Aus für PHP 5.6 Support: 62 % aller Internetseiten bergen ab 1.1.2019 ein Sicherheitsrisiko

Weihnachten naht. Und damit nicht nur die Zeit der Geschenke – sondern auch das Ende der Sicherheits-Updates der sehr beliebten offenen Programmiersprache PHP 5.x, wie ZDNet.com jetzt warnt. Fast 80 % aller Internetseiten verwenden heute laut einer W3Techs-Statistik PHP. Jene, welche die Version 5.6 nutzen, das sind immerhin ca. 62 %, sind mit Jahresende schutzlos neuen Bedrohungen ausgeliefert. Hunderte Millionen Webseiten und auch User sind dann vor Hacker-Angriffen gefährdet, wenn diese eine Sicherheitslücke in PHP finden. Denn PHP liegt u. a. Forensoftware und vor allem den sehr beliebten Contentmanagement-Systemen WordPress, Joomla und Typo3 zugrunde.

Die PHP-Community weiß schon seit längeren, was auf sie zukommt. Als PHP 5.6 letztes Frühjahr die meist genutzte PHP-Version wurde, hat das Unternehmen das Support-Ende zumindest bis Ende 2018 verschoben, um ein Desaster zu vermeiden. Die Funktionserweiterungen für PHP 5.6 wurden 2017 aber eingestellt.

„Tickende Zeitbombe“

Seit damals haben zahlreiche Entwickler und Sicherheitsforscher vor der „tickenden PHP-Zeitbombe“ gewarnt. Und nun ist das Enddatum beinahe da. Eine konzertierte Anstrengung, die User zum Umstieg auf PHP 7x zu bewegen, gab es leider nicht. Einzig allein Drupal und Typo3 haben ihre Mindestanforderungen auf PHP 7 hinaufgeschraubt. Die aktuellste PHP 7-Version gäbe es eigentlich schon seit 3. Dezember 2017. Joomla bleibt bei PHP 5.3 und WordPress überhaupt nur bei PHP 5.2.

WordPress bei mehr als 25 % der Internetseiten im Einsatz

WordPress ist auch am wenigsten beweglich, so Scott Arciszewski beim PHP-Sicherheitsexperten Paragon Initiative Enterprise: „Den größten Stillstand im PHP-Ökosystem in Bezug auf die Versionen ist ohne Zweifel WordPress. Es weigert sich nach wie vor, den Support für PHP 5.2 einzustellen, da unzählige Systeme WordPress noch auf uralten, nicht mehr betreuten PHP-Versionen laufen haben.” WordPress wird generell für mehr als ein Viertel aller Internetseiten verwendet, es empfiehlt seinen Kunden aber den Umstieg auf die aktuelle PHP-Version.

Hosting-Prover PHP-Updates gegenüber eher ablehnend

Viele CMS-Projekte und Hosting-Provider sehen in einem Upgrade aber die Gefahr einer Flut an Supportanfragen – und verweigern schlichtweg. Eine solche Haltung sollte ein guter Hosting-Provider eigentlich nicht einnehmen … Aber solange die Kunden nicht feststellen, dass ihre PHP-Version definitiv ausgedient hat, werden wenige switchen.

PHP 5.6 als neues Paradies für Hacker?

Die Meinungen, wie gefährdet PHP 5.6 nach Supportende ist, gehen auseinander. Einige Experten wie Sean Murphy von Defiant, sehen das Ganze nicht so dramatisch: „Eine PHP Schwachstelle […] wäre natürlich schlimm, aber ich kann mich an nichts Derartiges in letzter Zeit erinnern.“ Er meint auch, dass das erste Ziel von Hackern nicht PHP selbst wäre, sondern eben Applikationen wie WordPress.

Dieser Meinung sind aber nicht alle Experten: Arciszewski glaubt, dass PHP 5.6 und die älteren Versionen der Gefahr von neuen Schwachstellen sicher vermehrt ausgesetzt sein werden. Immens beliebte Programme ohne Support – ein gefundenes Fressen für Hacker. Arciszewski sieht Parallelen zu den Zeiten, nachdem der Support für Windows XP eingestellt wurde.

Du arbeitest noch mit PHP 5.6 – dann solltest du auf 7.2 updaten!

Wenn du PHP 5.6 in irgendeiner Art und Weise nutzt – warum ein unnötiges Risiko eingehen? Unbedingt auf Version 7.2 updaten! Noch hast du einige Wochen dafür Zeit. Oder aber, du nimmst Geld in die Hand und zahlst für weiteren Support. Wenn du eine WordPress-Seite mit PHP 5.6 hast, wende dich an deinen Hosting-Provider, damit er ein entsprechendes Update durchführt.

Quelle: ZDNet.com


Erstellt am: 16. Oktober 2018

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar