Aktualizacje TYPO3: Dlaczego "to działa" jest najbardziej niebezpieczną wymówką

Doświadczam tego wielokrotnie. Klient korzysta z TYPO3 w wersji 8 lub nawet starszej, a kiedy poruszam temat aktualizacji, odpowiedź pojawia się znienacka: "Strona działa. Wszystko działa. Dlaczego miałbym inwestować w nią pieniądze?".

I rozumiem tę niechęć. Naprawdę. Żadna firma nie lubi wydawać pieniędzy na coś, co nie wydaje się być zepsute. Ale taka postawa jest nie tylko krótkowzroczna. To zagrożenie pożarowe.

Jako ktoś, kto pracuje z TYPO3 od 2006 roku i regularnie rozmawia z innymi agencjami i integratorami, mogę powiedzieć: problem jest prawdziwy, powszechny i coraz większy.

Wygodne kłamstwo: "To działa"

Tak, Twoja witryna działa. Dzisiaj. Może także jutro. Ale działa na oprogramowaniu, którego nikt już nie utrzymuje. Na PHP, które od lat nie otrzymało żadnych aktualizacji bezpieczeństwa. Z rozszerzeniami, które nie są już obsługiwane.

To jak jazda samochodem bez przeglądu technicznego. To też działa. Aż do pierwszego zakrętu. Albo do pierwszego przeglądu.

Różnica: w przypadku samochodu wiesz, że podejmujesz ryzyko. W przypadku strony internetowej wmawiasz sobie, że nic się nie stanie.

Co tak naprawdę ryzykujesz

Luki w zabezpieczeniach: otwarte drzwi dla atakujących

Stare wersje TYPO3 mają znane luki w zabezpieczeniach. Luki te są publicznie udokumentowane. Hakerzy mają zautomatyzowane skrypty, które przeszukują Internet w poszukiwaniu dokładnie takich przestarzałych instalacji.

Nie zostawia się otwartych drzwi wejściowych. Wywieszasz tabliczkę: "Nie ma mnie, wejdź".

Kiedy Twoja witryna zostanie zhakowana, nie chodzi tylko o kilka spamerskich linków. Chodzi o złośliwe oprogramowanie, które infekuje odwiedzających. Chodzi o skradzione dane klientów. Chodzi o zniszczoną reputację, której naprawa zajmuje lata.

RODO: Obecnie naruszasz prawo

W tym miejscu robi się nieprzyjemnie: zgodnie z RODO jesteś zobowiązany do aktualizowania używanego oprogramowania. Zwłaszcza jeśli przetwarzane są dane osobowe.

I zanim powiesz "Nie przetwarzamy żadnych danych": Tak, przetwarzamy. Wystarczy sam formularz kontaktowy. Analityka. Rejestracja do newslettera. To wszystko są dane osobowe.

Każdy, kto celowo używa przestarzałego oprogramowania, działa niedbale. W przypadku naruszenia ochrony danych osobowych możesz być narażony na obowiązki sprawozdawcze, grzywny i roszczenia odszkodowawcze. A firma ubezpieczeniowa może odmówić wypłaty w przypadku rażącego zaniedbania.

Dotyczy to również stowarzyszeń, wspólnot i parafii. Honorowi członkowie zarządu ponoszą osobistą odpowiedzialność. Czy naprawdę chcesz ryzykować majątek stowarzyszenia dla kary, której można uniknąć?

Koszty rosną wykładniczo

Aktualizacja z TYPO3 11 do 13 jest wykonalna. Z TYPO3 8 do 13 jest droższa. Z wersji 4.5 do 13? Wtedy nie mówimy już o aktualizacji, ale o ponownym uruchomieniu.

Im dłużej się czeka, tym drożej. Rozszerzenia znikają z rynku. Wersje PHP stają się niekompatybilne. Hostery przestają wspierać stare systemy. To, co dziś można zrobić w dwa dni, za rok może oznaczać całkowitą przebudowę.

To Ty decydujesz dziś, czy planujesz aktualizację, czy Twój hostingodawca decyduje za Ciebie. A decyzje podejmowane pod presją czasu są zawsze najdroższe.

Efekt domina: gdy hostingodawca wyciąga wtyczkę

Scenariusz jest zawsze taki sam: hostingodawca ogłasza, że stare wersje PHP nie będą już wspierane. Masz na to trzy miesiące. Ale twoja stara wersja TYPO3 działa tylko z dokładnie tą wersją PHP.

Teraz masz wybór: awaryjna aktualizacja pod presją czasu lub witryna offline. Oba rozwiązania są kosztowne. Oba są stresujące. Obu można było uniknąć.

Przechodziłem przez to dziesiątki razy. I za każdym razem rachunek był wyższy niż w przypadku planowanej, czystej aktualizacji.

Dlaczego klienci wciąż się wahają

Rozumiem te obiekcje. Naprawdę.

"Nie mamy budżetu".

W takim razie nie masz również budżetu na witrynę offline, utratę danych lub kary RODO. Planowana aktualizacja kosztuje ułamek tego, co kosztuje scenariusz awaryjny.

Pomyśl o tym: czy powiedziałbyś "Nie mam budżetu na nowe hamulce" dla swojego samochodu? Nie, ponieważ wiesz, co się stanie, jeśli hamulce zawiodą.

"I tak nie zamierzamy zmieniać strony internetowej".

W takim razie nie potrzebujesz CMS. Jeśli twoja strona jest naprawdę statyczna i nic się nie zmienia, istnieją lepsze rozwiązania. Statyczna wersja HTML jest tańsza w utrzymaniu, bezpieczniejsza i szybsza.

Ale bądźmy szczerzy: czy naprawdę nic się nie zmienia? Żadnego tekstu, żadnych obrazów, żadnych danych kontaktowych? Jeśli tak, to potrzebujesz dobrze utrzymanego systemu.

"Z nami nic się nie stanie".

Może masz szczęście i nic ci się nie stanie. Ale statystyki mówią co innego: jedna na siedem firm została już zhakowana, a 70% niemieckich firm padło już ofiarą cyberprzestępców. Większość z nich to małe firmy i organizacje, które dokładnie tak myślały.

Hakerów nie interesuje wielkość firmy. Interesują ich otwarte luki w zabezpieczeniach. A te z pewnością występują w przestarzałej instalacji TYPO3.

Perspektywa integratorów

A teraz słowo do agencji, programistów i integratorów, którzy to czytają:

Wykonujecie ważną pracę. Opiekujecie się stronami internetowymi, utrzymujecie działanie systemów, radzicie sobie z problemami. Ale nie jesteście ratownikami medycznymi dla zombie.

Opieka nad starymi instalacjami TYPO3 kosztuje nieproporcjonalnie dużo czasu. Czasu, którego nie masz na nowoczesne, ekscytujące projekty. Czasu, który pochłania Twoje marże. Czas, który cię frustruje.

A co ważniejsze, twoi pracownicy nie chcą pracować na oprogramowaniu, które ma dziesięć lat. Który dobry programista nadal chce pracować na TYPO3 4.5 w 2025 roku? Stracisz dobrych ludzi, jeśli będziesz wspierać tylko stare systemy.

Ustalanie limitów nie jest nieprzyjazne. Jest profesjonalne.

W porządku jest powiedzieć: "Nie mogę dłużej być odpowiedzialny za wsparcie, jeśli nie dokonasz aktualizacji. Oto ryzyko, oto oferta aktualizacji. Jeśli jej nie chcesz, będziemy musieli zakończyć współpracę".

To nie jest ultimatum. To jest zarządzanie ryzykiem. Dla obu stron.

Jeśli klient zostanie zhakowany, a ty nie podkreśliłeś wcześniej ryzyka, możesz być współodpowiedzialny. A nawet jeśli nie, ucierpi na tym reputacja. "Jest odpowiedzialny za zhakowaną stronę internetową i nic nie zrobił".

Jesteście ekspertami. Wiecie, co jest słuszne. Trzymajcie się tego.

Co możesz zrobić teraz

Dla klientów: Słuchaj swojego integratora

Jeśli Twoja agencja lub deweloper mówi, że aktualizacja jest konieczna, to jest konieczna. Ci ludzie żyją z TYPO3. Wiedzą, o czym mówią.

Poproś o konkretną ofertę. Niech wyjaśnią, co się dzieje i dlaczego. A następnie zainwestuj w bezpieczeństwo swojej witryny.

Jeśli Twój integrator jeszcze nie zajął się tą kwestią, porusz ją. Zapytaj, którą wersję TYPO3 posiadasz i czy konieczna jest aktualizacja.

A jeśli nie masz integratora lub potrzebujesz nowego: skontaktuj się ze mną. Przyjrzymy się Twojej instalacji i przedyskutujemy, co ma sens.

Dla integratorów: Mów wprost

Zrób listę swoich klientów z nieaktualnymi wersjami TYPO3. Ustal priorytety według ryzyka. A następnie zajmij się problemem. Konkretnie, z harmonogramem i ofertą.

Przekaż klientom informacje potrzebne do podjęcia decyzji. Wyjaśnij ryzyko. Określ koszty. Ustal termin.

A jeśli klient nadal nie chce, udokumentuj to na piśmie. Uzyskaj potwierdzenie, że wskazałeś ryzyko i że klient odmawia aktualizacji. To jest samoobrona.

Oferuj rozwiązania:

Umowy serwisowe: Małe, przewidywalne miesięczne kwoty zamiast dużych, niespodziewanych rachunków. Regularne aktualizacje są tańsze niż aktualizacje awaryjne.

Pakiety aktualizacji: Stałe oferty cenowe dla standardowych aktualizacji, rozłożone w czasie w zależności od nakładu pracy.

Statyczna konwersja: Dla naprawdę martwych stron internetowych bez regularnych zmian. Z TYPO3 do statycznego HTML. Korzystniejsze w działaniu, bezpieczniejsze, szybsze.

Stopniowa migracja: Nie wszystko na raz, ale krok po kroku. Najpierw usuń najbardziej krytyczne luki w zabezpieczeniach, a następnie resztę.

Opcja wyjścia: Czasami nowy, odchudzony system jest tańszy niż potworna aktualizacja. Bądź szczery, jeśli jest to lepszy sposób.

Pytanie nie brzmi "czy", ale "kiedy

W pewnym momencie będziesz musiał dokonać aktualizacji. Jedyne pytanie brzmi: czy zrobisz to teraz, planowo i czysto? Czy później, pod presją czasu i przy potrójnych kosztach?

Technologia nie będzie na ciebie czekać. TYPO3 w wersji 14 pojawi się w kwietniu 2026 roku, a przepaść między obecnymi standardami a starymi instalacjami rośnie, a nie maleje.

Za pięć lat nie znajdziesz nikogo, kto chciałby dotknąć TYPO3 4.5. A jeśli tak, to będzie to naprawdę drogie.

Najlepszy czas na aktualizację był dwa lata temu. Drugi najlepszy czas jest teraz.

Moja rada

Nie piszę tego, aby wywołać panikę. Piszę to, ponieważ jestem poważny.

Jako ekspert TYPO3 od 2006 roku, jako członek Komitetu Edukacyjnego TYPO3 i jako ktoś, kto towarzyszył setkom projektów: Przestarzałe instalacje to ryzyko, którego nie powinieneś podejmować.

Nie chodzi o perfekcjonizm. Chodzi o zdrowy rozsądek.

Nie zawsze trzeba korzystać z najnowszej wersji. Ale powinieneś być na wersji, która nadal otrzymuje wsparcie. Która wciąż otrzymuje aktualizacje zabezpieczeń. Która wciąż ma przyszłość.

A jeśli nie wiesz, na czym stoisz lub co zrobić: zapytaj kogoś, kto się na tym zna. Twojego integratora. Agencję. Albo mnie.

Ale zrób coś. Ponieważ "To działa" nie jest strategią. To oszukiwanie samego siebie.

A to może być kosztowne.