Das Web hat ein Problem mit veralteter Software

Manche mögen sagen, dass im Web nichts ewig hält. Und dass Veränderung vielleicht die einzige Konstante ist. Lieblingswebsites kommen und gehen, genau wie Tools und Technologien. Sicher, an diesen Aussagen ist etwas Wahres – aber es ist auch komplizierter.

Sehen Sie, die Dinge verschwinden nicht wirklich, sondern treten in den Hintergrund. Die Website, die früher vor Verkehr summte, könnte sich in eine Geisterstadt verwandeln. Und es ist genauso wahrscheinlich, dass die Technologie hinter dieser Seite ebenfalls Staub ansammelt.

Aber es sind nicht nur diese alten, unbeaufsichtigten Websites, die Probleme haben. Es gibt auch Situationen, in denen eine geschäftskritische Website auf veraltete Software angewiesen ist. Das kann alles sein, von einem aufgegebenen WordPress-Plugin bis hin zu einer nicht unterstützten Version von PHP.

Es ist alles andere als eine ideale Situation. Und viele potenzielle Probleme können entstehen, wenn man an diesen alten Standbys festhält. Es ist jedoch auch die Realität des modernen Webs. So schnell wie neue Technologien auftauchen, um das Rampenlicht zu erobern, tappt die alte weiterhin im Schatten.

Das Problem ist komplex – und die möglichen Lösungen sind es auch. Ist es überhaupt möglich, das Netz von diesen Dinosauriern zu befreien?

Warum verwenden Websites weiterhin Legacy-Code?

Wenn Sie sich eine Website vorstellen, die Legacy-Code verwendet – was kommt Ihnen in den Sinn? Vielleicht ist es ein Blog, der seit ein paar Jahren keine neuen Inhalte mehr gesehen hat. Oder eine nicht mehr existierende Online-Community. Sie könnten sogar an eine ruhende Geschäftswebsite denken.

Der rote Faden dieser Beispiele ist, dass es sich wahrscheinlich um kleine und kostengünstige (möglicherweise kostenlose) Websites handelt. Entitäten, die in der Zeit eingefroren sind.

Stellen Sie sich nun eine große Unternehmenswebsite vor, die stark angepasst ist. Vielleicht enthält es maßgeschneiderte Funktionen, mit denen Kunden ihre Rechnungen bezahlen können. Es könnte ein benutzerdefiniertes WordPress-Plugin geben, das einen bestimmten Arbeitsablauf für Teammitglieder erleichtert.

Benutzerdefinierte Funktionen sind teuer und zeitaufwändig in der Herstellung. Und in einigen Fällen kann es zerbrechlich sein. Es kann sich auf eine Methode oder Funktion stützen, die in neueren Versionen der abhängigen Software nicht unterstützt wird. Beispielsweise funktioniert eine Anwendung, die für PHP 5 erstellt wurde, möglicherweise nicht mehr in PHP 8.

Und obwohl ein Entwickler (oder ein Team von ihnen) den Code umgestalten kann, ist es nicht immer einfach oder passt in ein bestimmtes Budget. Ähnlich wie die alten Geschichten von Unternehmensbenutzern, die Internet Explorer 6 lange nach seiner Zeit beibehalten haben, kann Legacy-Code jahrelang weiterleben.

Unter dem Strich bleibt veraltete Software sehr aktiv im Einsatz. Das gilt sowohl am oberen als auch am unteren Ende der Skala.

Zwei Paradebeispiele: PHP und WordPress

Nutzungsstatistiken ändern sich regelmäßig – und sie werden sich zweifellos nach Veröffentlichung dieses Artikels ändern. Aber vor allem zwei Trends sind Paradebeispiele für veraltete Software in Aktion: PHP und WordPress.

PHP 5 und 7 sind immer noch da draußen

Zum jetzigen Zeitpunkt ist die neueste Version von PHP 8.1. Es wurde im November 2021 veröffentlicht und Sicherheitsupdates sollen im November 2024 enden. Version 8.0 wurde im November 2020 veröffentlicht (Sicherheitsupdates enden im November 2023). Version 7.4 wurde im November 2019 in die Welt hinausgeschickt (Sicherheitsupdates enden im November 2022).

Daher sind die Versionen 8 und höher seit mehreren Jahren bei uns. Doch laut den PHP-Nutzungsstatistiken von W3Techs verwenden etwas mehr als 6 % der befragten Websites PHP 8 oder 8.1. Inzwischen verwenden 70 % eine Variante von PHP 7, und fast 23 % führen immer noch PHP 5 aus (das 2018 nicht mehr unterstützt wurde).

Der Übergang zwischen den Hauptversionen von PHP ist in der Regel langsam. Das liegt wahrscheinlich teilweise an Änderungen in der Kompatibilität. WordPress und sein Ökosystem haben beispielsweise einen langen Weg zur vollständigen Unterstützung von PHP 8 hinter sich.

Außerdem haben Webhoster Kunden traditionell nicht zu sehr zu einem Upgrade gedrängt (mehr dazu gleich). Gleichzeitig reichen Website-Besitzer von PHP-Unkenntnis bis hin zu wenig Bedenken hinsichtlich eines Upgrades.

Kurz gesagt: Es gab wenig Gefühl der Dringlichkeit. Oder nicht genug davon, um das Blatt zu wenden und mehr Websites mit der neuesten Version zu erhalten.

PHP-Versionsstatistiken von W3Techs, Stand November 2022

WordPress 4 und 5 Live On

Während wir in Druck gehen (Wortspiel beabsichtigt), wurde WordPress 6.1 veröffentlicht. Es ist die neueste Version des beliebtesten Content-Management-Systems (CMS), das der Menschheit bekannt ist.

Und laut den WordPress-Nutzungsstatistiken von W3Techs verwenden fast 60 % der befragten Websites Version 6 oder höher. Es ist deutlich höher als die Nutzungsraten für PHP 8. Das ist jedoch wahrscheinlich nicht allzu überraschend.

Im Vergleich dazu ist die Aktualisierung von WordPress einfacher und kann sogar automatisiert werden. Websitebesitzer und Wartungsverantwortliche müssen nicht unbedingt einen Finger rühren, um ein Upgrade durchzuführen. Managed-Hosting-Anbieter können sich auch darum kümmern. Und WordPress ist dafür bekannt, Abwärtskompatibilität zu schätzen, sodass die Wahrscheinlichkeit geringer ist, dass ein größeres Problem auftritt.

Aber da hängen immer noch veraltete Versionen drin. Version 5 unterstützt 34 % der Installationen, während über 6 % der Installationen an Version 4 festhalten.

Wenn es eine gute Nachricht gibt, dann die, dass der WordPress-Kern weiterhin Sicherheitsupdates für mehrere ältere Versionen der Software veröffentlicht. Dennoch verlieren diese Websites neue Funktionen und Leistungsverbesserungen. Ganz zu schweigen von möglichen Themen- und Plugin-Kompatibilitätsproblemen. Oh, und es ist unwahrscheinlich, dass sie mit der neuesten Version von PHP funktionieren.

Es ist auch erwähnenswert, dass diese Statistiken keine Websites berücksichtigen, auf denen veraltete oder aufgegebene Plugins und Designs ausgeführt werden. Das könnte eine ganz andere Galaxie sein, die es wert ist, erkundet zu werden, aber genauso relevant ist. Hier entstehen die meisten WordPress-bezogenen Sicherheitsprobleme.

WordPress-Versionsstatistiken von W3Techs, Stand November 2022

Warum dies ein Problem ist

Der Begriff „veraltete Software“ kann allerlei Alptraumbilder heraufbeschwören. Eine Person, die online mit einer ungepatchten Version von Windows XP einkauft, kommt mir in den Sinn. Es könnte funktionieren, aber es birgt viele Risiken, es weiter zu verwenden.

Sicherheit ist von größter Bedeutung. Es liegt nahe, dass die Verwendung einer PHP-Version, die keine Sicherheitsupdates mehr erhält, ein Risiko darstellt. Angriffe, die mit neueren Versionen leicht gestoppt werden könnten, könnten einem Legacy-Setup Schaden zufügen.

Aber auch die Verwendung einer alten JavaScript-Bibliothek oder eines Server-Dienstprogramms mit einer offenen Sicherheitslücke. Abhängigkeiten aller Art können schließlich gefährlich sein. Die jüngste Schwachstelle in Log4j ist nur eine von vielen Erinnerungen.

Dann gibt es Fragen der Effizienz und Leistung. Veraltete Software, der diese Verbesserungen fehlen, kann sich negativ auf die Benutzererfahrung, SEO und den Energieverbrauch auswirken.

Und je veralteter die Software, desto schwieriger (und teurer) kann es sein, sie in Zukunft auf den neuesten Stand zu bringen. Jede nachfolgende Version kann dem Prozess Hindernisse hinzufügen.

Einige Webhoster erzwingen das Problem

Webhoster spielen eine Rolle bei der Unterstützung ihrer Kunden bei der Implementierung neuer Software. Und einige werden bei diesen Bemühungen aggressiver.

PHP war ein primäres Ziel. Einige Hosts gestatten Kunden, weiterhin eine nicht unterstützte Version auszuführen, erheben jedoch eine zusätzliche Gebühr. Dies könnte auf höhere Supportkosten für Kunden zurückzuführen sein, die veraltete Software verwenden. Zumindest ist es eine Möglichkeit, Benutzer davon zu überzeugen, ein Upgrade durchzuführen.

Andere haben jedoch eine härtere Haltung eingenommen. Sie benachrichtigen Kunden, die eine veraltete PHP-Version verwenden, und teilen ihnen ein geplantes Upgrade-Datum mit. Von dort aus wird die Site aktualisiert, unabhängig davon, ob sie für die neue Version getestet oder gepatcht wurde.

Wie effektiv diese Maßnahmen sein werden, bleibt abzuwarten. Aber die Bereinigung veralteter Software ist ein gewaltiges Unterfangen. Also muss jemand den Stein ins Rollen bringen. Gastgeber sind dafür gut aufgestellt.

Raus mit dem Alten?

Mit über 30 Jahren hat das Internet eine unschätzbare Menge an Software gehostet. Betrachten Sie all die Apps – große und kleine – die im Laufe der Zeit heruntergeladen und auf Servern installiert wurden. Es ist kein Wunder, dass einige weit über ihr Verfallsdatum hinaus an Ort und Stelle gelassen wurden.

Manchmal bleibt dieser Legacy-Code aus Notwendigkeit bestehen – andere Anwendungen sind davon abhängig. Es kann aber auch einfach passieren, weil der Besitzer einer Website sich der Situation nicht bewusst ist. Möglicherweise hat sich niemand wegen eines Upgrades an sie gewandt.

In beiden Fällen werden Ressourcen benötigt, um die Modernisierungsbemühungen zu verstärken. Auf Unternehmensebene bedeutet dies, Zeit und Geld aufzuwenden, um die Dinge mit neueren Versionen weiterzuentwickeln.

Auf den unteren Sprossen der Leiter ist Bildung ein Schlüsselfaktor. Webhoster beginnen zu erkennen, wie wichtig es ist, Kunden auf dem Laufenden zu halten. Und Webdesigner sollten dasselbe tun.

Es beginnt damit, dass die Kunden wissen, wo sie stehen, die Gefahren der Verwendung veralteter Software und die Vorteile eines Upgrades. Von dort aus können sie fundierte Entscheidungen treffen.

Nein, eine einzige aktualisierte Website wird die Welt nicht verändern. Aber jeder ist ein kleiner Schritt in Richtung eines sichereren Webs, das die neuesten Technologien nutzen kann.