Aus für PHP 5.6 Support: 62 % aller Internetseiten bergen ab 1.1.2019 ein Sicherheitsrisiko

Weihnachten naht. Und damit nicht nur die Zeit der Geschenke – sondern auch das Ende der Sicherheits-Updates der sehr beliebten offenen Programmiersprache PHP 5.x, wie ZDNet.com jetzt warnt. Fast 80 % aller Internetseiten verwenden heute laut einer W3Techs-Statistik PHP. Jene, welche die Version 5.6 nutzen, das sind immerhin ca. 62 %, sind mit Jahresende schutzlos neuen Bedrohungen ausgeliefert. Hunderte Millionen Webseiten und auch User sind dann vor Hacker-Angriffen gefährdet, wenn diese eine Sicherheitslücke in PHP finden. Denn PHP liegt u. a. Forensoftware und vor allem den sehr beliebten Contentmanagement-Systemen WordPress, Joomla und Typo3 zugrunde.

Die PHP-Community weiß schon seit längeren, was auf sie zukommt. Als PHP 5.6 letztes Frühjahr die meist genutzte PHP-Version wurde, hat das Unternehmen das Support-Ende zumindest bis Ende 2018 verschoben, um ein Desaster zu vermeiden. Die Funktionserweiterungen für PHP 5.6 wurden 2017 aber eingestellt.

„Tickende Zeitbombe“

Seit damals haben zahlreiche Entwickler und Sicherheitsforscher vor der „tickenden PHP-Zeitbombe“ gewarnt. Und nun ist das Enddatum beinahe da. Eine konzertierte Anstrengung, die User zum Umstieg auf PHP 7x zu bewegen, gab es leider nicht. Einzig allein Drupal und Typo3 haben ihre Mindestanforderungen auf PHP 7 hinaufgeschraubt. Die aktuellste PHP 7-Version gäbe es eigentlich schon seit 3. Dezember 2017. Joomla bleibt bei PHP 5.3 und WordPress überhaupt nur bei PHP 5.2.

WordPress bei mehr als 25 % der Internetseiten im Einsatz

WordPress ist auch am wenigsten beweglich, so Scott Arciszewski beim PHP-Sicherheitsexperten Paragon Initiative Enterprise: „Den größten Stillstand im PHP-Ökosystem in Bezug auf die Versionen ist ohne Zweifel WordPress. Es weigert sich nach wie vor, den Support für PHP 5.2 einzustellen, da unzählige Systeme WordPress noch auf uralten, nicht mehr betreuten PHP-Versionen laufen haben.” WordPress wird generell für mehr als ein Viertel aller Internetseiten verwendet, es empfiehlt seinen Kunden aber den Umstieg auf die aktuelle PHP-Version.

Hosting-Prover PHP-Updates gegenüber eher ablehnend

Viele CMS-Projekte und Hosting-Provider sehen in einem Upgrade aber die Gefahr einer Flut an Supportanfragen – und verweigern schlichtweg. Eine solche Haltung sollte ein guter Hosting-Provider eigentlich nicht einnehmen … Aber solange die Kunden nicht feststellen, dass ihre PHP-Version definitiv ausgedient hat, werden wenige switchen.

PHP 5.6 als neues Paradies für Hacker?

Die Meinungen, wie gefährdet PHP 5.6 nach Supportende ist, gehen auseinander. Einige Experten wie Sean Murphy von Defiant, sehen das Ganze nicht so dramatisch: „Eine PHP Schwachstelle […] wäre natürlich schlimm, aber ich kann mich an nichts Derartiges in letzter Zeit erinnern.” Er meint auch, dass das erste Ziel von Hackern nicht PHP selbst wäre, sondern eben Applikationen wie WordPress.

Dieser Meinung sind aber nicht alle Experten: Arciszewski glaubt, dass PHP 5.6 und die älteren Versionen der Gefahr von neuen Schwachstellen sicher vermehrt ausgesetzt sein werden. Immens beliebte Programme ohne Support – ein gefundenes Fressen für Hacker. Arciszewski sieht Parallelen zu den Zeiten, nachdem der Support für Windows XP eingestellt wurde.

Du arbeitest noch mit PHP 5.6 – dann solltest du auf 7.2 updaten!

Wenn du PHP 5.6 in irgendeiner Art und Weise nutzt – warum ein unnötiges Risiko eingehen? Unbedingt auf Version 7.2 updaten! Noch hast du einige Wochen dafür Zeit. Oder aber, du nimmst Geld in die Hand und zahlst für weiteren Support. Wenn du eine WordPress-Seite mit PHP 5.6 hast, wende dich an deinen Hosting-Provider, damit er ein entsprechendes Update durchführt.

Quelle: ZDNet.com

Zusammenfassung
Beitragstitel
Aus für PHP 5.6 Support: 62 % aller Internetseiten bergen ab 1.1.2019 ein Sicherheitsrisiko
Beschreibung
Fast 80 % aller Internetseiten verwenden heute laut einer W3Techs-Statistik PHP. Jene, welche die Version 5.6 nutzen, das sind immerhin ca. 62 %, sind mit Jahresende schutzlos neuen Bedrohungen ausgeliefert. Denn dann endet der Support.
Author
Verfasser
vavt.de
Verfasser Logo

Weitere interessante Artikel

PureVPN hat keine Logfiles weitergegeben

Hat PureVPN Daten aus Logfiles an Behörden gegeben?

Im Internet kursierten im vergangenen Jahr eine große Anzahl an Berichten, bei denen behauptet wurde in einem Fall in NewYork ...
VPN-Router mit MESH WLAN - Testbericht: Gl.iNet GL-B1300

VPN-Router mit MESH WLAN – Testbericht: Gl.iNet GL-B1300

Die Freunde von VPN-Routern haben lande auf einen echten "Mesh WLAN Router" gewartet. Nun wurde diese Anforderung von der Firma ...
ZorroVPN Logo

Nur wenige Tage: ZorroVPN um nur $5 pro Monat

Der Anbieter ZorroVPN hat nur einmal im Jahr und nur wenige Tage eine Rabattaktion.  Und aktuell ist es gerade soweit ...

Schreibe einen Kommentar