(Plesk für Linux) Absicherung veralteter PHP-Versionen
Inhalt
Websites, auf denen veraltete PHP-Versionen laufen, können selbst anfällig sein und sogar dazu führen, dass der gesamte Plesk-Server kompromittiert wird. Die Aktualisierung einer veralteten Website auf eine unterstützte PHP-Version kann jedoch kostspielig und/oder zeitaufwendig sein.
Als Lösung für dieses Problem bietet Plesk die Möglichkeit, Websites mit veralteten PHP-Versionen mithilfe von benutzerdefinierten PHP-Paketen von TuxCare, einer Marke von CloudLinux, abzusichern. Diese PHP-Pakete enthalten Korrekturen für Sicherheitslücken, die nach dem Ende des Community-Supports für eine bestimmte PHP-Version entdeckt werden.
In diesem Artikel erfahren Sie, wie Sie benutzerdefinierte PHP-Pakete von TuxCare auf Ihrem Plesk-Server installieren, wie Sie Websites absichern und wie Sie die benutzerdefinierten PHP-Pakete auf dem neuesten Stand halten.
Überblick
Jede PHP-Version lässt sich in eine von drei Kategorien einteilen:
Aktive Unterstützung |
Diese Versionen werden aktiv unterstützt. Updates mit Fehlerbehebungen und Sicherheitsupdates werden regelmäßig veröffentlicht. |
Nur Sicherheitskorrekturen |
Diese Versionen erhalten nur Updates mit Korrekturen für kritische Sicherheitsprobleme. |
End-of-Life (oder kurz „EOL“) |
Für diese Versionen werden keine Updates oder Fehlerbehebungen mehr bereitgestellt, auch nicht für kritische Sicherheitslücken. |
Websites, die in PHP programmiert sind, werden üblicherweise für eine bestimmte PHP-Version entwickelt. Bei Verwendung einer anderen PHP-Version funktionieren sie möglicherweise fehlerhaft oder gar nicht. Die Aktualisierung einer solchen Website, um sie mit einer aktuellen PHP-Version kompatibel zu machen, kann kostspielig und unter Umständen sogar unpraktisch sein.
Wird jedoch eine Sicherheitslücke in einer PHP-Version mit abgelaufenem Support entdeckt, sind Websites, die diese PHP-Version verwenden, gefährdet. Schlimmer noch: Eine solche Sicherheitslücke kann den gesamten Plesk-Server angreifbar machen. In diesem Fall stehen dem Website-Betreiber und seinem Hosting-Provider mehrere Optionen zur Verfügung, von denen keine optimal ist:
Der Website-Inhaber muss die Website aktualisieren, sofern er die Mittel dazu hat und dies überhaupt möglich ist.
Die Website wird offline genommen.
Das Hosting der Website wird fortgesetzt und die Risiken werden akzeptiert.
Plesk und TuxCare bieten eine weitere Option, mit der die Website online bleiben kann und Sie kostspielige Upgrades oder Risiken im Zusammenhang mit der Verwendung von PHP-Versionen, die bereits das End-of-Life (EOL) erreicht haben, vermeiden können:
TuxCare bietet maßgeschneiderte PHP-Pakete mit Korrekturen für Sicherheitslücken in den EOL-PHP-Versionen. Das TuxCare-Team entwickelt und testet Patches für EOL-PHP-Versionen zeitnah und hat sich zum Ziel gesetzt, innerhalb von 14 Tagen nach der öffentlichen Bekanntgabe der Sicherheitslücken Patches für kritische und risikoreiche Schwachstellen (CVSS 7+) bereitzustellen.
Plesk bietet eine Erweiterung, mit der Sie diese Pakete ganz einfach installieren können. Außerdem können Sie Websites, auf denen EOL-PHP-Versionen laufen, absichern, indem Sie sie auf gesicherte PHP-Handler der gleichen Version umstellen.
TuxCare ist ein Teil der CloudLinux-Markenfamilie. CloudLinux ist ein vertrauenswürdiger Anbieter, der hinter Produkten und Dienstleistungen wie dem CloudLinux OS und KernelCare steht und seit 15 Jahren Hosting-Providern zur Verfügung steht.
Voraussetzungen
Die Erweiterung TuxCare Extended Lifecycle Support for PHP muss aus dem Katalog der Erweiterungen installiert werden.
Eine kostenpflichtige Lizenz von TuxCare Extended Lifecycle Support for PHP muss erworben und in Plesk installiert werden.
Bemerkung
Eine einzige Lizenz deckt eine beliebige Anzahl von Websites ab und ermöglicht den Zugriff auf die Pakete für alle von TuxCare bereitgestellten gepatchten PHP-Versionen.
Herausforderungen und Einschränkungen
TuxCare Extended Lifecycle Support for PHP bietet Sicherheitsupdates für PHP 5.6 und spätere EOL-Versionen. Hier erfahren Sie mehr über den aktuellen Supportstatus aller PHP-Versionen.
Der erweiterte Lebenszyklus-Support von TuxCare für PHP deckt nur die von Plesk ausgelieferten PHP-Versionen ab. PHP-Versionen, die aus dem Repository des Betriebssystemherstellers installiert wurden, werden nicht berücksichtigt.
Installation abgesicherter PHP-Versionen
Bevor Sie Ihre Websites absichern können, müssen Sie die PHP-Pakete von TuxCare für eine oder mehrere auf dem Server vorhandene EOL-PHP-Versionen installieren.
Die Pakete können für einige EOL-PHP-Versionen installiert werden, für andere jedoch nicht. Die Installation der Pakete hat keinerlei Auswirkungen auf die Websites.
Bemerkung
TuxCare Extended Lifecycle Support for PHP ist eine kostenpflichtige Erweiterung. Nach Ablauf Ihrer Lizenz können Sie die installierten, sicheren PHP-Versionen weiterhin nutzen, erhalten aber keine zukünftigen Updates mit zusätzlichen Sicherheitskorrekturen mehr.
So installieren Sie eine abgesicherte PHP-Version:
Melden Sie sich in Plesk an.
Klicken Sie im Navigationsbereich auf Erweiterungen und gehen Sie dann zum Tab „Meine Erweiterungen“.
Suchen Sie die Erweiterung „TuxCare Extended Lifecycle Support for PHP“ und klicken Sie dann auf Öffnen.
Klicken Sie für jede PHP-Version, die Sie schützen möchten, auf [Install] (Installieren).
Die Installation sollte nicht länger als ein paar Minuten dauern. Sobald eine sichere PHP-Version installiert wurde, wird für jeden veralteten PHP-Handler dieser Version ein abgesicherter PHP-Handler hinzugefügt. Sie können die neuen PHP-Handler auf der Seite Tools & Einstellungen > PHP-Einstellungen (unter „Allgemeine Einstellungen“) sehen.
Bemerkung
Beachten Sie, dass die Installation einer abgesicherten PHP-Version allein nicht ausreicht. Um Webseiten abzusichern, müssen Sie diese manuell auf sichere PHP-Versionen umstellen.
Websites schützen
Sobald eine sichere PHP-Version installiert ist, können Sie mit der Absicherung von Websites beginnen, indem Sie auf die abgesicherten Versionen der PHP-Handler umstellen.
Bemerkung
Sichere PHP-Versionen verwenden dieselben Handler (z. B. „FastCGI-Anwendung“ oder „Dedizierte FPM-Anwendung“) wie die veralteten (unsicheren) Versionen. Die Umstellung einer Website auf die sichere Version mit derselben PHP-Version und demselben Handler sollte außer der Beseitigung von Sicherheitslücken keine weiteren Auswirkungen haben.
So sichern Sie alle Websites ab, die eine bestimmte EOL-PHP-Version verwenden:
Melden Sie sich in Plesk an.
Klicken Sie im Navigationsbereich auf Erweiterungen und gehen Sie dann zum Tab „Meine Erweiterungen“.
Suchen Sie die Erweiterung „TuxCare Extended Lifecycle Support for PHP“ und klicken Sie dann auf Öffnen.
Suchen Sie die gewünschte EOL-PHP-Version und klicken Sie dann auf [Switch] (Wechseln).
Alle Websites, die diese PHP-Version verwenden, werden auf die abgesicherte Version derselben PHP-Version und desselben Handlers umgestellt.
So sichern Sie eine bestimmte Website ab, die eine EOL-PHP-Version verwendet:
Melden Sie sich in Plesk an.
Klicken Sie im Navigationsbereich auf Websites & Domains.
Suchen Sie die betreffende Website und klicken Sie dann auf PHP (unter „Entwicklertools“ auf der Registerkarte „Dashboard“).
Wählen Sie in der Dropdown-Liste die PHP-Version „Secured“ (Abgesichert) aus und klicken Sie dann auf OK.
Die Website wird auf die ausgewählte PHP-Version umgestellt, wobei der gleiche Handler-Typ beibehalten wird.
Rückkehr zu nicht abgesicherten PHP-Versionen
Sollten nach der Absicherung einer oder mehrerer Websites Probleme auftreten, können Sie jederzeit auf die ursprünglichen, veralteten (ungesicherten) PHP-Versionen zurückgreifen. Beachten Sie jedoch, dass dies die Websites gefährden kann.
Um eine bestimmte Website auf eine ältere Version zurückzusetzen, ändern Sie deren PHP-Handler in den veralteten Handler derselben PHP-Version.
Um alle Websites, die eine bestimmte EOL-PHP-Version verwenden, auf die vorherige Version zurückzusetzen, klicken Sie auf der Seite der Erweiterung auf [Rollback].
Neukonfiguration von abgesicherten PHP-Versionen
Nachdem Sie Änderungen an der globalen PHP-Konfiguration vorgenommen haben (z. B. Bearbeiten der globalen Datei php.ini, Installieren neuer PECL- oder PEAR-Erweiterungen, Aktivieren oder Deaktivieren von PHP-Erweiterungen usw.), empfehlen wir Ihnen dringend, die abgesicherten PHP-Versionen manuell neu zu konfigurieren. Dadurch wird sichergestellt, dass die abgesicherte und die veraltete (nicht gesicherte) PHP-Version identisch konfiguriert sind und sich gleich verhalten.
So konfigurieren Sie alle abgesicherten PHP-Versionen neu:
Melden Sie sich in Plesk an.
Klicken Sie im Navigationsbereich auf Erweiterungen und gehen Sie dann zum Tab „Meine Erweiterungen“.
Suchen Sie die Erweiterung „TuxCare Extended Lifecycle Support for PHP“ und klicken Sie dann auf Öffnen.
Klicken Sie für jede abgesicherte PHP-Version auf [Reconfigure] (Neu konfigurieren).
Jede Website, die eine abgesicherte PHP-Version verwendet, übernimmt die Änderungen der globalen PHP-Konfiguration.
Aktualisierung abgesicherter PHP-Versionen
Um Ihre Websites sicher zu halten, müssen die PHP-Pakete von TuxCare auf dem neuesten Stand sein. Diese Pakete können wie jedes andere Systempaket aktualisiert werden. Die Namen der PHP-Pakete von TuxCare beginnen mit alt-php. Sie finden sie im Tool für Systemupdates von Plesk.
Die PHP-Pakete von TuxCare können entweder automatisch oder manuell aktualisiert werden. Um Ihre Websites zu schützen, die EOL-PHP-Versionen verwenden, empfehlen wir dringend, die PHP-Pakete von TuxCare automatisch zu aktualisieren. Sie können dies zum Beispiel mit dem Tool für Systemupdates von Plesk erledigen.
Wenn Sie sich dafür entscheiden, die PHP-Pakete von TuxCare manuell zu aktualisieren, müssen Sie die veröffentlichten Updates im Auge behalten. Dazu empfehlen wir Ihnen, die offizielle Liste der RSS-Feeds auf der TuxCare-Website zu besuchen und die Feeds für die für Sie relevanten Betriebssysteme zu abonnieren.