Seit 12 Monaten leben und arbeiten wir mehr oder weniger permanent in einer Art Ausnahmezustand. Da werden wir auf vielen Ebenen nachlässig, zum Beispiel auch bei der standardmäßigen CMS-Pflege. Dabei kann es leicht passieren, dass wir wesentliche Routinearbeiten wie Software-Updates, SEO-Tuning, Weiterentwicklungen und technisch aktuelle Absicherung unserer Websites und Onlineshops vergessen. Oder einfach unvernünftiger Weise mal weit nach hinten schieben. Wenn Ihnen dann nicht eine beauftragte Agentur mahnend zur Seite steht, vergeht eine Menge Zeit, in der Ihr Wettbewerb an Ihnen vorbeizieht oder Sie leicht ins Visier von Hackern geraten. Beides hat in jedem Fall unangenehme Konsequenzen.
Warum Hacker veraltete CMS-Software lieben
Sobald neue CMS-Versionen oder dazugehörige Plugins/Extensions veröffentlicht sind, stürzen sich Cyberkriminelle darauf und untersuchen diese auf Schwachstellen. Das heißt, eigentlich suchen sie ganz gezielt Sicherheitslücken. Da gibt es einige Klassiker, aber deren genaue Erläuterung würde hier den Rahmen sprengen. Wichtiger ist, dass je länger eine Software auf dem Markt ist, umso mehr Zeit haben die „bösen“ Jungs (und Mädels), sich ekelige Sachen auszudenken. Da sich Alter und Version einer CMS-Software problemlos „von aussen“ feststellen lassen, lädt eine veraltete Version also geradezu zum Angriff ein. Ein aktueller Softwarestand hingegen, der auch sicherheitstechnisch „TOP“ ist, schreckt eher ab. Deshalb gibt es bei der CMS-Pflege Arbeiten, die regelmäßig erfolgen müssen. Dazu gehören Updates ALLER Software-Komponenten auf aktuelle Versionen, SEO-Anpassungen, gültige Zertifikate und vieles andere mehr. Es gibt geeignete Zusatz-Tools, die hier bei der Sicherung und Optimierung helfen.
CMS-Pflege ist nichts für Überflieger
Dieser Artikel ist nichts für Leser, die lieber alles „überfliegen“, aber nicht wirklich in eine Thematik einsteigen möchten. Die richtigen Rahmenbedingungen für den Online-Betrieb zu schaffen, ist Unternehmerpflicht. Und da es kaum noch Websites oder Shops gibt, die ohne CMS auskommen und damit ein sehr komplexes Arbeitsgebiet darstellen, sollten Sie tiefer einsteigen. Denn nur so können Sie die richtigen Entscheidungen treffen und sichere Vorgaben zur CMS-Pflege formulieren.
Aus diesem Grund haben wir regelmäßig verschiedene Aspekte des Themas behandelt. Dadurch ist eine Reihe von Artikeln entstanden, die Sie sich im Anschluss vielleicht noch einmal durchlesen sollten. Auch wenn wir uns hier in erster Linie auf die Content Management Systeme „WordPress“ und „Typo3“ beziehen, so gelten die folgenden Ausführungen zur CMS-Pflege generell für alle Softwares dieser Art.
Darauf müssen Sie bei der CMS-Pflege unbedingt achten
Wenn Sie Ihr Content Management System im TOP-Zustand halten wollen, dann kommen gleich mehrere wichtige Kriterien zusammen:
- die CMS-Version
- die Betriebssystem-Version
- die PHP-Version
Im folgenden nennen wir die aktuellen Versionen, damit Sie bei Ihrer Agentur gleich nachhaken können, wo Sie gerade stehen.
Typo3
Beginnen wir mit Typo3. Aktueller Softwarestand (vom 17.02.2021) ist das Release 11. Dieses ist derzeit noch selten im Einsatz, aber es ist seit 22.12.2020 verfügbar. Das bedeutet, dass diese Version bis 31.03.2023 garantiert mit regulären Updates und Patches versorgt wird. Und bis zum 31.10.2024 stehen Bugfixes zur Verfügung. Danach sind Patches aller Art noch kostenpflichtig verfügbar. Das Typo3 Release 11 benötigt zwingend die PHP-Version 7.4, unterstützt jedoch noch nicht PHP 8.0.
Heute ist die am häufigsten verwendete Version das Release 9.5. Es wird noch bis 10.2021 mit Bugfixes versorgt. Das ist nicht mehr allzu viel Zeit, also behalten Sie den Termin im Auge, wenn Sie diese Version verwenden. Auch die Aktualität von PHP sollten Sie beobachten. Derzeit läuft Typo3 Release 9.5 mit PHP 7.2 bis 7.4.
WordPress
Nun zu WordPress. WordPress ist aufgrund seiner unzähligen Plugins recht wartungsintensiv und hat kurze Aktualisierungszyklen. Das liegt wohl daran, dass dieses CMS bei Anwendern wie Hackern gleichermaßen beliebt ist. Hier ist das Release 5.6 die aktuelle Version (Stand Ende Februar 2021). Die immer noch am häufigsten betriebene ist die Version 5.0. Während letztere noch nicht wirklich kompatibel mit neueren PHP-Versionen ist, benötigt die aktuelle WP-Version PHP 7.2 oder 7.3. Viele PlugIns sind ebenfalls noch nicht kompatibel mit den aktuellen PHP- und WordPress-Ständen, die meisten wirklich wichtigen aber schon.
Betriebssysteme
Kommen wir nun zu den verwendeten Betriebssystemen. Denn diese spielen bei der CMS-Pflege eine extrem wichtige Rolle. Wir beschränken uns hier auf die am häufigsten verwendeten Varianten Debian und Red Hat-kompatible wie CentOS/Scientific Linux. Ab hier wird es „etwas“ komplex, aber hoffentlich verschafft die folgende Liste ein wenig Übersicht:
- Das Debian 8 bringt PHP 5.6.40,
- die Debian Version 9 arbeitet mit PHP 7.0,
- Debian 10 brachte PHP 7.3.
- CentOS
7 hatte PHP 5.4 an Bord, - Die CentOS Version 8 brachte PHP 7.2 mit,
- CentOS 8 heisst heute CentOS Stream und hat PHP 7.4 an Bord.
Der richtige Umgang mit dem Verwirrspiel der unterschiedlichen Versionen
Es ist schon ein wenig verwirrend. Man kann zwar auf einem „alten“Debian 8 auch PHP 7.4 einrichten, muss dann aber auf zusätzliche Repositorien (gepflegte Software-Archive) von Dritt-Anbietern zurückgreifen. Wenn man weiss, was man tut (Hallo, Admin beim Server-Betreiber!), ist das noch relativ unproblematisch. Allerdings funktionieren danach automatische Betriebssystem-Updates nicht mehr ohne Risiken, eventuell muss dann auch weitere Betriebssystem-nahe Software von Hand gepflegt werden. Das ist bei jedem Betriebssystem so. Die Pflege ist dann also deutlich aufwendiger.
Technisch besser ist es also, das CMS auf einen neueren Server mit aktuellem Betriebssystem und PHP zu bringen. Wenn das CMS (und eventuelle eigens programmierte Funktions-Erweiterungen) denn auch mit diesem funktioniert. Bei einem Versionssprung innerhalb eines Major-Releases (z.B. von Typo3 9 auf 9.5) ist das meist unproblematisch, bei einem Sprung auf das nächste oder übernächste Major-Release ist Gehirn-Zehnkampf angesagt.
Und spätestens hier „beisst sich die Katze in den Schwanz“. Mausklicken, Knöpfchen drücken oder ähnliches stößt hier an Grenzen. Und wie nun also?
Der sichere Weg
Bei der BB-ONE.net kommt an dieser Stelle das hauseigene und exklusive ActiveBackup-System zum Einsatz. Hierbei wird eine vollständige lauffähige Kopie des Live-Servers erstellt.
