software-wartung24.de
· 7 Min. Lesezeit· Sandor Farkas

PHP 7 End of Life 2026: Upgrade-Wege und konkrete Schritte

PHPSicherheitEnd of LifePHP-Upgrade
Abstraktes Titelbild zum Thema PHP 7 End of Life 2026: Upgrade-Wege und konkrete Schritte (KI-generiert)

PHP 7 end of life trat am 28. November 2022 offiziell in Kraft. Seitdem gibt es keine Sicherheits-Updates mehr. Keine Patches. Keine Korrekturen für neu entdeckte Lücken. Für viele Websites und Webanwendungen bedeutet das: Sie laufen auf einer Plattform, die niemand mehr absichert.

Das ist kein technisches Detail am Rande. Es ist ein konkretes Risiko für Ihr Unternehmen.

Dieser Artikel erklärt, was "End of Life" bedeutet, welche Konsequenzen entstehen, wenn Sie nichts tun, und wie ein realistischer Weg zu einer sicheren PHP-Version aussieht.

Was bedeutet „End of Life“ bei PHP?

PHP ist die Programmiersprache hinter vielen Websites und Webanwendungen. Bekannte Systeme wie WordPress, Joomla und Typo3 laufen auf PHP-Basis.

Jede PHP-Version hat einen festgelegten Lebenszyklus. Dieser besteht aus drei Phasen.

Aktive Entwicklung: Neue Funktionen, Fehlerkorrekturen, Sicherheits-Updates.

Sicherheitswartung: Nur noch Sicherheits-Updates. Keine neuen Funktionen mehr.

End of Life: Keine Updates, keine Patches, kein offizieller Support.

PHP 7.4, die letzte Version der 7er-Reihe, hat am 28. November 2022 die dritte Phase erreicht. Seitdem wird PHP 7 vom PHP-Entwicklungsteam nicht mehr gepflegt.

Das bedeutet: Neu entdeckte Sicherheitslücken werden für PHP 7 nicht mehr geschlossen. Die Software bleibt, wie sie ist. Angreifer entwickeln ihre Methoden hingegen weiter.

Welche Risiken entstehen durch PHP 7 end of life?

Viele Unternehmen denken: "Unsere Website läuft. Wir wurden noch nie gehackt. Warum etwas ändern?"

Das ist verständlich. Aber es verkennt, wie Angriffe in der Praxis funktionieren.

Sicherheitslücken die niemand mehr schließt

Seit Ende 2022 wurden in PHP und den damit verbundenen Bibliotheken zahlreiche Sicherheitslücken entdeckt und öffentlich dokumentiert. Für aktuelle PHP-Versionen (8.1, 8.2, 8.3) wurden diese Lücken geschlossen. Für PHP 7 nicht.

Das ist wie ein bekanntes Schloss, dessen Schwachstellen in öffentlichen Datenbanken stehen. Jeder mit etwas technischem Wissen kann diese Dokumentation lesen und nutzen.

Angreifer suchen nicht unbedingt gezielt Ihr Unternehmen. Sie scannen automatisiert das Internet nach verwundbaren Systemen. Eine ungepatchte PHP-7-Installation ist ein bekanntes und dokumentiertes Angriffsziel.

CVEs häufen sich an

CVE steht für "Common Vulnerabilities and Exposures". Das ist eine öffentliche Datenbank für bekannte Sicherheitslücken in Software. Für jede Lücke gibt es eine eindeutige Nummer, eine Beschreibung und oft auch fertige Angriffswerkzeuge.

Seit dem PHP-7-End-of-Life häufen sich die CVEs für diese Version. Sie werden dokumentiert, aber nicht mehr behoben. Wer PHP 7 betreibt, betreibt Software mit bekannten und offenen Lücken.

DSGVO-Risiken durch veraltete Software

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, personenbezogene Daten technisch angemessen zu schützen. "Angemessen" bedeutet: Stand der Technik.

PHP 7 ist nicht mehr Stand der Technik. Eine Aufsichtsbehörde, die nach einem Datenschutzvorfall prüft, wird fragen, warum das System nicht auf einer unterstützten PHP-Version lief. Eine überzeugende Antwort gibt es darauf nicht.

Bußgelder nach der DSGVO können erheblich sein, auch für kleine und mittlere Unternehmen. Das Risiko ist real.

Kompatibilitätsprobleme mit neuen Diensten

PHP 7 wird nicht nur von Angreifern ignoriert. Auch neue Bibliotheken, Plugins und Dienste unterstützen PHP 7 nicht mehr. Wer neue Funktionen integrieren möchte, stößt früher oder später auf Abhängigkeiten, die PHP 8 voraussetzen.

Das schränkt die Weiterentwicklung Ihrer Software systematisch ein. Über die Zeit wird das System immer schwerer zu betreiben und zu erweitern.

Was Sie jetzt konkret tun können

Ein PHP-Upgrade ist kein Wochenendprojekt. Aber es ist auch keine Operation am offenen Herzen. Mit dem richtigen Vorgehen lässt es sich strukturiert und ohne unerwartete Ausfälle umsetzen.

Schritt 1: Bestandsaufnahme

Bevor irgendetwas geändert wird, muss klar sein, womit man es zu tun hat. Welche PHP-Version läuft aktuell? Welche Plugins, Erweiterungen und Bibliotheken sind im Einsatz? Welche PHP-7-spezifischen Funktionen nutzt die Anwendung?

Viele ältere Anwendungen nutzen Funktionen, die in PHP 8 entfernt wurden oder sich anders verhalten. Diese müssen vor dem Upgrade identifiziert werden. Es gibt automatisierte Werkzeuge, die den Code auf Kompatibilitätsprobleme scannen.

Schritt 2: Kompatibilitätscheck

Nicht jede Anwendung lässt sich direkt von PHP 7 auf PHP 8 upgraden. Manche Zwischenschritte, etwa von PHP 7.4 auf 8.0 und dann auf 8.2, können sinnvoll sein. Das hängt vom konkreten Code ab.

Bei diesem Schritt werden oft technische Schulden sichtbar, die sich über Jahre angesammelt haben. Das ist kein Rückschlag, sondern eine Chance. Wer jetzt aufräumt, spart in den kommenden Jahren erhebliche Kosten.

Schritt 3: Testumgebung aufbauen

Kein Upgrade direkt in der Produktion. Eine identische Testumgebung wird aufgesetzt, das Upgrade dort durchgeführt und die Anwendung ausführlich getestet. Automatisierte Tests helfen dabei. Falls keine Tests vorhanden sind, ist das ein sinnvoller Zeitpunkt, zumindest die kritischsten Funktionen abzusichern.

Schritt 4: Stufenweises Upgrade

Je nach Systemgröße empfiehlt sich ein stufenweises Vorgehen. Nicht alles auf einmal upgraden. Erst unkritische Bereiche, dann die Kernfunktionen. So bleibt das Risiko beherrschbar und Fehler lassen sich schneller eingrenzen.

Schritt 5: Go-Live und Monitoring

Nach dem Upgrade in der Produktion sollten Fehler-Logs aktiv beobachtet werden. Gibt es unerwartetes Verhalten? Wurde etwas übersehen? In den ersten Tagen nach dem Upgrade ist erhöhte Aufmerksamkeit wichtig, damit Probleme schnell erkannt und behoben werden.

Wie lange dauert ein PHP-Upgrade und was kostet es?

Das ist die Frage, die Entscheider am häufigsten stellen. Eine ehrliche Antwort lautet: Es kommt auf das System an.

Ein WordPress-Blog mit Standard-Plugins ist oft in ein bis zwei Tagen erledigt.

Eine individuell entwickelte PHP-Anwendung aus dem Jahr 2010, ohne Dokumentation, mit veralteten Abhängigkeiten: Das kann mehrere Wochen dauern.

Was den Aufwand bestimmt, sind vor allem diese Faktoren: die Codequalität und das Alter der Anwendung, das Vorhandensein von Tests und Dokumentation, die Anzahl der externen Abhängigkeiten sowie die Menge an PHP-7-spezifischen Funktionen im Code.

Die Kosten reichen von wenigen hundert Euro für einfache Systeme bis zu mehreren Zehntausend Euro für komplexe, gewachsene Anwendungen. Wer den genauen Aufwand kennen möchte, braucht eine Analyse des konkreten Systems.

Wir führen genau diese Analyse durch und liefern eine reale Aufwandsschätzung, bevor ein Auftrag erteilt wird.

Warum jetzt handeln statt warten?

Jeder Monat, den eine Anwendung auf PHP 7 läuft, erhöht das Risiko. Neue Sicherheitslücken werden entdeckt. Bekannte Lücken können ausgenutzt werden. Angreifer werden nicht weniger.

Gleichzeitig gilt: Die meisten Angriffe lassen sich nach einem erfolgreichen Einbruch nur schwer vollständig bereinigen. Daten können abgeflossen sein, ohne dass man es sofort bemerkt. Schadcode kann in inaktiven Systembereichen liegen und Monate später aktiv werden.

Wer ein PHP-Upgrade beauftragen will, bevor etwas passiert, hat die Kontrolle über den Prozess. Wer wartet, bis etwas passiert, hat sie nicht mehr.

Die Frage ist nicht ob etwas passiert, sondern wann. Das ist keine Dramatik, das ist Mathematik.

Welche PHP-Version ist aktuell empfehlenswert?

Stand Mai 2026 sind PHP 8.2 und PHP 8.3 die empfohlenen Versionen. PHP 8.1 erhält noch Sicherheits-Updates, läuft aber Ende 2025 aus. PHP 8.2 und 8.3 sind aktiv gepflegt und bringen deutliche Leistungsverbesserungen gegenüber PHP 7.

Das bedeutet: Ein Upgrade bringt nicht nur mehr Sicherheit. Viele Anwendungen laufen auf PHP 8 merklich schneller. Weniger Serverbelastung, kürzere Ladezeiten, bessere Nutzererfahrung.

Mehr dazu, wie ein solches Upgrade in der Praxis abläuft, lesen Sie in unserem Überblick zur Software-Wartung.

Fazit: PHP 7 end of life ist kein rein technisches Problem

Es ist ein Geschäftsproblem. Und es lässt es sich lösen.

Die meisten Unternehmen, die uns kontaktieren, wissen bereits, dass sie handeln müssen. Sie haben es aufgeschoben, weil das Tagesgeschäft dazwischenkam. Das ist menschlich. Aber das PHP-7-End-of-Life wartet nicht auf einen guten Zeitpunkt.

Sprechen Sie uns an. Das Erstgespräch ist kostenlos. Wir schauen uns Ihr System an und sagen Ihnen ehrlich, wo Sie stehen und was als nächstes sinnvoll ist.

Weitere Artikel

Security Patch: Warum man Updates niemals ignorieren sollte
· 6 Min. Lesezeit

Security Patch: Warum man Updates niemals ignorieren sollte

Ein security patch schließt bekannte Sicherheitslücken in Software. Wer Updates ignoriert, lässt die Tür auf. Was wirklich passiert und warum jeder Monat ohne Patch das Risiko erhöht.

SicherheitSoftware-WartungUpdates
Datenbank-Optimierung: Warum Ihre alte Software immer langsamer wird
· 5 Min. Lesezeit

Datenbank-Optimierung: Warum Ihre alte Software immer langsamer wird

Datenbank-Optimierung wird bei alter Software oft zu lange aufgeschoben. Dabei ist die wachsende Langsamkeit kein Zufall, sondern das Ergebnis jahrelanger Vernachlässigung. Dieser Artikel erklärt, warum Ihre Datenbank träge wird und was Sie dagegen tun können.

DatenbankPerformanceLegacy Software
Was ist ein Framework? Der Baukasten für Software einfach erklärt
· 4 Min. Lesezeit

Was ist ein Framework? Der Baukasten für Software einfach erklärt

Was ist ein Framework? Dieser Artikel erklärt den Begriff verständlich für Nicht-Techniker. Sie erfahren, warum Frameworks Software schneller machen, und warum ein veraltetes Framework zum Problem werden kann.

Legacy GrundlagenModernisierungTechnische Schulden

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen