Contao 4.13 bekommt seit dem 14. Februar 2026 keine Security-Patches mehr. TYPO3 v12 ist seit dem 30. April 2026 aus dem kostenlosen Community-Support gefallen. WordPress 6.6 und ältere Versionen bekommen keine Security-Updates mehr. Drei weitverbreitete CMS-Versionen, drei bereits abgelaufene oder auslaufende Support-Fenster. Betreiber die das ignorieren, laufen sehenden Auges in ein Sicherheitsrisiko.
Was du in 9 Minuten erfährst:
- Warum Contao 4.13, TYPO3 v12 und WordPress 6.6 jetzt zum Sicherheitsrisiko werden (konkrete Daten)
- Was "End of Life" für deine Website im Alltag bedeutet (nicht nur abstrakt)
- Welche Schritte jetzt sinnvoll sind (je nach CMS)
Das Thema CMS-Lifecycle klingt technisch und abstrakt. Aber es ist sehr konkret: Eine Website auf einer nicht mehr gepflegten CMS-Version ist wie ein Haus mit einer kaputten Schlösser. Es sieht von außen normal aus. Die Tür geht auf. Aber wer die Lücke kennt, kommt rein ohne Schlüssel.
Als Webentwickler aus der Region Oldenburg sehe ich das bei Website-Checks regelmäßig. Betriebe haben eine Website die seit Jahren läuft. Niemand hat nach der CMS-Version geschaut. Niemand hat überprüft ob Updates nötig sind. Die Website funktioniert, das reicht.
CMS-Version | Status | Betrifft dich wenn... |
|---|---|---|
Contao 4.13 | ⛔ EOL seit 14.02.2026 | Du Contao 4.x nutzt |
TYPO3 v12 | ⛔ Community-Support seit 30.04.2026 | Du TYPO3 v12 oder älter nutzt |
WordPress 6.6 und älter | ⚠️ Keine Security-Updates | Du WordPress nicht aktuell hältst |
WordPress 7.0 | ✅ Aktuell (seit 20.05.2026) | Aktuelle Version, weiter pflegen |
Welches CMS nutzt du? Schnelltest in 30 Sekunden
Sofort handeln wenn: Du Contao 4.x oder TYPO3 v12 nutzt. Der Support ist bereits abgelaufen. Jede Woche ohne Update ist ein Risiko.
Prüfen wenn: Du WordPress nutzt aber nicht weißt welche Version. Schaue im Dashboard unter "Updates". Alles unter 6.7 ist ein Problem.
Nicht akut wenn: Du eine aktuelle Version nutzt und regelmäßig Updates einspielst. Dann bist du auf der sicheren Seite.
Was "End of Life" wirklich bedeutet
End of Life ist kein technisches Problem. Es ist ein Wartungsproblem. Wenn ein CMS das End of Life erreicht, bedeutet das: Das Entwicklerteam schaut sich bekannte Sicherheitslücken nicht mehr an. Wenn jemand eine Schwachstelle findet und meldet, passiert nichts. Kein Patch. Kein Update. Die Lücke bleibt offen.
Das ist der entscheidende Unterschied zu einem aktuellen System. Bei einem gepflegten CMS: Sicherheitslücke gefunden, innerhalb von Tagen oder Wochen gibt es einen Patch, alle die updaten sind geschützt. Bei einem EOL-System: Sicherheitslücke gefunden, niemand repariert sie, alle die diese Version nutzen bleiben dauerhaft angreifbar.
Was viele nicht wissen: Sicherheitslücken in veralteten Systemen werden oft gezielt von automatisierten Scannern gesucht. Diese Scanner fahren das Web ab und suchen nach bekannten Schwachstellen in bestimmten CMS-Versionen. Das ist keine Frage ob deine Website interessant genug ist für einen Angriff. Es ist eine Frage ob deine Version in der Datenbank des Scanners steht.
Die Konsequenzen wenn eine solche Lücke ausgenutzt wird, sind vielfältig. Daten können ausgelesen werden, auch Kundendaten. Die Website kann als Spam-Schleuder missbraucht werden. Malware kann eingespielt werden, die dann auf Besucher-Geräte überspringt. Google kann die Website als unsicher kennzeichnen und aus dem Index entfernen. Und nach der DSGVO bist du als Betreiber in der Pflicht, deine Daten zu schützen. Ein ungepatchtes CMS ist ein Verstoß gegen diese Pflicht.
DSGVO-Risiko bei veralteten CMS-Versionen
Wer personenbezogene Daten über ein ungepatchtes CMS verarbeitet, riskiert DSGVO-Verstöße. Das betrifft jeden Betreiber der über seine Website Kontaktformulare, Newsletter-Anmeldungen oder Bestellungen verarbeitet. Die Aufsichtsbehörden nehmen das ernst. Bußgelder sind möglich.
🔍 Kommt dir das bekannt vor?
Viele meiner Kunden standen vor genau dieser Herausforderung. In einem kostenlosen Erstgespräch analysiere ich deine Situation und gebe eine ehrliche Einschätzung.
Kostenloses Erstgespräch anfragen →⏱️ Antwort binnen 24 Stunden
Contao 4.13: Support seit Februar 2026 abgelaufen
Contao 4.13 war die letzte LTS-Version der 4er-Reihe. Sie wurde im Februar 2022 veröffentlicht und erhielt planmäßig drei Jahre Support. Bugfix-Support endete am 14. Februar 2025. Security-Support endete am 14. Februar 2026.
Das bedeutet: Seit über drei Monaten gibt es keine Sicherheitspatches mehr für Contao 4.13. Wer jetzt noch Contao 4.13 betreibt, ist auf sich allein gestellt. Neu entdeckte Schwachstellen werden nicht mehr geschlossen.
Der Nachfolger ist Contao 5. Die aktuelle LTS-Version ist Contao 5.3, erschienen im Februar 2024 mit Support bis Februar 2028. Daneben gibt es bereits Contao 5.5 und 5.6 als neuere Versionen.
Was das Upgrade erschwert: Contao 5 ist kein einfaches Update. Es ist ein Major-Versionswechsel. Das Backend sieht anders aus. Manche Erweiterungen sind nicht mehr verfügbar oder müssen durch neue Alternativen ersetzt werden. Template-Strukturen haben sich geändert. Wer benutzerdefinierte Anpassungen hat, muss diese prüfen und anpassen.
Was viele nicht wissen: Contao hat dafür einen Migrationspfad vorbereitet. Erweiterungen die unter 4.13 liefen, sind oft mit weniger Aufwand auch unter 5.3 lauffähig als befürchtet. Wer von Contao 4.13 kommt, hat den Vorteil dass 4.13 als Brückenversion konzipiert wurde. Das macht den Sprung auf 5 leichter als von älteren 4.x-Versionen.
TYPO3 v12: Community-Support seit 30. April 2026 abgelaufen
TYPO3 v12.4 LTS war eine stabile und weit verbreitete Version, besonders in Unternehmen, im öffentlichen Sektor und im Bildungsbereich. Sie wurde im April 2023 als LTS-Version veröffentlicht. Am 30. April 2026 endete der kostenlose Community-Support.
Wichtige Klarstellung: TYPO3 v12.4.45 war voraussichtlich das letzte öffentliche Release dieser Version. Ab dem 1. Mai 2026 gibt es keine kostenlosen Sicherheitsupdates mehr, keine Fehlerbehebungen, keine Kompatibilitätsanpassungen für neue PHP-Versionen. Wer auf v12 bleiben will, kann Extended Long-Term Support (ELTS) kaufen. Das ist ein kostenpflichtiger Service von TYPO3 GmbH.
Die Upgrade-Optionen sind klar: TYPO3 v13 LTS (seit Oktober 2024, Support bis Dezember 2027) oder TYPO3 v14 LTS (seit April 2026, Support bis Juni 2029). v14 ist die aktuelle Flaggschiff-Version mit dem längsten Support-Fenster.
Das Problem bei TYPO3: Die Installationen sind oft komplex. Custom-Extensions, selbstgeschriebenes TypoScript, eigene Sitepackages. Wer drei Jahre minimal-invasive Wartung gemacht hat, stellt beim Upgrade fest wie viel sich angestaut hat. Das ist kein TYPO3-spezifisches Problem. Es ist ein Wartungsproblem das sich über Jahre aufbaut.
Was auch auf Betriebe in Oldenburg und Ganderkesee zutrifft: TYPO3 wird oft von größeren Unternehmen oder Vereinen mit anspruchsvolleren Websites genutzt. Diese Betriebe haben oft keine interne IT-Abteilung. Sie sind auf externe Dienstleister angewiesen. Wenn niemand aktiv das Lifecycle-Management übernimmt, rutscht man unbemerkt in veraltete Versionen.
TYPO3 v12 läuft weiter, ist aber ungepflegt
Die Installation hört nicht auf zu funktionieren. Das ist das Tückische. Die Website sieht aus wie immer. Alles scheint normal. Aber jede neue Sicherheitslücke die nach dem 1. Mai 2026 in v12 gefunden wird, bleibt offen. Ohne ELTS-Lizenz gibt es keinen Schutz. Das Risiko wächst mit der Zeit.
WordPress 6.6 und älter: Wann ist welche Version ein Problem?
WordPress hat ein anderes Support-Modell als Contao oder TYPO3. Es gibt immer nur eine "aktuelle" Version. Das ist aktuell WordPress 7.0, erschienen am 20. Mai 2026. Alle früheren Versionen sind in der Theorie veraltet.
In der Praxis ist es differenzierter. WordPress veröffentlicht kritische Security-Backports für ältere Versionen, wenn Schwachstellen besonders gefährlich sind. Aber das ist kein Versprechen. Es ist eine Best-Effort-Praxis die nicht dauerhaft gilt und nicht für alle Sicherheitslücken greift.
Der klare Schnitt liegt bei der aktuellen Major-Version und einer Handvoll Vorgänger. WordPress 6.7 erschien im November 2024. WordPress 6.6 und ältere Versionen erhalten keine regulären Security-Updates mehr. Wer noch WordPress 6.5, 6.4, 6.3 oder älter betreibt, ist auf veralteter Software ohne garantierten Schutz.
Besonders kritisch: WordPress 5.x-Versionen. Manche Websites laufen noch auf WordPress 5.8 oder 5.9, weil ein Plugin-Konflikt das Update verhindert hat und niemand das wirklich gelöst hat. Oder weil das Theme mit neueren Versionen nicht kompatibel war. Diese Versionen sind von 2021 oder früher. Das sind fünf Jahre ohne garantierte Security-Patches.
Ein wichtiger Aspekt bei WordPress: Das Core-System ist oft gar nicht das Hauptproblem. Die größten Risiken kommen von Plugins und Themes. Veraltete Plugins die nicht mehr gepflegt werden, sind ein größeres Risiko als eine etwas ältere WordPress-Core-Version. Wie ich im Artikel zur WordPress-Sicherheitslage im März 2026 beschrieben habe, stammen 90 Prozent der WordPress-Schwachstellen aus Plugins, nicht aus dem Core.
Aus der Praxis
Was ich bei Website-Checks in der Region häufig sehe: Betriebe haben WordPress 6.2 oder 6.3 installiert. Im Dashboard steht das Update auf 7.0 zur Verfügung. Aber da sind auch rote Balken bei fünf Plugins die geupdated werden müssten. Dann ist die Hemmschwelle hoch. Man klickt nicht auf "Alles updaten" wenn man nicht weiß was danach passiert. Das Update bleibt liegen. Monatelang. Manchmal jahrelang.
⚡ Brauchst du Unterstützung?
Ich helfe dir bei der Umsetzung – von der Planung bis zum Go-Live.
- Persönliche Beratung & Betreuung
- Transparente Preise & faire Konditionen
- Aus Oldenburg – für dein Business
⏱️ Antwort binnen 24 Stunden
Was du jetzt konkret tun solltest
Zunächst musst du wissen was auf deiner Website läuft. Das klingt trivial, ist aber für viele Betriebe nicht trivial. Sie wissen es schlicht nicht. Die Website wurde vor Jahren gebaut, seitdem hat sich jemand darum gekümmert oder auch nicht.
Schritt eins: Version prüfen. Bei WordPress: Im WordPress-Dashboard unter "Dashboard" siehst du die aktuelle Version. Bei Contao und TYPO3: Dort ist es ähnlich, aber du brauchst oft Zugang zum Backend. Falls du keinen hast, kontaktiere die Agentur oder den Entwickler der die Website gebaut hat.
Wenn du Contao 4.13 nutzt: Migration auf Contao 5.3 planen. Das ist kein sofortiges Notfall-Update sondern ein Projekt das Planung braucht. Je nach Komplexität der Website braucht das Wochen. Besser jetzt planen als warten bis ein Sicherheitsvorfall passiert.
Wenn du TYPO3 v12 nutzt: Drei Optionen. Upgrade auf v13 oder v14. ELTS-Lizenz für den Übergangszeitraum. Oder das Risiko bewusst in Kauf nehmen (was ich nicht empfehle). v14 ist die aktuelle LTS mit dem längsten Support-Fenster bis Juni 2029.
Wenn du WordPress 6.6 oder älter nutzt: Update auf WordPress 7.0. Vorher: Backup. Staging-Umgebung wenn verfügbar. Plugin-Kompatibilität prüfen. Das Update selbst ist oft einfach. Die Vorbereitung ist entscheidend.
Ein häufiger Fehler: Betriebe hören "Migration" und schieben es auf. Zu aufwendig. Zu teuer. Zu viel Risiko. Aber das ist die falsche Kalkulation. Die Migration kostet Aufwand. Ein Sicherheitsvorfall kostet mehr. Nicht nur Geld, sondern auch Vertrauen. Wenn Kundendaten abfließen, ist der Schaden schwer zu beziffern.
Ein einfacher Quick Win: Wenn du WordPress nutzt und das Update nur wegen Plugins scheust, schau dir die veralteten Plugins genau an. Werden sie noch aktiv gepflegt? Hat der Entwickler in den letzten sechs Monaten ein Update veröffentlicht? Wenn nein, sind das Kandidaten zum Entfernen, nicht zum Beibehalten.
Aus der Praxis
Was ich bei Website-Checks in der Region häufig sehe: Betriebe in Ganderkesee, Wildeshausen und Umgebung haben oft Websites die von kleinen Agenturen gebaut wurden die inzwischen nicht mehr existieren. Der Betrieb hat keinen Ansprechpartner mehr für Updates. Keinen Vertrag. Keinen Zugang zum Backend manchmal. Das ist der Moment wo veraltete CMS-Versionen wirklich gefährlich werden. Niemand ist zuständig. Niemand schaut hin.
Eine Migration ist auch eine Chance
Wer jetzt vor einer großen Contao- oder TYPO3-Migration steht, sollte eine Frage ehrlich stellen: Brauche ich wirklich die Komplexität meines aktuellen Systems noch? Oder war das CMS damals die Wahl der Agentur, nicht die Wahl meines Betriebs?
Viele lokale Betriebe nutzen Contao oder TYPO3 weil die Agentur das empfohlen hat. Das waren zu ihrer Zeit gute Entscheidungen. Aber 2026 gibt es Alternativen die für einfache Content-Websites schneller, leichter zu pflegen und ohne Plugin-Wildwuchs auskommen.
Lotse CMS (lotse-cms.de) ist ein Symfony-basiertes CMS das ich selbst entwickle und einsetze. Es ist keine WordPress-Kopie und kein Baukastensystem. Es ist ein fokussiertes Werkzeug für lokale Betriebe die eine professionelle Content-Website brauchen: Seiten, Blog, Kontaktformular, Bildergalerie, SEO. Alles im Core, keine Plugins, kein Wartungsmarathon.
Was das konkret bedeutet: Kein Avada-Lücken-Szenario. Kein Plugin-Update-Stau. Kein "Wer war nochmal für die Updates zuständig?" nach einem Agenturwechsel. Eine feste, gepflegte Codebasis die ich dauerhaft weiterentwickle.
Lotse CMS Partner-Modell (neu online)
Seit kurzem gibt es auf lotse-cms.de ein Partner-Modell für Webagenturen und Freelancer. Wer Kundenprojekte auf einer stabilen, wartungsarmen Basis umsetzen will, ohne das Plugin-Ökosystem von WordPress zu managen, kann Lotse CMS als White-Label-Lösung nutzen. Das ist besonders interessant für Agenturen die gerade Contao 4 oder TYPO3 v12 Projekte vor einer Migration haben und neu aufsetzen wollen.
Und wenn ein neues CMS zu groß gedacht ist?
Nicht jeder Betrieb will eine große Entscheidung treffen. Dann gibt es den Website-Mietservice von Level Nord. Professionelle Website auf Lotse CMS, monatlich buchbar, Hosting und Wartung inklusive, kein einmaliger Investitionsblock.
Der Mietservice richtet sich an Betriebe die sagen: "Ich will keinen Plugin-Dschungel, kein altes CMS, keine Sorgen um Updates. Ich will eine Website die einfach läuft." Das ist genau das was der Service liefert. Kein Lock-In: Nach Laufzeitende geht die Website in dein Eigentum über.
Das ist kein Aufruf umzusteigen. Wer mit seinem aktuellen CMS zufrieden ist und es regelmäßig aktuell hält, soll es behalten. Aber wer sowieso vor einer größeren Migration steht und sich fragt ob der Aufwand wirklich für das gleiche System noch einmal gemacht werden soll, dem rate ich das Gespräch zu suchen.
Die Prioritäten im Überblick
Situation | Dringlichkeit | Empfehlung |
|---|---|---|
Contao 4.13 | 🔴 Hoch (EOL seit Feb.) | Migration auf Contao 5.3 planen |
TYPO3 v12 | 🔴 Hoch (EOL seit Apr.) | Upgrade auf v14 LTS oder ELTS |
WordPress 5.x oder 6.0-6.5 | 🔴 Hoch | Update auf 7.0 nach Backup + Test |
WordPress 6.6 oder 6.7-6.9 | 🟡 Mittel | Update auf 7.0 planen, Plugins prüfen |
WordPress 7.0 + aktuelle Plugins | ✅ Gut | Weiter regelmäßig updaten |
🚀 Lass uns über dein Projekt sprechen
In einem kostenlosen 30-Minuten-Erstgespräch analysiere ich deine Anforderungen und gebe konkrete Empfehlungen – unverbindlich und ehrlich.
Termin vereinbaren →Direkt zum Thema:
Kostenloser Website-Check: Welche CMS-Version läuft auf deiner Website? Ist sie aktuell? Was ist zu tun? Im kostenlosen Website-Check schaue ich mir das konkret an.
Website-Mietservice: Neustart ohne großen Investitionsblock. Professionelle Website auf Lotse CMS, Hosting und Wartung inklusive. Auf meiner Leistungsseite findest du die Details zum Mietmodell.
Lotse CMS für Agenturen: Das Partner-Modell für Webagenturen und Freelancer die stabile, wartungsarme Kundenprojekte aufsetzen wollen. Mehr unter lotse-cms.de.