WordPress kann durchaus als erfolgreich bezeichnet werden. Je nach erhobener Statistik nutzen bis zu 23% aller Websites weltweit WordPress als CMS. Entsprechend viel Druck könnten „die Macher“ ausüben um auch technologisch alle Wünsche von allen Seiten erfüllt zu bekommen. Tatsächlich scheinen sich die Entwickler im Hintergrund aber zu zieren alte Zöpfe abzuschneiden. Anders ist es wohl kaum zu erklären, dass vollkommen überholte und sicherheitstechnisch extrem kritische PHP-Versionen weiterhin unterstützt werden. Aber eins nach dem anderen. Was ist los?

PHP ist die Basis und das Fundament einer jeden WordPress-Installation

PHP ist die Basis einer jeden WordPress-Installation. Umso wichtiger ist es, diese Basis möglichst aktuell zu halten – selbst wenn man von Programmierung nichts versteht. Neuere PHP Versionen schließen alte und bekannte Sicherheitslücken, bringen ein deutliches Plus an Performance und sind in der Regel „abwärtskompatibel“ (sprich auch älterer Code wird in gewissem Maße dennoch ausgeführt). Streng genommen spricht also kaum etwas gegen eine aktuelle PHP-Version.

@nacin My personal blog (WordPress) tripled in speed once I went from 5.2=>5.4. and it didn’t break anything. (in WordPress) :)

— Uncle Cal (@CalEvans) August 6, 2014

Möchte man aber einem aktuellen Tweet von Andrew Nacin (einem führenden Entwickler des Security-Teams von WordPress) glauben schenken, sieht es an der PHP-Front sicherheitstechnisch düster aus:

Collectively, 80 percent of WordPress sites will soon be running on an end-of-life version of PHP (5.2 or 5.3).

— Andrew Nacin (@nacin) August 6, 2014

Auf Deutsch: Rund 80% (!!) aller WordPress-Installationen laufen in Kürze auf einer PHP-Version, die offiziell auf das Abstellgleis gestellt werden wird (5.2 und 5.3).

PHP 5.2 wurde 2006 – also vor acht Jahren (!) – veröffentlicht

Und jetzt kommt der Knaller: PHP 5.2 wurde vor acht Jahren veröffentlicht (nachzulesen in den offiziellen Release Notes von PHP). Acht Jahre. A-C-H-T. Die aktuelle Mindestvoraussetzung beträgt 5.2.4 und stammt aus dem Jahre 2007. Diese PHP Version reicht aus, um eine WordPress-Installation online schalten zu können. Mit allen Lücken, mit allen Einfallstüren, die seit acht Jahren bekannt sind und seitdem schamlos ausgenutzt werden. Von Performance ganz zu schweigen.

Warum wird PHP 5.2 weiterhin unterstützt?

Verfolgt man den Gesprächsverlauf auf Twitter ein wenig, scheint die Angst die User-Basis zu „brüskieren“ und zu einem Update zu zwingen größer zu sein als der Mut alte Zöpfe abzuschneiden. Dabei muss man ja nichtmal radikal vorgehen.

@brandonsavage @CalEvans I'm saying 80% of users will soon be on an EOL version of PHP. How many do you think know what PHP is?

— Andrew Nacin (@nacin) August 6, 2014

Klar. Andrew Nacin hat ja auch nicht vollkommen Unrecht. Viele wissen doch nichts von PHP. Ich kenn auch nichts von Autos. Aber gerade da ist doch der Hersteller gefragt. Wenn ich mit einer Wartung meines Autos anschließend schneller, sicherer und angenehmer fahre, wär ich doch sauer, wenn man mir das vorenthält.

Entsprechend erschließt sich mir persönlich nicht ganz, warum diese PHP-Unkenntnis vieler User (worauf basiert eigentlicht diese Annahme Nacins?) als Vorwand genutzt wird, die Dinge nicht langsam nachhaltig und nach vorne blickend zu optimieren.

Sanft und sachte: Warum nicht in rot einblenden, dass man eine alte PHP-Version nutzt?

Was spricht dagegen, dass WordPress in Version sagen wir mal 4.0 (dauert noch was) nicht einfach eine rote Meldung einblenden lässt, sobald man eine viel zu alte PHP Version nutzt? Der User wird höflich hingewiesen, dass sein System unsicher ist und er ein Update durchführen (lassen) sollte, wenn er künftig in Genuss weiterer Updates kommen möchte. Anders könnte der „Hersteller“ eben nicht garantieren, dass der Unterbau sicher und zuverlässig funktioniere. Dieser Vorschlag wurde auch schon öfters unterbreitet.

@PierreJoye @nacin @brandonsavage @CalEvans WordPress has the clout that if it gave a 6 month notice, hosts would move. Drupal proved that.

— Larry Garfield (@Crell) August 6, 2014

A propos Hersteller: Die Hosting-Provider müssen ihre Hausaufgaben auch machen!

Und zu den Herstellern zählt nicht nur WordPress selber, sondern auch die Hosting-Provider.

@PierreJoye @nacin @brandonsavage @CalEvans Forcing hosts to upgrade *is* serving users, with better sec, performance, etc.

— Larry Garfield (@Crell) August 6, 2014

Welcher Provider, der halbwegs klar bei Verstand ist und eine noch so winzige Idee von Sicherheit hat, erlaubt noch PHP 5.2. (ausser in Einzelfällen wenn eine alte Software nunmal nicht anders kann)? Wir von Pixelbar haben unseren Kunden bereits PHP in Version 5.5.14 spendiert (Release Juni 2014) ;))

„Wird sind nicht gegen Updates. Wir aktualisieren nur nicht wegen neuer Spielereien“

Ein weiteres Zitat von Andrew Nacin hat mich ebenfalls stutzig gemacht. Vielleicht habe ich es vollkommen falsch verstanden:

@brandonsavage @CalEvans We're not anti-upgrade. We're pro user, pro long tail. Not abandoning users just to enjoy some new toys.

— Andrew Nacin (@nacin) August 6, 2014

Auf Deutsch: Der verantwortliche Kernentwickler des Sicherheitsteams (ich möchte das gerne nochmal betonen), teilt also mit, dass man nicht gegen Updates sei, aber man im Sinne des Users („pro user“) gerne langlebig Dinge unterstützte („long-tail“) und nicht User aufgeben möchte („abandoning users“), nur neuer Spielereien wegen („new toys“).

Bitte was?

Stopp! Zum Mitschreiben: Einer der Entwickler, die maßgeblich für die Sicherheit einer Software verantwortlich zeichnen, die rund 20% aller Websites weltweit antreibt, rechtfertigt (überspitzt ausgedrückt) die weitere Unterstützung der acht Jahre alten PHP-Version damit, dass man ja auch nicht jede Spielerei mitmachen sollte. Und, ja! Auch da hat er in der Quintessenz Recht. Es ist auch ehrenwert, dass man „update-faulere“ User mitnimmt und an die Hand nimmt. Aber dann muss man sie auch an die Hand nehmen und aufklären. Ansonsten braucht man nicht zu jammern, wenn plötzlich gefühlt die halbe Welt mit alter Software durch’s Netz gurkt!

Warum verhält sich WordPress hier nicht wie ein Platzhirsch?

WordPress hat ein proaktives Interesse daran, technologisch neue Maßstäbe zu setzen. Zahlreiche Visionäre der Tech-Branche wie ein Steve Jobs haben in der Vergangenheit bewiesen, dass der technologische Unterbau entscheidend ist für den Erfolg einer Software. Dafür müssen auch mal Tränen fließen. Umso unverständlicher wird dieses zögerliche Verhalten alte Zöpfe abzuschneiden und die Leute zu motivieren ihren Unterbau zu aktualisieren. Die Betonung liegt auf Motivieren! Es muss kein Zwang sein, aber man sollte klar und transparent erläutert bekommen welchen Risiken die Seite ausgesetzt ist und welche Vorteile einfach ein Update hätte. Punkt.

Bleibt zu hoffen, dass in naher Zukunft dieses Problem offen angesprochen wird und sich WordPress professionell und „sozial“ zugleich verhält. User mitnehmen? Auf jeden Fall. Aber eben nicht um jeden Preis.