Webhoster, PHP und Sicherheitslücken

Vor rund 15 Jahren wurde das, was die meisten heute als „Internet“ bezeichnen würden, erfunden:
Browser, die Grafiken anzeigen konnten

Seit dieser Zeit werden Computer mehr und mehr vernetzt und somit anfälliger für Sicherheitslücken in Software. Niemand würde meinen Computer mit einem Virus verseuchen, wenn er nicht im Internet hinge. Software zu Updaten oder neue Versionen einzuspielen, weil Sicherheitslücken gefunden wurden, ist inzwischen ein alltäglicher Vorgang. Eine Software, die dabei aber kaum jemand beachtet, ist PHP.

Was ist PHP?

PHP ist die Skriptsprache, die euer Blog zum Laufen bringt, die Sprache, mit der WordPress, die Plugins und auch die Themes programmiert werden. Aber auch Serendipity, Joomla, vBulletin oder PHPBB sind nur PHP Skripte. Fast alles, was sich Web2.0 nennt basiert an irgend einer Stelle auf PHP und doch widmet man PHP meist keine Aufmerksamkeit.

Aktuell ist PHP 4.4.7 und 5.2.4

In der Regel wird man auf seinem Webserver entweder PHP 4 oder PHP 5 finden, von beiden gibt es diversen Versionsnummern, aktuell sind 4.4.7 und 5.2.4 , meist wird man aber auf veraltete Versionen stoßen, die mit haufenweisen Sicherheitslücken bestückt sind.
PHP 4 ist noch dazu konzeptionell total veraltet, wurde PHP 4.0 doch schon im Jahre 2000 veröffentlicht. Dies ist auch der Grund, warum der Support für PHP 4 zum Jahresende eingestellt wird. Trotzdem benutzen noch fast 80% aller Webangebote PHP 4, wie nexen.net herausgefunden hat. Der Grund dürfte sein, dass die meisten Applikationen PHP 4 unterstützen und manche nicht kompatibel zu PHP 5 sind, weshalb die Hoster PHP 4 installieren und im Gegenzug damit die Entwickler nicht den Druck verspüren, ihre Anwendungen auf PHP5 zu portieren…
Wordpress, wie viele andere große Anwendungen sind aber inzwischen PHP 5 kompatibel.

Wie finde ich heraus, welche PHP-Version mein Hoster einsetzt?

Mit dem PHP-Befehl phpinfo() wird der PHP Interpreter angewiesen, Systeminformationen über die PHP-Konfiguration anzuzeigen. Ladet einfach die info.php.txt (Nach dem Herunterladen das .txt einfach löschen) und kopiert sie auf euren Webserver. Ruft die Datei auf (zB http://www.mydomain.de/info.php ) und schon seht ihr, welche Version verwendet wird. Löscht aber anschließend die Datei wieder von eurem Webserver, böse Jungs können aus diesen Informationen nämlich einfach erkennen, an welchen Sicherheitslücken sie ansetzen können.

Was kann ich tun, wenn mein Webhoster PHP 4 einsetzt?

Im Gegensatz zu der Blogsoftware gehört das PHP-System zu den Systemdateien und kann darum vom Nutzer nicht einfach ausgetauscht werden, oft bieten die Hoster aber beide PHP Versionen an und der Nutzer kann die Versionen umstellen.
Verwendet euer Hoster noch PHP 4, dann durchsucht mal seine FAQs, so fand ich in den FAQs meines Webhosters 1blu,de nach der Suche mit dem Begriff „PHP5“ eine Anleitung, wie ich ganz einfach von PHP4 auf PHP5 umsteigen kann. Bei Goneo.de kann man die Umstellung einfach im Kundencenter vornehmen.

Was kann ich tun, wenn mein Webhoster veraltete Versionen einsetzt?

Direkt kann man, wie erwähnt, das PHP-System nicht upgraden. Veröffentlichen, wie veraltet die verwendete Version ist, möchte man aus Sicherheitsgründen auch nicht. Somit bleibt einem nichts anderes zu tun, als an den Support des Webhosters zu schreiben und um ein Upgrade bitten und eventuell mit Kündigung zu drohen.

Anregung via sw-guide

How to Shoot Yourself In the Foot – with php in html

Na sauber, ich wundere mich schon, warum keine Reaktion auf meinen CopyBlogger Eintrag kommt und sehe gerade erst, dass in den meisten Browsern der Artikel nicht komplett angezeigt wurde, geschweige denn die anderen Artikel oder der Kommentarlink…
Man sollte halt nicht alles mit dem N800 bloggen, weil der Opera hat alles richtig angezeigt. Ein HTML-Kommentarzeichen wird halt von vielen Browsern als HTML-Kommentarzeichen ausgewertet, auch wenn er in einem < *code>< */code> Block steht…

How To Shoot Yourself in the Foot in Any Programming Language