Webhoster, PHP und Sicherheitslücken

Vor rund 15 Jahren wurde das, was die meisten heute als „Internet“ bezeichnen würden, erfunden:
Browser, die Grafiken anzeigen konnten

Seit dieser Zeit werden Computer mehr und mehr vernetzt und somit anfälliger für Sicherheitslücken in Software. Niemand würde meinen Computer mit einem Virus verseuchen, wenn er nicht im Internet hinge. Software zu Updaten oder neue Versionen einzuspielen, weil Sicherheitslücken gefunden wurden, ist inzwischen ein alltäglicher Vorgang. Eine Software, die dabei aber kaum jemand beachtet, ist PHP.

Was ist PHP?

PHP ist die Skriptsprache, die euer Blog zum Laufen bringt, die Sprache, mit der WordPress, die Plugins und auch die Themes programmiert werden. Aber auch Serendipity, Joomla, vBulletin oder PHPBB sind nur PHP Skripte. Fast alles, was sich Web2.0 nennt basiert an irgend einer Stelle auf PHP und doch widmet man PHP meist keine Aufmerksamkeit.

Aktuell ist PHP 4.4.7 und 5.2.4

In der Regel wird man auf seinem Webserver entweder PHP 4 oder PHP 5 finden, von beiden gibt es diversen Versionsnummern, aktuell sind 4.4.7 und 5.2.4 , meist wird man aber auf veraltete Versionen stoßen, die mit haufenweisen Sicherheitslücken bestückt sind.
PHP 4 ist noch dazu konzeptionell total veraltet, wurde PHP 4.0 doch schon im Jahre 2000 veröffentlicht. Dies ist auch der Grund, warum der Support für PHP 4 zum Jahresende eingestellt wird. Trotzdem benutzen noch fast 80% aller Webangebote PHP 4, wie nexen.net herausgefunden hat. Der Grund dürfte sein, dass die meisten Applikationen PHP 4 unterstützen und manche nicht kompatibel zu PHP 5 sind, weshalb die Hoster PHP 4 installieren und im Gegenzug damit die Entwickler nicht den Druck verspüren, ihre Anwendungen auf PHP5 zu portieren…
Wordpress, wie viele andere große Anwendungen sind aber inzwischen PHP 5 kompatibel.

Wie finde ich heraus, welche PHP-Version mein Hoster einsetzt?

Mit dem PHP-Befehl phpinfo() wird der PHP Interpreter angewiesen, Systeminformationen über die PHP-Konfiguration anzuzeigen. Ladet einfach die info.php.txt (Nach dem Herunterladen das .txt einfach löschen) und kopiert sie auf euren Webserver. Ruft die Datei auf (zB http://www.mydomain.de/info.php ) und schon seht ihr, welche Version verwendet wird. Löscht aber anschließend die Datei wieder von eurem Webserver, böse Jungs können aus diesen Informationen nämlich einfach erkennen, an welchen Sicherheitslücken sie ansetzen können.

Was kann ich tun, wenn mein Webhoster PHP 4 einsetzt?

Im Gegensatz zu der Blogsoftware gehört das PHP-System zu den Systemdateien und kann darum vom Nutzer nicht einfach ausgetauscht werden, oft bieten die Hoster aber beide PHP Versionen an und der Nutzer kann die Versionen umstellen.
Verwendet euer Hoster noch PHP 4, dann durchsucht mal seine FAQs, so fand ich in den FAQs meines Webhosters 1blu,de nach der Suche mit dem Begriff „PHP5“ eine Anleitung, wie ich ganz einfach von PHP4 auf PHP5 umsteigen kann. Bei Goneo.de kann man die Umstellung einfach im Kundencenter vornehmen.

Was kann ich tun, wenn mein Webhoster veraltete Versionen einsetzt?

Direkt kann man, wie erwähnt, das PHP-System nicht upgraden. Veröffentlichen, wie veraltet die verwendete Version ist, möchte man aus Sicherheitsgründen auch nicht. Somit bleibt einem nichts anderes zu tun, als an den Support des Webhosters zu schreiben und um ein Upgrade bitten und eventuell mit Kündigung zu drohen.

Anregung via sw-guide

Stichworte zu diesem Artikel: ,,,

2 Kommentare ↓

#1 Starkiller am 10.09.07 um 16:46

> Niemand würde meinen Computer mit einem Virus verseuchen,
> wenn er nicht im Internet hinge
Viren sind wesentlich älter als das Internet, auch damals gab es schon Verbreitungsmöglichkeiten, solange du nicht völlig darauf verzichtest deinem Rechner, in welcher Form auch immer, neue Informationen zuzufügen, wird es auch immer eine zumindest rechnerische Möglichkeit für den Einfall von Viren geben.

Was php angeht, ich habe mal gehört das viele bei php4 bleiben, weil die Version ausgereift und stabil ist. Zusätzlich, wäre es so das fast keiner die Funktionen von php5 braucht, die meisten sogar fast noch mit php3 klar kommen würden, aber ich hab auch keine Ahnung von php. Würde zumindest erklären warum auch die Kunden wenig Druck verspüren auf eine neue Version umzusteigen.

Bei Sicherheitslücken hört der Spass aber natürlich auf, hier geht es um ein nicht endendes Wettrennen das man nur temporär für sich entscheiden kann wenn man seine Software aktuell hält.

#2 Hendrick am 22.12.08 um 19:38

Ein Upgrade auf PHP5 ist meiner Meinung nach schon wichtig. PHP4 wird nicht umsonst nicht mehr weiterentwickelt.

Hinterlassen Sie einen Kommentar


Kommentieren sie zum ersten Mal in diesem Blog? Dann wird Ihr Kommentar erst angezeigt, nachdem Marnem ihn freigeschalten hat. Bitte haben Sie dafür Verständnis.
Welche Daten über Sie gespeichert wurden, können Sie in der Datenschutzerklärung nachlesen.