Diese Fiktion wird durch ständige Wiederholungen nicht besser, das Gerücht, ältere PHP-Versionen in Webhosting-Pakten seien per se unsicher, hält sich hartnäckig. Zeit, damit einmal aufzuräumen. Diese Aussagen unterstellen Providern nämlich die bewusste unsichere Serveradministration. Spätestens bei der Hinterfragung „Kann es denn sein, dass der Provider mir eine PHP-Version, die EOL (end of life) ist, anbietet und mir damit Sicherheitslücken frei Haus liefert?“ müsste sich der normale Menschenverstand regen.
Zudem: Viele Provider fordern Ihre Kunden auf, das installierte CMS zu aktualisieren, oder schalten die unsichere Version einfach mal so offline. Das zeugt nicht von einem Mangel an Sicherheitsbewusstsein, im Gegenteil.
Was bedeutet EOL? PHP-Versionen werden von den offiziellen PHP-Entwicklern eine festgelegte Zeit mit Wartungs- und Sicherheitsupdates versorgt (Active Support), dem folgt eine Zeit, in der nur noch Sicherheitsupdates herausgegeben werden (Security Support). Nach dieser Zeitspanne ist die PHP-Version EOL (end of life). Bei der PHP-Version 5.6, für die bereits der Securtiy Support läuft, ist das übrigens der 31. Dezember 2018. Eine Auflistung darüber finden Sie hier.
Ich habe bei Providern nachgefragt, warum sie immer noch PHP-Versionen, die offiziell nicht mehr unterstützt werden, anbieten. Das ist Service pur (wenn die aktuelle Version auch zur Verfügung steht), viele Kunden haben noch Programme am Start, die nur mit älteren PHP-Versionen funktionieren. Solche Skripte können natürlich auch sicherheitsanfällig sein, da sie selbst keine Updates mehr erhalten. Ein Hack bedeutet jedoch nicht zwangsläufig, dass der gesamte Server (und somit andere Kunden) gefährdet ist, wenn dieser richtig konfiguriert wurde.
Zu den PHP-EOL-Versionen: Die meisten Sicherheitslücken sind in mehreren Versionen – auch in den noch aktiv unterstützten – enthalten und es erscheinen dafür Updates. Diese werden von den Paketentwicklern der Distributionen auch bei den älteren Versionen eingepflegt.
Bei anderen, nur in den EOL-Versionen vorkommenden Lücken, wird der Patch von den Entwicklern der Distributionen erstellt, oder auch nur von einem Entwickler und andere übernehmen das dann. Häufig kommen diese Patches aber auch von der kostenpflichtigen Distribution RHEL. Und die gepatchten Distributionen werden natürlich von verantwortungsvollen Providern zeitnah installiert.
Dennoch sollte man natürlich, wann immer die installierte Software es zulässt, die aktuellste PHP-Version verwenden. Das bringt einen gehörigen Performance-Schub und manche Funktionen der Programme werden nur damit erst möglich. Auch können Software-Entwickler jederzeit den Support für ältere PHP-Versionen einstellen, das betrifft CMS, Add-ons, Themes, etc. gleichermaßen. Das wären dann die echten Gründe, einen Provider zu wechseln, der partout nicht die aktuellste PHP-Version zur Verfügung stellen will.
