PHP Versionen 5.6 / 7.0 / 7.1 werden zum Sicherheitsrisiko

Am 31. Dezember 2018 endete der Support für PHP 5.6 und 7.0. Ein Jahr später am 31. Dezember 2019 endete der Support für PHP 7.1 und die PHP Version 7.2 wird Ende dieses Jahres enden. Doch noch immer nutzen ca. 40% der Webseiten veraltete PHP-Versionen (w3techs.ch, 2020). Experten warnen vor ernsthaften Sicherheitsrisiken.

Die Programmiersprache PHP gehört bei Webentwicklungen zu den verbreitetsten und beliebtesten. Auch die vielen Webseiten, welche mit Content-Management-Systemen (CMS) wie WordPress, Drupal, Joomla oder TYPO3 betrieben werden, basieren, neben anderen Sprachen, auch auf PHP.

Hosting-Partner bieten die Versionen nicht mehr an

PHP 5.6, 7.0 und 7.1 sind am sogenannten «End-of-Life (EOL)» angekommen. Konkret heisst das, dass diese Versionen der Programmiersprache keinerlei Sicherheitsupdates der Entwickler-Community mehr erhalten und damit offiziell nicht mehr unterstützt werden. Dies ist auch für Webhosting-Provider Grund genug, die Unterstützung dieser Versionen einzustellen. Deshalb wird Ende 2020 die PHP Version 5.6 von Hostern nicht mehr zur Verfügung gestellt. Allenfalls auftretende Lücken in diesen Versionen der Programmiersprache würden nicht mehr geflickt.

Gefahr lauert in Webapplikationen, die ausschliesslich mit veralteten PHP-Versionen kompatibel sind. Hier kann der Vergleich mit einem Auto herangezogen werden: Alte Autos, die nicht regelmässig gewartet werden, verlieren ihre Strassentauglichkeit. Genau so verhält es sich mit alten PHP-Applikationen. Diese laufen zwar vorerst wie gewohnt weiter. Treten Sicherheitslücken auf, muss es dann allerdings schnell gehen und manch einer wünscht sich, er hätte sich in aller Ruhe bereits früher damit befasst. 

PHP-Versionen

Aktuelle unterstützte PHP-Versionen, 29.09.2020 (https://www.php.net/supported-versions)

PHP-Update: Ja oder nein?

Wenn du die neueste Version eines CMS (z.B. WordPress) verwendest, sind voraussichtlich keine Probleme zu erwarten, sondern im Gegenteil sogar Leistungssteigerungen. Wenn du einen Code verwendest, der veraltet ist und in der neueren Version von PHP nicht unterstützt wird, gibt deine Website Fehlermeldungen aus und wird möglicherweise nicht mehr funktionieren.

An der Zahl der veralteten PHP-Versionen kann man ablesen, dass viele Webseitenbetreiber entweder nicht wissen, dass ihre Skriptsprache nicht aktuell ist, oder sich vor einem Update scheuen. Wer sich nicht sicher ist, welche PHP-Version auf seinem Server läuft, checkt das am besten gleich im Control-Center des Hosting-Anbieters. In der Regel findet man dort eine Sparte für die PHP-Einstellungen, in der für sämtliche Domains die jeweilige Version angezeigt wird. PHP 7.4 oder höher sind derzeit dringend zu empfehlen. Im Vergleich zu PHP 5.6 laden dynamische Websites damit um mehr als 100 Prozent schneller. Wenn du unsicher bist, wo und wie du die aktuelle PHP Version nachschauen kannst, helfen wir dir gerne weiter.

Wer seine PHP-Version hochstufen will, kann dies oft mit wenigen Klicks über den Hosting-Provider tun. Jedoch treten aufgrund fehlender Rückwärtskompatibilität unter Umständen Fehler auf der Website auf. Betreiber mit wenig Programmiererfahrung und vorgefertigten Anwendungen stehen dann womöglich vor einem Problem, dass sie nur mithilfe von Experten lösen können. Wenn Sie PHP 5.6 gegen die aktuelle Version 7.4 austauschen, sollten Sie daher immer die neue Version in einer Testumgebung prüfen, bevor sie damit live gehen.

Gründe für ein PHP-Update:

  • Mein Hosting Provider lässt mir keine Wahl mehr
  • Updates und aktiver Support für PHP 5.6, 7.0 und 7.1 sind eingestellt
  • Vorhandene und neue Programme werden für PHP 7.4 (weiter)entwickelt
  • Am wichtigsten: PHP 7.4 ist unglaublich viel schneller als sein Vorgänger
  • Sicherheitslücken schliessen

Sollte man auf PHP 7.4 wechseln?

Auf PHP.net oder in der Abbildung weiter oben findest du die offizielle Information, wie lange die unterschiedlichen PHP-Versionen noch unterstützt werden. PHP 7.2 wird bereits nicht mehr aktiv entwickelt und Security-Updates gibt es nur noch bis Ende November 2020. Ein Upgrade auf PHP 7.3 oder 7.4 lohnt sich deshalb.

Zusätzlich bezahlen möchten allerdings die wenigsten und stellen die Version mit einem Klick gleich selbst um. Ein kurzer Blick auf die Webseite zeigt dann die Konsequenzen. Die Seite bleibt weiss, es kommen Fehler oder der Inhalt wird nicht mehr richtig angezeigt. Bei manchen Hostern kann die PHP Version – innerhalb kurzer Zeit – wieder auf die alte Version zurückgestellt werden. Damit ist das Problem allerdings nicht gelöst, sondern nur aufgeschoben.

Wie können wir dich unterstützen?

Falls du in einer solchen Situation bist und deine Webseite aufgrund der veralteten PHP-Version ebenfalls kurz vor dem möglichen Ende der Existenz steht, schauen wir gerne mit dir mögliche Optionen an. Entweder schaffen wir es gemeinsam deine aktuelle Webseite auf eine neue PHP-Version zu updaten und auftauchende Fehler zu beheben. Falls dies aber nicht der Fall sein sollte, können wir dir eine kostengünstige und schnelle Alternative in Form einer neuen Webseite anbieten. Da der Inhalt schon vorhanden ist, bieten wir hier entsprechend attraktive Preise.

Bei Interesse kannst du mich jederzeit telefonisch oder per Mail kontaktieren.

Matthias Tannò
+41 79 530 36 66
m.tanno@blinno.ch