Die Skriptsprache PHP – ihr Name stand einst für "Personal Homepage Tools" – gehört zu den technischen Grundpfeilern des Internets. Sie kann mit zahlreichen Protokollen umgehen und lässt sich mit diversen Datenbanken koppeln. Zahlreiche Anwendungen basieren auf ihr, darunter Forensoftware we phpBB oder auch beliebte Content-Management-Systeme wie Wordpress oder Typo3.

Die hohe Verbreitung der weitgehend offenen Sprache könnte allerdings bald für ein Problem sorgen, das ein wenig Erinnerungen an Windows XP weckt. Denn ab 1. Jänner könnten fast zwei Drittel aller Webseiten potenziell unsicher sein. Denn sie laufen dann mit einer PHP-Version, die von den Entwicklern keinerlei Unterstützung mehr bekommt, berichtet ZDNet.

5.6 meistgenutzte Ausgabe

Schon seit 2017 gibt es keine Funktionserweiterungen für PHP 5.6 mehr. Ende dieses Jahres wird auch der Security-Support eingestellt. 5.6 ist der letzte Versionszweig des 2004 veröffentlichten PHP 5, der überhaupt noch versorgt wurde. Somit bleiben Betreibern nun rund zehn Wochen, um auf PHP 7 umzusteigen– oder für längeren Support zu zahlen. Aktuell ist mittlerweile Version 7.2, die im November 2017 erschien. Die Versionsnummer 6 war nach dem Scheitern des ersten Entwicklungsprojekts übersprungen worden.

Laut der Statistik von W3techs laufen aktuell 78,9 Prozent aller Webseiten mit PHP. Davon wiederum nutzen 61,8 Prozent eine 5.x-Version. Davon entfällt mit 41,5 Prozent wiederum der größte Teil auf PHP 5.6.

Wenig Bewegung

Für Cyberkriminelle ist das Auslaufen der Sicherheitsunterstützung freilich eine interessante Möglichkeit, um neue Opfer zu finden. Denn immerhin geht es um hunderte Millionen Seiten. Verschiedene Entwickler haben bereits vor der "PHP-Zeitbombe" gewarnt. Aber breite Anstrengungen, Leute zu einem Umstieg zu bewegen, gab es offenbar nicht.

Von den Entwicklern bekannter Content-Management-Systeme haben nur wenige bisher eine Anhebung der Minimalanforderungen auf PHP 7 angekündigt oder umgesetzt. Typo 3 sieht mittlerweile Version 7.2 als Mindeststandard an. Drupal folgt mit einer Anhebung auf Version 7 im März 2019. Zu beachten ist, dass der Sicherheitssupport für Version 7.0 bereits im Dezember endet. Joomla und Wordpress setzen weiterhin als Mindestkonfiguration die längst veralteten Ausgaben PHP 5.3 bzw. 5.2 voraus.

Dabei könnte gerade eine Anhebung durch Wordpress viel bewegen, läuft doch mittlerweile mehr als ein Viertel aller Seiten mit dem System. Laut den Entwicklern werden Nutzer alter Versionen darüber in Kenntnis gesetzt, dass sie von ihrem Hostinganbieter ein Update von PHP verlangen sollten.

Windows XP-Déjà-vu

Der Sicherheitsexperte Sean Murphy von Defiant geht davon aus, dass Cyberkriminelle das Supportende zu allererst wohl dafür verwenden würden, um bekannte Software, eben Systeme wie Wordpress oder Foren, anzugreifen.

Dass die beliebteste PHP-Version demnächst ohne Unterstützung sei, böte "perfekte Bedingungen" für Schurken, die wohl verstärkt nach Schwachstellen suchen werden. Ähnliche Beobachtungen habe man auch schon nach dem Supportende von Windows XP vor vier Jahren gemacht. (red, 15.10.2018)