Support-Ende für PHP 5.6: Hunderte Millionen Webseiten in Gefahr

Ab dem Jahresende bekommt die PHP-Version 5.6 keine Sicherheitsupdates mehr. Aber noch immer haben die meisten Webseitenbetreiber nicht auf eine aktuelle Version umgestellt und laufen somit Gefahr, Opfer von Hackerangriffen zu werden.

(Foto: Production Perig - Fotolia)

Nach der oft hakeligen Umstellung auf https zu Anfang des Jahres droht vielen Webseitenbetreibern zum kommenden Jahreswechsel nun ein noch weitaus größeres Problem. Denn zum Jahresende stellt die Entwickler-Community den erweiterten Support für PHP 5.6 ein. Somit gibt es dann keine kostenlosen Sicherheitspatches mehr für diese Version der beliebten Open-Source-Skriptsprache. Obwohl der Schritt schon vor knapp zwei Jahren angekündigt und die Weiterentwicklung bereits Ende des vergangenen Jahres eingestellt wurde, haben bislang die wenigsten Webseitenbetreiber und Hoster darauf reagiert.

Analysten wie W3techs gehen davon aus, dass inzwischen fast 80 Prozent aller Webseiten auf das flexible und effiziente PHP setzen. Über drei Viertel von ihnen nutzen PHP 5.6 und teils sogar noch ältere, schon jetzt nicht mehr mit aktuellen Sicherheitsupdates belieferte Versionen. Um auch 2019 möglichst sicher zu bleiben, sollten sie schnell auf eine aktuelle Entwicklungsstufe umziehen. Am besten direkt auf das vor einem Jahr veröffentlichte PHP 7.2, da auch für die Version 7.0 der Support ebenfalls im Dezember schon ausläuft. Security-Experten rechnen aufgrund der weiten Verbreitung damit, dass sich Cyberkriminelle schon jetzt intensiv darauf vorbereiten, Anfang nächsten Jahres eine Welle von Angriffen auf Webseiten mit veraltetem PHP zu starten. Ähnliches war nach dem Support-Ende für Windows XP zu beobachten gewesen.

Eine Ursache für das Verschlafen dieser wichtigen Umstellung liegt wohl im fehlenden Druck Seitens der Entwickler von weit verbreiteten Content-Management-Systemen, die auf PHP basieren. So geben sich etwa Joomla und insbesondere Wordpress, das mehr als 25 Prozent Marktanteil hat, als Mindestanforderung weiterhin mit PHP-Versionen zufrieden, die sogar noch älter sind als PHP 5.6. Die Entwickler von Drupal wollen immerhin bis März nächsten Jahres Version 7 voraussetzen. Einzig Typo 3 fordert mit PHP 7.2 tatsächlich die aktuelle Version. Die PHP-Entwickler wollen deshalb in den nächsten Wochen noch einmal alle Nutzer der veralteten 5. Generation daran erinnern, rechtzeitig ein Update bei ihren Hosting-Anbietern anzustoßen.

Kommentare (2) Alle Kommentare

Antwort von Tom , 12:50 Uhr

Die Ursachen liegen wohl viel mehr darin, dass offenbar jeder Hersteller meint, ständig neue Versionen veröffentlichen zu müssen, ohne darüber nachzudenken, was das an Aufwand und Kosten bei den Nutzern bedeutet. Funktionen werden entfernt (deprecated) und wer sich nicht auskennt, hat das Nachsehen. In den wohl allerseltensten Fällen wird man die PHP Scripte selbst programmieren, sondern verwendet Produkte von Drittanbietern, die entweder nur teuer aktualisierbar sind, gar nicht mehr angeboten werden (Firma erloschen) oder bei einem Update alle selbst erstellten Anpassungen zerstört und somit noch mehr Aufwand, Ausfallzeiten usw. verursacht. Von Anbindungen an Drittprodukte (Wawi), Ausfallzeiten oder den notwendigen Tests ganz abgesehen… Jeder Dienstleister, der momentan mit dieser Problematik konfrontiert ist, kennt diese Themen. Man macht es sich sehr einfach, den schwarzen Peter zu den Webseiten-Betriebern abzuschieben, zumal gerade im Umfeld von Kleinstunternehmen kaum jemand mal eben einen 4-stelligen Betrag übrig hat, nur weil die PHP Entwickler keine Sicherheitspatches mehr anbieten wollen.

Antworten

Antwort von Michael , 09:51 Uhr

"Die Ursachen liegen wohl viel mehr darin, dass offenbar jeder Hersteller meint, ständig neue Versionen veröffentlichen zu müssen, ohne darüber nachzudenken, was das an Aufwand und Kosten bei den Nutzern bedeutet."

Die Ursache liegt eher darin, dass offenbar viele Nutzer der Meinung sind lebenslang kostenfrei mit Updates versorgt werden zu müssen. Haben Sie sich mal Gedanken darüber gemacht wie viel Aufwand und Kosten es verursacht veralteten Code zu pflegen? Wahrscheinlich nicht, aber das ist ja auch nicht Ihr Problem, sondern das der Entwickler. Viel wichtiger ist es ja, das Sie und alle die Sie meinen bloß keinen Aufwand haben, der Aufwand der Entwickler ist dabei irrelevant. Hauptsache von der Arbeit anderer Leute profitieren und dann auch noch rumjammern…