Hunderte Millionen Webseiten in Gefahr

Ab dem Jahresende bekommt die PHP-Version 5.6 keine Sicherheitsupdates mehr. Aber noch immer haben die meisten Webseitenbetreiber nicht auf eine aktuelle Version umgestellt und laufen somit Gefahr, Opfer von Hackerangriffen zu werden.

Nach der oft hakeligen Umstellung auf https zu Anfang des Jahres droht vielen Webseitenbetreibern zum kommenden Jahreswechsel nun ein noch weitaus größeres Problem. Denn zum Jahresende stellt die Entwickler-Community den erweiterten Support für PHP 5.6 ein. Somit gibt es dann keine kostenlosen Sicherheitspatches mehr für diese Version der beliebten Open-Source-Skriptsprache. Obwohl der Schritt schon vor knapp zwei Jahren angekündigt und die Weiterentwicklung bereits Ende des vergangenen Jahres eingestellt wurde, haben bislang die wenigsten Webseitenbetreiber und Hoster darauf reagiert.

Analysten wie W3techs gehen davon aus, dass inzwischen fast 80 Prozent aller Webseiten auf das flexible und effiziente PHP setzen. Über drei Viertel von ihnen nutzen PHP 5.6 und teils sogar noch ältere, schon jetzt nicht mehr mit aktuellen Sicherheitsupdates belieferte Versionen. Um auch 2019 möglichst sicher zu bleiben, sollten sie schnell auf eine aktuelle Entwicklungsstufe umziehen. Am besten direkt auf das vor einem Jahr veröffentlichte PHP 7.2, da auch für die Version 7.0 der Support ebenfalls im Dezember schon ausläuft. Security-Experten rechnen aufgrund der weiten Verbreitung damit, dass sich Cyberkriminelle schon jetzt intensiv darauf vorbereiten, Anfang nächsten Jahres eine Welle von Angriffen auf Webseiten mit veraltetem PHP zu starten. Ähnliches war nach dem Support-Ende für Windows XP zu beobachten gewesen.

Eine Ursache für das Verschlafen dieser wichtigen Umstellung liegt wohl im fehlenden Druck Seitens der Entwickler von weit verbreiteten Content-Management-Systemen, die auf PHP basieren. So geben sich etwa Joomla und insbesondere Wordpress, das mehr als 25 Prozent Marktanteil hat, als Mindestanforderung weiterhin mit PHP-Versionen zufrieden, die sogar noch älter sind als PHP 5.6. Die Entwickler von Drupal wollen immerhin bis März nächsten Jahres Version 7 voraussetzen. Einzig Typo 3 fordert mit PHP 7.2 tatsächlich die aktuelle Version. Die PHP-Entwickler wollen deshalb in den nächsten Wochen noch einmal alle Nutzer der veralteten 5. Generation daran erinnern, rechtzeitig ein Update bei ihren Hosting-Anbietern anzustoßen.