Es gibt einen Satz, den IT-Fachleute haufiger horen als fast jeden anderen: "Es funktioniert. Nicht anfassen." Diese Mentalitat ist uberall im Geschaftsleben. Wenn die Website lauft, Leads generiert und keine Fehler zeigt, warum etwas riskieren?
Die Antwort ist einfach: weil Angreifer sich aktualisieren. Jeden Tag werden neue Schwachstellen in der Software entdeckt, auf der Ihre Website lauft. Wenn diese Schwachstellen veroffentlicht werden, fugen Angreifer sie ihren automatisierten Tools hinzu. Wenn Ihre Website die verwundbare Version ausfuhrt, wird sie gefunden. Nicht in Monaten. In Tagen, manchmal Stunden.
Was Veraltet und Warum es Wichtig Ist
CMS-Kern
Wenn eine CMS-Version das Lebensende erreicht, erhalt sie keine Sicherheitspatches mehr. Jede neue Schwachstelle bleibt permanent ausnutzbar.
Fur detaillierte WordPress-Schwachstellenanalyse siehe unseren Artikel uber WordPress-Schwachstellen.
Serverseitige Sprache (PHP)
| PHP-Version | Aktiver Support Ende | Sicherheitspatches Ende | Status |
|---|---|---|---|
| PHP 7.4 | Nov 2021 | Nov 2022 | Lebensende. |
| PHP 8.0 | Nov 2022 | Nov 2023 | Lebensende. |
| PHP 8.1 | Nov 2023 | Dez 2025 | Nur Sicherheitspatches. |
| PHP 8.2 | Dez 2024 | Dez 2026 | Nur Sicherheitspatches. |
| PHP 8.3 | Dez 2025 | Dez 2027 | Aktiver Support. |
Aufgegebene Plugins
Ein aufgegebenes Plugin ist eine permanent offene Tur. Anzeichen:
- Letztes Update vor uber 12 Monaten
- Kompatibilitat nicht mit aktuellen CMS-Versionen getestet
- Support-Forum mit monatelang unbeantworteten Fragen
Mehr in unserem Leitfaden zu Plugin-Schwachstellen in CMS-Systemen.
Wie CVEs Veroffentlicht und Ausgenutzt Werden
- Entdeckung der Schwachstelle
- Verantwortungsvolle Offenlegung an den Hersteller
- Veroffentlichung von Patch und CVE
- Exploit-Entwicklung in Stunden/Tagen
- Massenhaftes Scanning innerhalb von Tagen
- Grossflachige Ausnutzung durch Botnets
Das Zeitfenster zwischen Patch-Verfugbarkeit und Massenausnutzung schrumpft. Es sind oft nur noch Tage.
Das Update-Paradox
- Aktualisieren kann Dinge kaputtmachen. Sofortiger, sichtbarer Schmerz.
- Nicht-Aktualisieren macht Dinge schlimmer kaputt. Verzogerter, schwerer Schmerz.
Eine nach einem Update kaputte Website wird in Stunden fur einige hundert Franken repariert. Eine Kompromittierung durch eine ungepatchte Schwachstelle kostet Zehntausende und dauert Monate.
Warum Agenturen Updates Vermeiden
- Kein Wartungsvertrag: Website geliefert, Rechnung geschickt, nachstes Projekt.
- Angst vor Beschadigung individueller Arbeit: Individueller Code hangt oft von bestimmten Versionen ab.
- Keine Testumgebung: Die meisten Agentur-Websites haben keine Staging-Umgebung.
- Fehlendes Sicherheitsbewusstsein: Updates werden als funktionale Verbesserungen gesehen, nicht als Sicherheitsnotwendigkeit.
Reale Timeline: Von der Offenlegung zum Exploit
| Tag | Ereignis |
|---|---|
| Tag 0 | Forscher entdeckt kritische Schwachstelle in popularem WordPress-Plugin. |
| Tag 1 | Meldung an den Plugin-Entwickler. |
| Tag 7 | Gepatchte Version veroffentlicht. CVE publiziert. |
| Tag 8 | Sicherheitsblogs veroffentlichen Details. Proof-of-Concept auf GitHub. |
| Tag 9 | WPScan fugt Schwachstelle hinzu. Automatisierte Scanner starten. |
| Tag 10-14 | Massenausnutzung beginnt. |
| Tag 30+ | Langzeit-Ausnutzung dauert an. |
Automatische vs. Manuelle Updates
Fur die meisten Unternehmenswebsites sind automatische Minor-Updates ein vernunftiger Standard. Fur geschaftskritische Websites: Staging-Umgebung zum Testen vor der Produktionsanwendung.
Der Mindest-Ansatz
- Automatische Sicherheitsupdates fur den CMS-Kern aktivieren
- Vollstandiges Backup vor jedem Update
- Plugins monatlich aktualisieren
- Ungenutzte Plugins entfernen
- Website nach Updates uberwachen
Was Sie Jetzt Tun Sollten
- Prufen Sie Ihre Software-Versionen. Welches CMS? Welche PHP-Version? Welche Plugins?
- Schliessen Sie einen Wartungsvertrag ab. Jemand muss fur Updates verantwortlich sein.
- Priorisieren Sie Sicherheitsupdates. Patches innerhalb von 48 Stunden.
- Entfernen Sie Ungenutztes.
- Richten Sie Uberwachung ein. Google Search Console, Uptime-Monitoring.
- Lassen Sie ein Sicherheitsaudit durchfuhren. Kontaktieren Sie unser Team.
"Es funktioniert, nicht anfassen" funktioniert, bis es nicht mehr funktioniert. Und wenn es aufhort zu funktionieren, sind die Kosten um Grossenordnungen hoher als regelmaessige Wartung gekostet hatte.
Wollen Sie wissen, ob Ihre Website sicher ist?
Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.
Kostenloses Audit Anfordern