我运行了几个 IIS + PHP + MySQL Web 服务器,它们运行各种 Web 应用程序(Wordpress、Expression Engine 等)。
我知道我应该始终保持我的 Web 应用程序更新,但我想知道我应该多久更新一次 PHP 和 Mysql?似乎大多数更新都是错误修复、稳定性增强、新功能,有时还有安全补丁。
测试和推出 PHP/MySQL 更新可能非常繁琐,因此如果可能的话,我宁愿将它们保持在最低限度。
我是否应该每 4/6/? 周或更早更新到最新的 PHP 和 MySQL(如果需要安全补丁)?
有什么想法吗?
答案1
我同意 4/6 周更新模式,因为您正在托管一项重要服务,因此有人滥用 PHP 或 MySQL 中的错误的可能性比托管较小服务的人更大。
答案2
一般来说,对于 MySQL,除非您正在寻找新版本中实现的特定功能,否则没有必要在次要版本之间升级,除非修复了安全漏洞。即便如此,如果您的服务器配置正确,MySQL 无论如何都不应该监听公共接口,此外还应该通过防火墙阻止外部访问,因此任何安全漏洞实际上都不会对您造成任何影响。
PHP 的情况也类似。您只需要根据需要安装新模块,或者在修复安全漏洞时执行完整更新。无论如何,您通过错误配置的 php.ini 文件(以及随后利用此错误配置的草率代码中的漏洞,例如将 URL 作为文件打开)被黑客入侵的可能性远高于通过 PHP 本身的漏洞被黑客入侵的可能性,因为这些情况相当罕见。
我认为 4-6 周的更新周期有点太频繁了,不值得。最好每 4-6 个月升级一次 PHP/MySQL,并专注于升级单个 Web 应用程序,因为这些应用程序将更频繁地修复与安全问题相关的问题。我建议订阅一些安全公告,并在有可用修复程序时立即升级您的 Web 应用程序,不要在发现并修复安全问题后等待超过几天。
最重要的是,您应该考虑将此更新周期纳入公司的政策和程序文件中。当有看似更重要的事情要做时,总是很容易忽略更新。