be possible.

To migrate and secure such websites, you need to manually install the necessary secured PHP versions on the destination Plesk server before migrating the websites. You can do so by using the plesk ext tuxcare-php CLI utility.

Note

The procedure currently supports the PHP versions that have reached EOL starting from PHP 5.6.

To install a specific secured PHP version:

  1. Log in to the Plesk server via SSH as the root user, or use the SSH Terminal extension.

  2. Run the following command in the shell:

    plesk ext tuxcare-php --install-configure -version <major version>.<minor version>

    For example, to install PHP 5.6, the command would look like this:

    plesk ext tuxcare-php --install-configure -version 5.6

Once all the required EOL PHP versions have been installed, perform the migration as normal. The websites running EOL PHP versions will be automatically switched to the corresponding « secured » PHP versions.

Note

Because the « secured » PHP versions installed in this manner do not have the corresponding EOL PHP version from Plesk installed on the server, the Rollback button will not be shown for them. The --switch, --switch-back, and --install-configure-switch CLI commands will also not be available for those PHP versions.