PHP 5.6
17. Oktober 2018

PHP 5.6 wird zum Jahresende 2018 ein Sicherheitsrisiko

Viele Webseiten setzen noch PHP 5 ein, doch zum Ende des Jahres 2018 wird es problematisch. Am 31. Dezember endet der Support für PHP 5.6 und es wird dementsprechend keine Sicherheitupdates mehr geben. Experten sehen hier ein erhebliches Risiko für die Seitenbetreiber.

Nachdem PHP 5.6 im Frühjahr 2017 zur am weitesten verbreiteten PHP-Version wurde, verschob das Projekt das Support-Ende für die letzte 5er-Version um vier Monate nach hinten. Wie fast immer, wenn es um verlängerte Support-Zeiten geht, führt die Fristverlängerung leider nicht umgehend dazu, dass Webseitenbetreiber aufwachen und veraltete Systeme aktualisieren lassen.

Das Problem der hohen Verbreitung alter PHP-Versionen…

Viel zu wenige Webseitenbetreiber haben die gewonnene Zeit nicht genutzt, um auf die aktuelle Version PHP 7.2 umzusteigen. Das könnte sich schon 2019 rächen. Neue Sicherheitslücken im dann veralteten PHP 5.6 werden sicher zeitnah auftauchen. Potenziell Millionen von Webseiten könnten dadurch angreifbar werden. Noch ältere PHP-Versionen finden immernoch auf Webseiten Verwendung, die praktisch nie gepflegt werden. Die betroffenen Systeme erhalten entsprechend schon seit geraumer Zeit keine offiziellen Sicherheitsupdates mehr.

… und was die CMS WordPress und Joomla mit dem Problem PHP 5.6 zu tun haben

Einerseits ist sicher die weite Verbreitung der beiden CMS bei kleineren Unternehmen, Freelancern und Vereinen Kern des Problems. Zu notorisch klammen Kassen und daraus resultierend fehlender Wartung der Webseiten kommt oft fast schon unglaubliche Leichtgläubigkeit der Webseitenbetreiber. Aus Kostengründen wird häufig nicht in Sicherheit investiert und dazu werden die „billigsten“ Anbieter beauftragt. Wenn es nur um „schnell, günstig und bunt“ geht, bleiben die ungeliebten Themen „Sicherheit“ und „Gewährleistung“ schnell auf der Strecke.

Andererseits sind die geringen technischen Anforderungen der CMS selbst Verstärker des Problems. Die Minimalvoraussetzungen für WordPress, das mit Abstand beliebteste CMS der Welt, liegen noch immer bei PHP 5.2.4.  Diese Version erhält seit 2015 keine Sicherheitsupdates mehr. Auch das CMS Joomla kann nach wie vor mit veralteten PHP-Versionen genutzt werden. Setzt man Joomla ein informiert das System immerhin mit einer Warnmeldung über veraltete PHP-Versionen. WordPress warnt auf der Webseite davor, eine ältere PHP-Version als 7.2 einzusetzen. Diese Hinweise auf den Anbieterwebseiten werden allerdings meist nur von Programmierern gefunden. Webseitenbetreiber tummeln sich eher selten auf den Angeboten der Softwareanbieter  oder wissen nicht, mit welchem System Ihre Unternehmenswebseite aufgesetzt wurde.

„Die größte Quelle für die Trägheit des PHP-Ökosystems ist unzweifelhaft WordPress“, erklärt Scott Arciszewski, der Chief Development Officer der auf Sicherheit spezialisierten Software-Consulting-Firma Paragon, folgerichtig gegenüber ZDNet.

Der Status für TYPO3-Systeme

Das Enterprise CMS TYPO3 in der aktuellen Version TYPO3 8.7 LTS setzt PHP 7.0 voraus, ab TYPO3 9.x LTS ist eine PHP-Version ab 7.2 erforderlich. Für die noch weit verbreiteten Versionen TYPO3 6.2 LTS ist der Herstellersupport schon sehr lange ausgelaufen und die Systeme sind nicht mehr sicher, für TYPO3 7.6 LTS, welches noch unter PHP 5.5. funktioniert, gibt es noch bis November 2018 Unterstützung in Form von Sicherheitsupdates und Fehlerbehebungsupdates.

Wenn Sie jetzt Handlungsbedarf erkennen oder nicht sicher sind, ob Ihre Webseite auf einer aktuellen PHP-Version oder einem aktuellen CMS läuft, nehmen Sie einfach Kontakt zu Simple Web-Solutions auf. Wir analysieren Ihr System und besprechen dann mit Ihnen weitere Schritte. Mit unserem Fachwissen begleiten wir Sie gerne bei allen Entscheidungen rund um Ihr Webprojekt und halten Ihr System sicher, flexibel und zukunftstauglich.