62 Prozent der Websites nutzen PHP-5-Version, die schon bald keine Updates mehr bekommt

PHP-Logo-Varianten. (Foto: 360b / Shutterstock.com)
Ende Dezember 2018 endet der Support für PHP 5.6.x. Ab diesem Zeitpunkt wird dann auch die letzte PHP-5-Version keine Sicherheitsupdates mehr erhalten. Das Problem: Die Software-Version ist noch immer weit verbreitet. W3Techs geht davon aus, dass 61,8 Prozent aller Websites noch immer PHP 5 einsetzen. Davon sind sogar nur 41,5 Prozent auf PHP 5.6. Alle anderen verwenden noch ältere Versionen, für die es schon seit geraumer Zeit keine offiziellen Sicherheitsupdates mehr gibt.
Nachdem PHP 5.6 im Frühling 2017 zur am weitesten verbreiteten PHP-Version wurde, verschob das Projekt das Support-Ende um vier Monate nach hinten. Offenbar nutzten dennoch viel zu wenige Website-Betreiber die Zeit, um auf PHP 7.2 umzusteigen. Das könnte sich 2019 rächen. Sollten neue Sicherheitslücken auftauchen, dann könnten potenziell Millionen von Websites dadurch angreifbar werden.
Hohe Verbreitung alter PHP-Versionen: Was WordPress und Joomla mit dem Problem zu tun haben
„Die größte Quelle für die Trägheit des PHP-Ökosystems ist unzweifelhaft WordPress“, erklärt Scott Arciszewski, der Chief Development Officer der auf Sicherheit spezialisierten Software-Consulting-Firma Paragon, gegenüber ZDNet. Die Minimalvoraussetzungen für WordPress, das mit Abstand beliebteste CMS der Welt, liegen noch immer bei PHP 5.2.4. Also eine Version, die seit 2015 keine Sicherheitsupdates mehr erhält. Immerhin warnt WordPress auf der Website des Open-Source-Projekts davor, eine ältere PHP-Version als 7.2 einzusetzen.
Auch das CMS Joomla kann nach wie vor mit veralteten PHP-Versionen genutzt werden. Immerhin spielt das System beim Einsatz veralteter PHP-Versionen aber eine Warnung aus. Von den drei größten Content-Management-Systemen im Web hat lediglich Drupal angekündigt, die Unterstützung für PHP 5 komplett einzustellen. Ab März 2019 wird Drupal 8 mindestens PHP 7 benötigen. Zu dem Zeitpunkt wird allerdings auch PHP 7.0 schon keine offiziellen Sicherheitsupdates mehr erhalten. Das Drupal-Team empfiehlt daher den Einsatz von PHP 7.1 oder höher.
Nicht WordPress ist schuld, sondern Firmen, die nicht in ihre Websites investieren (wollen). Weil’s ja auch so läuft. Bis…
Amen! Ich kann dem leider nur zustimmen… in der Praxis sieht es oftmals so aus, dass möglichst wenig Geld in die eigene Internetseite gesteckt wird. Erst recht nichts in die nachträgliche Pflege und Wartung.
Ich habe allein dieses Jahr schon 4 Kunden gehabt, die mit WP-Installationen ankamen, die eine 2 am Anfang der Versionsnummer hatten. Natürlich dann mit irgendeinem gratis Theme, das seit Jahren nicht mehr weiterentwickelt wird und auch nicht kompatibel zur aktuellen WP-Version ist.
Um alles auf den neuesten Stand zu bringen, muss Geld investiert werden… ein Teufelskreis.