TYPO3 Update

Warum sollten Sie eigentlich das Spiel mit dem Feuer spielen?

In puncto Software-Updates einfach nichts zu tun, ist für viele Mittelständler (leider) eine sehr gängige Lösung - nicht nur in Bezug auf TYPO3! Langfristig betrachtet ist das allerdings keine besonders gute Idee.

Entdeckte Core-Fehler und damit Sicherheitslücken werden nur in den Versionen behoben, für die Support durch das Core Team angeboten wird. Um den Aufwand für Sie als Webseitenbetreiber in Grenzen zu halten, gibt es genau dafür die Versionen mit Long Term Support (LTS). 

Bei TYPO3 CMS ist die aktuelle Version mit Long Term Support die 6.2 LTS. Nach nunmehr 4 Jahren läuft der Support für die 4.5 LTS im April 2015 aus. 

Prüfen Sie Ihre TYPO3 Website hier!

Kürzlich wurde von der TYPO3 Association bekannt begegeben, dass der Support für TYPO3 4.5 nochmals verlängert wird ("TYPO3 CMS 4.5 Extended LTS"). Diese erstmal kostenpflichtige Version sollten Sie jedoch lediglich dann nutzen, wenn gute Gründe dafür vorliegen.

Nicht aktuell gehaltene TYPO3 Systeme sind grundsätzlich ein Sicherheitsrisiko und leichte Beute für Hacker-Angriffe. Da derartige Angriffe oft automatisiert ablaufen, ist eine kleine Unternehmensgröße kein Argument, auch Ihre Seite kann in regelmäßigen Abständen Ziel dieser Angriffe sein. Falls Sie eine veraltete Version verwenden, wird es jetzt für Sie besonders problematisch: Diese Core Fehler, die in Versionen mit Support behoben werden, sind jetzt im Netz bestens dokumentiert. Für Angreifer ein idealer Zustand! 

Das Schadpotenzial hängt von Einsatzgebiet Ihrer Webseite ab. Kundendaten können öffentlich werden, Webshops sind ggf. nicht erreichbar. Reputationsschäden und Umsatzausfälle sind die Folge. Sie haben nur eine kleine Visitenkarte im Netz? Auch dann wollen Sie eigentlich nicht als Spam-Schleuder missbraucht werden oder Ihre Webseitenbesucher auf nicht von Ihnen autorisierte Inhalte weiterleiten lassen. Gar nichts tun ist das berühmte Spiel mit dem Feuer, bei dem es nur eine Frage der Zeit ist, bis man sich ordentlich die Finger verbrennt. 

Als aktives Mitglied des Arbeitskreises IT im Sächsichen Verband für Sicherheit in der Wirtschaft e.V. (SVSW) können wir Ihnen (leider) eine ganze Reihe von Beispiele schildern, wie schnell diese Sorglosigkeit für Sie richtig teuer werden kann.

Was machen eigentlich andere Unternehmen in puncto Update?

Wie dramatisch das Problem ist, zeigt das t3census Projekt. Das Projekt hat sich u.a. der Aufgabe verschrieben, die Übernahme und Akzeptanz neuer TYPO3 Versionen zu evaluieren. Aus den Daten von t3census kann man schließen: 50% der 350.000 ausgewerteten TYPO3 Systeme sind veraltet. Diese Daten erheben zwar nicht den Anspruch auf Tagesaktualität, geben aber das grundsätzliche Problem wieder. Zu den Ursachen lässt sich aus unserer Praxiserfahrung eine Mischung aus Gründen feststellen: einige Unternehmen scheuen die Kosten, andere Unternehmen wissen es ganz einfach nicht, dass ein regelmäßiges Update notwendig wäre. 

Verteilung der TYPO3 Versionen in freier Wildbahn

Quelle: t3census.info, Stand Dez 2014, zuletzt aufgerufen 09.03.2015

Die TYPO3 Release Agenda verschafft einen Überblick über den Release Cycle und zukünftig unterstützte TYPO3 Versionen. Die aktuelle Version mit Long Term Support ist die TYPO3 CMS 6.2 LTS. 

TYPO3 Release Agenda

Quelle: typo3.org

Die Version 5.x gibt es in dieser Grafik nicht, da dieser Entwicklungszweig zum Neos Projekt umbenannt wurde. TYPO3 Neos basiert auf dem Flow Framework. TYPO3 CMS und TYPO3 Neos sind voneinander unabhängige Technologie-Plattformen, ein Systemwechsel von einem zum anderen ist nicht durch ein Update realisierbar.

Das Update von TYPO3 CMS 4.5 LTS auf 6.2 LTS kann Probleme bereiten

Wenn Sie als BackEnd Redakteur die Version 4.5 LTS kennen, werden Sie sich sofort in TYPO3 6.2 LTS zurecht finden. Die Unterschiede liegen hauptsächlich "unter der Motorhaube", dort hat sich sehr vieles verändert (zum Guten, wie wir meinen!). In etlichen Fällen ist das Update von 4.5 LTS auf 6.2 LTS daher leider nicht ganz trivial, in einigen Fällen ist damit sogar erheblicher Aufwand verbunden. Insbesondere Webseiten mit großem individuellem Funktionsumfang und vielen individuellen Extensions sind davon stärker betroffen.  

Etliche Extensions sind in der alten Form unter 6.2 nicht mehr verwendbar. Falls der damalige Author seine Extension inzwischen nicht mehr unterstützt, muss Ersatz her. Falls Sie viele selbstgestrickte Extensions unterschiedlicher Freelancer verwendet werden, ist das Update ebenfalls sehr oft nicht ganz einfach zu realisieren. PHP Code muss in 6.2 ausgelagert werden (was schon immer empfehlenswert war, aber von einigen eben leider nicht gemacht wurde). Zudem kann es der Wechsel des Datei-Rechtemanagements Probleme verursachen. Wir hatten die Umstellung von DAM nach FAL und deren Querwirkung auf die Volltextsuche an anderer Stelle bereits intensiver diskutiert.

Haben Sie bei komplexen Webseiten auch Verständnis für Ihre TYPO3 Agentur. Eine pauschale Abschätzung des Aufwands ohne wenigstens das BackEnd intensiver durchgesehen zu haben, ist für die Agentur schlicht nicht machbar. Weder Sie noch Ihre Internetagentur hat ein Interesse daran, sich hier komplett zu verkalkulieren. Bleiben Sie fair! 

Warum sind TYPO3 Updates eigentlich so aufwändig, geht das nicht einfacher?

Aus Sicht von Webseitenbetreibern ist diese Frage sicher verständlich. Andererseits sollten Sie auch folgende Dinge mit berücksichtigen:

  • Aufwändig ist nur der große Versionssprung zwischen stark veränderten Hauptversionen, z.B. von TYPO3 CMS 4.5 LTS auf TYPO3 CMS 6.2 LTS. Hier hat sich sehr viel „unter der Motorhaube“ getan. In den letzten 3-4 Jahren haben Sie entsprechend so gut wie keinen Aufwand mit Updates innerhalb der 4.5.x Version Ihrer Webseite gehabt! Die Entwicklungssprünge, die TYPO3 macht, kommen letztlich Ihnen zu Gute! Bessere Funktionen, bessere Bedienbarkeit, modernes BackEnd. 
  • Software ist nie etwas Statisches. Sie kennen das auch von Ihrem Betriebssystem wie Windows, den diversen Office Paketen die Sie nutzen etc. Es gibt bei Software ebenso wie bei anderen Produkten Lebenszyklen. Die Welt um Sie herum entwickelt sich schließlich auch weiter.  
  • TYPO3 ist „nur“ das Basissystem. Das Update von TYPO3 CMS 4.5 LTS auf TYPO3 CMS 6.2 LTS ist mit einer einfachen TYPO3 Webseite eigentlich ganz einfach. Das Problem sind die vielen Custom-Extensions, die Sie verwenden und die Umgebung, in der Ihr TYPO3 lebt. Und wenn diese Drittanbieter keinen Support für ein einfaches Update leisten, können Sie das dem TYPO3 System bzw. dem TYPO3 Entwicklerteam nicht vorwerfen. Bleiben Sie hier bitte fair! 
  • Sie nutzen kostenlos(!) das umfassende Know-How und jahrelange Arbeit einer open Source Community. Für 0€ erhalten Sie eine extrem stabile und sichere CMS-Plattform sowie kontinuierlichen Support durch die Bereitsstellung von TYPO3 Software Paketen. Sie zahlen nur Ihren Dienstleister, um die Updates tatsächlich durchzuführen. 
  • Vergleichen Sie gern einmal mit einer kostenpflichtigen CMS Angeboten. Sowohl was Funktionsumfang, Verfügbarkeit von Dienstleistern als auch Gesamtkosten für Betrieb und Wartung betrifft! Die Erfolgsgeschichte von TYPO3 ist aus unserer Sicht ein Beweis dafür, dass openSource eine sehr starke und tendenziell überlegene Alternative zu kommerziellen Anbietern darstellt.

Was kann davitec für Sie tun?

Natürlich führen wir TYPO3 Updates für Sie und unsere Kunden durch. Der Aufwand für das Update innerhalb einer Hauptversion ist sehr überschaubar, das machen wir in den meisten Fällen einfach mit, wenn es ohnehin etwas zu tun gibt und weisen dass in der Rechnung per Zeiterfassung aus (Time & Material Verträge). 

Bei Systemen, die wir selbst aufgesetzt haben oder die wir gut kennen und schon längere Zeit betreuen, können wir den Aufwand für größere Update-Sprünge, z.B. von TYPO3 CMS 4.5 LTS auf TYPO3 CMS 6.2 LTS oder gar TYPO3 CMS 7.1, sehr gut einschätzen. In diesen Fällen bieten wir das Update auf Festpreis oder Abrechnung nach Zeiterfassung an. Wie bieten selbstverständlich auch Supportverträge (SLA) an, wobei wir eine geregelte Überwachung Ihres Systems durchführen und sehr zeitnahe Umsetzung von Updates garantieren (z.B. innerhalb von 24h, je nach SLA Konditionen). 

Ein Update von TYPO3 CMS 4.5 LTS auf TYPO3 CMS 6.2 LTS in einer uns bislang noch gar nicht bekannten TYPO3 Seiten setzt eine Analyse Ihrer Webseite voraus. In den meisten Fällen gibt das einige sinnvolle Nebeneffekte, wo wir Sie auf bestehende Sicherheitslücken hinweisen (ungeschützte Pfade, veraltete Extensions etc.). Bitte haben Sie Verständnis, dass wir uns hier nicht einfach mit pauschalen Festpreisangeboten positionieren können. Die Risikopuffer, die wir hier auf alle Kunden umlegen müssten, sind für die Betreiber kleinerer Webseiten einfach unfair und entsprechend unattraktiv. 

Es gibt auch mal immer wieder die Fälle, ganz veraltete TYPO3 Seiten auf einen neuen Stand bringen zu wollen. TYPO3 Versionen wie 4.2 oder 3.8 ziehen wir gern für Sie auch auf eine 6.2 LTS hoch, hier werden Sie vermutlich ein paar Euro mehr in die Hand nehmen müssen. Andererseits haben Sie offensichtlich lange Zeit für Updates kein Geld ausgegeben ;)  Ob sich ggf. auch ein kompletter Relaunch lohnt, hängt immer vom Umfang ihrer bestehenden Seite und Ihrem Ziel ab. 

Mit einem einfachen Blick ins TYPO3 BackEnd können wir Ihnen zumindest schon einmal vorab eine grobe Hausnummer abgeben. Rufen Sie uns einfach an, wir beraten Sie gern!