Ende Dezember 2018 endet der Support für PHP 5.6.x. Ab diesem Zeitpunkt wird dann auch die letzte PHP-5-Version keine Sicherheitsupdates mehr erhalten. Das Problem: Die Software-Version ist noch immer weit verbreitet. W3Techs geht davon aus, dass 61,8 Prozent aller Websites noch immer PHP 5 einsetzen. Davon sind sogar nur 41,5 Prozent auf PHP 5.6. Alle anderen verwenden noch ältere Versionen, für die es schon seit geraumer Zeit keine offiziellen Sicherheitsupdates mehr gibt.

Nachdem PHP 5.6 im Frühling 2017 zur am weitesten verbreiteten PHP-Version wurde, verschob das Projekt das Support-Ende um vier Monate nach hinten. Offenbar nutzten dennoch viel zu wenige Website-Betreiber die Zeit, um auf PHP 7.2 umzusteigen. Das könnte sich 2019 rächen. Sollten neue Sicherheitslücken auftauchen, dann könnten potenziell Millionen von Websites dadurch angreifbar werden.

„Die größte Quelle für die Trägheit des PHP-Ökosystems ist unzweifelhaft WordPress“, erklärt Scott Arciszewski, der Chief Development Officer der auf Sicherheit spezialisierten Software-Consulting-Firma Paragon, gegenüber ZDNet. Die Minimalvoraussetzungen für WordPress, das mit Abstand beliebteste CMS der Welt, liegen noch immer bei PHP 5.2.4. Also eine Version, die seit 2015 keine Sicherheitsupdates mehr erhält. Immerhin warnt WordPress auf der Website des Open-Source-Projekts davor, eine ältere PHP-Version als 7.2 einzusetzen.

Auch das CMS Joomla kann nach wie vor mit veralteten PHP-Versionen genutzt werden. Immerhin spielt das System beim Einsatz veralteter PHP-Versionen aber eine Warnung aus. Von den drei größten Content-Management-Systemen im Web hat lediglich Drupal angekündigt, die Unterstützung für PHP 5 komplett einzustellen. Ab März 2019 wird Drupal 8 mindestens PHP 7 benötigen. Zu dem Zeitpunkt wird allerdings auch PHP 7.0 schon keine offiziellen Sicherheitsupdates mehr erhalten. Das Drupal-Team empfiehlt daher den Einsatz von PHP 7.1 oder höher.