TYPO3-upgrades: Waarom "Het werkt" het gevaarlijkste excuus is

Ik maak het keer op keer mee. Een klant zit op TYPO3 versie 8 of nog ouder, en als ik het onderwerp upgraden ter sprake breng, komt het antwoord uit de lucht vallen: "De site werkt. Alles werkt. Waarom zou ik er geld in investeren?"

En ik begrijp de terughoudendheid. Ik begrijp het echt. Geen enkel bedrijf geeft graag geld uit aan iets dat niet kapot lijkt te zijn. Maar deze houding is niet alleen kortzichtig. Het is brandgevaarlijk.

Als iemand die al sinds 2006 met TYPO3 werkt en regelmatig met andere bureaus en integrators praat, kan ik je vertellen: het probleem is echt, het is wijdverspreid en het wordt steeds groter.

De gemakkelijke leugen: "Het werkt".

Ja, je website werkt. Vandaag. Misschien morgen ook. Maar hij draait op software die niemand meer onderhoudt. Op PHP dat al jaren geen beveiligingsupdates meer heeft ontvangen. Met extensies die niet meer worden onderhouden.

Het is alsof je in een auto rijdt zonder APK. Het werkt ook. Tot de eerste bocht. Of tot de eerste keuring.

Het verschil: met je auto weet je dat je een risico neemt. Met je website vertel je jezelf dat er niets zal gebeuren.

Wat u werkelijk riskeert

Kwetsbaarheden in de beveiliging: open deuren voor aanvallers

Oude TYPO3 versies hebben bekende beveiligingslekken. Deze gaten zijn openbaar gedocumenteerd. Hackers hebben geautomatiseerde scripts die het internet afzoeken naar precies zulke verouderde installaties.

Je laat je voordeur niet zomaar openstaan. Je hangt een bordje op: "Ik ben er niet, kom binnen".

Als je website wordt gehackt, gaat het niet alleen om een paar spamlinks. Het gaat om malware die uw bezoekers infecteert. Het gaat om gestolen klantgegevens. Het gaat om een beschadigde reputatie die jaren kan duren om te herstellen.

GDPR: Je bent momenteel in overtreding

Hier wordt het vervelend: volgens de GDPR ben je verplicht om de software die je gebruikt up-to-date te houden. Vooral als er persoonlijke gegevens worden verwerkt.

En voordat je zegt: "Wij verwerken geen gegevens": Ja, dat doen we wel. Een contactformulier alleen is al genoeg. Analytics. Registratie voor de nieuwsbrief. Dit zijn allemaal persoonsgegevens.

Iedereen die opzettelijk verouderde software gebruikt, handelt nalatig. Bij een datalek kun je te maken krijgen met meldplichten, boetes en schadeclaims. En je verzekeringsmaatschappij kan weigeren uit te betalen in geval van grove nalatigheid.

Dit geldt ook voor verenigingen, gemeenschappen en parochies. Erebestuurders zijn persoonlijk aansprakelijk. Wil je echt het vermogen van de vereniging op het spel zetten voor een vermijdbare boete?

Kosten stijgen exponentieel

Een upgrade van TYPO3 11 naar 13 is beheersbaar. Van TYPO3 8 naar 13 is duurder. Van versie 4.5 naar 13? Dan hebben we het niet meer over een upgrade, maar over een relaunch.

Hoe langer je wacht, hoe duurder het wordt. Extensies verdwijnen van de markt. PHP-versies worden incompatibel. Hosters stoppen de ondersteuning voor oude systemen. Wat vandaag in twee dagen kan worden gedaan, kan over een jaar een complete herbouw betekenen.

Jij beslist vandaag of je de upgrade plant of dat je hoster voor jou beslist. En beslissingen onder tijdsdruk zijn altijd het duurst.

Het domino-effect: wanneer de hoster de stekker eruit trekt

Het scenario is altijd hetzelfde: je host kondigt aan dat oude PHP-versies niet langer worden ondersteund. U hebt drie maanden de tijd. Maar je oude TYPO3-versie werkt alleen met precies deze PHP-versie.

Nu hebt u de keuze: noodupgrade onder tijdsdruk of website offline. Beide zijn duur. Beide zijn stressvol. Beide hadden voorkomen kunnen worden.

Ik heb dit al tientallen keren meegemaakt. En elke keer is de rekening hoger dan een geplande, schone upgrade zou zijn geweest.

Waarom klanten nog steeds aarzelen

Ik begrijp de bezwaren. Echt waar.

"We hebben geen budget."

Dan heb je ook geen budget voor een offline website, voor dataverlies of voor GDPR boetes. Een geplande upgrade kost een fractie van wat een noodscenario kost.

Denk er eens over na: zou je zeggen "Ik heb geen budget voor nieuwe remmen" voor je auto? Nee, want je weet wat er gebeurt als de remmen het begeven.

"We gaan de website toch niet veranderen."

Dan heb je geen CMS nodig. Als je website echt statisch is en niets verandert, zijn er betere oplossingen. Een statische HTML-versie is goedkoper, veiliger en sneller.

Maar wees eerlijk: verandert er echt niets? Geen tekst, geen afbeeldingen, geen contactgegevens? Zo ja, dan heb je een goed onderhouden systeem nodig.

"Bij ons gebeurt er niets."

Misschien heb je geluk en overkomt je niets. Maar de statistieken vertellen een ander verhaal: één op de zeven bedrijven is al gehackt en 70% van de Duitse bedrijven is al slachtoffer geweest van cybercriminelen. De meeste van hen zijn kleine bedrijven en organisaties die precies dat dachten.

Hackers zijn niet geïnteresseerd in de grootte van uw bedrijf. Ze zijn geïnteresseerd in open gaten in de beveiliging. En deze zijn gegarandeerd aanwezig in een verouderde TYPO3 installatie.

Het perspectief van de integrators

En nu een woord aan de agentschappen, ontwikkelaars en integrators die dit lezen:

Jullie doen belangrijk werk. Jullie zorgen voor websites, houden systemen draaiende, lossen problemen op. Maar jullie zijn geen zombies.

Het onderhouden van oude TYPO3 installaties kost onevenredig veel tijd. Tijd die je niet hebt voor moderne, spannende projecten. Tijd die ten koste gaat van je marges. Tijd die u frustreert.

En nog belangrijker, je medewerkers willen niet werken aan software die tien jaar oud is. Welke goede ontwikkelaar wil in 2025 nog aan TYPO3 4.5 werken? Je zult goede mensen verliezen als je alleen oude systemen ondersteunt.

Grenzen stellen is niet onvriendelijk. Het is professioneel.

Het is oké om te zeggen: "Ik kan niet langer verantwoordelijk zijn voor ondersteuning als jullie niet upgraden. Hier zijn de risico's, hier is een aanbod voor een upgrade. Als je het niet wilt, moeten we de samenwerking beëindigen."

Dat is geen ultimatum. Dit is risicobeheer. Voor beide partijen.

Als een klant wordt gehackt en je hebt de risico's niet vooraf benadrukt, ben je mogelijk medeschuldig. En zelfs als dat niet zo is, lijdt uw reputatie eronder. "Hij heeft de leiding over een gehackte website en heeft niets gedaan."

Jullie zijn experts. Jullie weten wat juist is. Sta daar achter.

Wat u nu kunt doen

Voor klanten: Luister naar uw integrator

Als je agentschap of ontwikkelaar zegt dat een upgrade nodig is, dan is het nodig. Deze mensen leven van TYPO3. Ze weten waar ze het over hebben.

Vraag om een concreet aanbod. Laat ze uitleggen wat er gebeurt en waarom. En investeer dan in de beveiliging van je website.

Als je integrator het probleem nog niet heeft aangepakt, breng het dan ter sprake. Vraag op welke TYPO3 versie je zit en of een upgrade nodig is.

En als je geen integrator hebt of een nieuwe nodig hebt: neem gerust contact met me op. We bekijken je installatie en bespreken wat zinvol is.

Voor integrators: Spreek klare taal

Maak een lijst van je klanten met verouderde TYPO3 versies. Prioriteer op basis van risico. En pak het probleem vervolgens aan. Concreet, met een planning en een aanbod.

Geef uw klanten de informatie die ze nodig hebben om een beslissing te nemen. Leg de risico's uit. Vermeld de kosten. Stel een deadline.

En als een klant het nog steeds niet wil, leg dit dan schriftelijk vast. Laat bevestigen dat je op de risico's hebt gewezen en dat de klant de upgrade weigert. Dit is zelfbescherming.

Bied oplossingen:

Onderhoudscontracten: Kleine, voorspelbare maandelijkse bedragen in plaats van grote, onverwachte rekeningen. Regelmatige updates zijn goedkoper dan noodupgrades.

Upgradepakketten: Vaste prijsaanbiedingen voor standaard upgrades, gespreid volgens inspanning.

Statische conversie: Voor echt dode websites zonder regelmatige veranderingen. Van TYPO3 naar statische HTML. Gunstiger in gebruik, veiliger, sneller.

Geleidelijke migratie: Niet alles tegelijk, maar stap voor stap. Eerst de meest kritieke gaten in de beveiliging dichten, dan de rest.

Exit-optie: Soms is een nieuw, slank systeem goedkoper dan een monsterupgrade. Wees eerlijk als dit de betere manier is.

De vraag is niet of, maar wanneer

U zult op een gegeven moment moeten upgraden. De enige vraag is: doe je het nu, gepland en schoon? Of later, onder tijdsdruk en tegen driedubbele kosten?

De technologie zal niet op je wachten. TYPO3 versie 14 komt eraan in april 2026 en de kloof tussen de huidige standaarden en oude installaties wordt groter, niet kleiner.

Over vijf jaar zul je niemand meer vinden die TYPO3 4.5 wil aanraken. En als ze dat wel doen, zal het heel duur zijn.

De beste tijd om te upgraden was twee jaar geleden. De op één na beste tijd is nu.

Mijn advies

Ik schrijf dit niet om paniek te zaaien. Ik schrijf het omdat ik serieus ben.

Als TYPO3 expert sinds 2006, als lid van het TYPO3 Education Committee en als iemand die honderden projecten heeft begeleid: Verouderde installaties zijn een risico dat je niet moet nemen.

Het gaat niet om perfectionisme. Het gaat om gezond verstand.

U hoeft niet altijd de nieuwste versie te gebruiken. Maar je zou een versie moeten hebben die nog steeds ondersteund wordt. Die nog steeds beveiligingsupdates krijgt. Die nog een toekomst heeft.

En als u niet weet waar u aan toe bent of wat u moet doen: vraag het iemand die het wel weet. Uw integrator. Een agentschap. Of aan mij.

Maar doe iets. Want "Het werkt" is geen strategie. Het is zelfbedrog.

En dat kan duur zijn.