Contao Update einer Webseite auf die neueste LTS Version 5.3

Contao Update von Version 4 auf 5

Aktualisierung einer Contao-Webseite auf die neueste LTS-Version 5.3

Ihr zertifizierter Contao Experte für Upgrades Ihrer Contao-Installation.
Ich biete eine zuverlässige Wartung für Ihr CMS und biete Aktualisierungen an.

Wer seine Contao Installation auf den aktuellsten Stand bringen will, sollte gleich auf Contao 5 setzen. Für die Contao Versionen 2 oder 3 gibt es keine offizielle Updates / Bugfix-Release mehr! XSS-Lücken oder sonstige SQL-Injection-Schwachstellen werden eventuell nicht mehr bereitgestellt und behoben.

So setze ich das Contao Update auf die Version 5 um und bringe es auf den neuesten Stand!

Um das Contao-CMS auf den neuesten Stand zu bringen gibt es zwei Varianten, die man entweder selber durchführt, oder von mir als zertifizierten Premium-Contao-Partner beauftragen kann.

Contao Update anfragen

Welche Varianten gibt es?

  1. Das Contao Update mit der Version 4 oder 5 wird über den Manager auf den neuesten Stand gebracht
  2. Alternativ per Composer auf der Kommandozeile direkt am Server bzw. lokal in der Entwicklungsumgebung

Alle der genannten Möglichkeiten erfordern Kenntnisse vom System und ein wenig IT-Wissen, die ich hier mit einigen Tipps erkläre. Am einfachsten geht ein Update ab Contao 4 oder 5 mit dem Composer, oder Contao-Manager zu aktualisieren.

Vorbereitungen und Prüfung der PHP und MySQL Version

Zunächst sollte überprüft werden, ob bei dem Webhoster für die neue Contao-Version PHP 8.1.x besser 8.3.x zur Verfügung steht. Für die MySQL Datenbank sollte die Version ab 5.7.x. eingesetzt werden. Für Contao 5.x können keine alten PHP 7.x Version eingesetzt werden.

Überprüfung der eingesetzten Extensions / Erweiterungen

Mit der Überprüfung der eingesetzten Extensions über die Erweiterungsverwaltung ist es aber oft nicht getan. Die Erweiterungen in der composer.json einer 4er Version unterscheiden sich zur 5er, deshalb sucht euch die Erweiterung im Manager, oder auf GitHub bzw. https://extensions.contao.org/ ob es die noch gibt und welcher Entwickler die Übernommen hat. Es kann sein, das einige Erweiterungen nicht mehr für neue Versionen gepflegt werden. Falls hier keine Hinweise zu finden sind, kann auch im Forum nach Hilfestellung, Tricks oder der Kompatibilität sowie Sicherheitslücken gesucht werden.

Inkompatible Erweiterungen sollten vor dem Update entfernt werden.

Update der Extensions über das Backend der Erweiterungs-Verwaltung mit Datenbank aktualisieren
Update der Extensions über das Backend der Erweiterungs-Verwaltung

Lokale Umgebung oder Subdomain für das Update

Meine Empfehlung ist sich erst mal eine neue Contao Installation nach der Anleitung aufzusetzen.

An einer Live Seite solltet ihr kein Contao Update vornehmen, vor allem, wenn viele Extensions installiert sind. Hier würde ein lokaler Test der Umgebung unter XAMPP oder MAMP Sinn machen. Alternativ kann die Live Seite auch als Duplikat unter einer extra Domain eingerichtet werden. Dazu richtet man sich eine Subdomain ein, und kopiert entweder über FTP oder per Kommandozeile eine Kopie der Ordner files und templates in die neue Installation am Hosting. Der Vorteil dieser Variante ist, dass später eine Verzeichniswechsel der Hauptdomain die Umstellung erleichtert.

Ich benenne den neuen Ordner wie folgt nach Projektname, Version und Jahr, um zukünftige Updates besser zu unterscheiden.
projektname-c53-2026

Datenbank-Backup erstellen und Migrationen durchführen

Zu allen Varianten rate ich immer eine Datenbanksicherung zwischen größeren Schritten anzulegen, um auf die Zwischenschritte zurück zu sichern.

Vereinbart mit den Redakteuren einen Redaktionsstop für die Zeit, ab dem Zeitpunkt an dem Ihr die Datenbanksicherung erstellt. Wenn zwischenzeitlich an der Live-Webseite weiter gearbeitet wird weichen die Stände ab. Damit wäre dann eine Nacharbeit der Inhalte in die neue Installation nötig.

Beim erstellen einer Datenbanksicherung können die Tabellen tl_search, tl_search, tl_log, tl_version und tl_undo ohne Daten in PHPmyAdmin exportiert werden. Alternativ kann vor dem Export im Backend auch die Systemwartung > Daten bereinigen mit allen Optionen durchgeführt werden. Damit bekommt man einen schlanken Datenbank-Export.

Bei der Variante über eine Subdomain muss zusätzlich eine neue Datenbank angelegt werden und dort der letzte Stand von der Live Seite eingespielt werden. Das kann über PHPmyAdmin auch in einem Schritt erledigt werden, wenn man die neue DB für die Kopie auswählen kann. Die meisten werden die Datenbank Sicherung in die leere Datenbank als SQL Dump importieren.

Für die Installation unter der neuen Domain muss noch in der localconfig.php / .env die Einträge DB, dbHost, dbUser, dbPass und ganz wichtig die NEUE dbDatabase angepasst werden, sonst überschreibt man Einstellungen in der kopierten Installation.

Migrationen durchführen

Nach dem die Datenbank importiert wurde kann im Manager die Migration durchgeführt werden. Wichtig ist dabei, das alle Erweiterungen installiert sind bzw. die nicht kompatiblen entnommen wurden.

Einstellungen und Konfiguration am Hosting

Weitere Einstellungen sind noch in der .htaccess im Bereich der URL Umschreibungen zu treffen, wer diese im Root der Installation nutzt. Anpassungen im Seitenbaum für die neue Sub-Domain (auch MultiDomains) sind dann nötig, wenn mehr Domains oder Sprachen zum Einsatz kommen.

Wer einen Datenbank Dump seiner lokalen Entwicklungsumgebung in die neue Umgebung importiert, muss im Seitenbaum noch die richtige Domain bzw. bei Mehrsprachigen Installationen abändern.

Themes auf Kompatibilität prüfen

Bei dem Einsatz von Themes / Theme-Vorlagen muss vorher überprüft werden, ob der Anbieter die Dateien oder Templates für die neue Version bereitstellt. Bei Contao 5 gibt es an den Templates bzw. dem HTML-DOM Änderungen, die zur Folge haben, das die bisherigen CSS Klassen nicht mehr übereinstimmen.

Was ist bei älteren Versionen zu beachten

Früher konnte man wenn Core und eingesetzte Extensions zusammenpassen, sich die letzte 3er Contao-Version laden und die ZIP Dateien lokal entpacken, um die Dateien per FTP am Live Hosting überspeichert.

Bei einem Sprung von 2/3 auf 4/5 hing es ein wenig vom Einsatz der Contao Erweiterungen ab, wie das System-Update zu erfolgen hatte. Um Ballast abzuwerfen macht eine frische Installation mehr Sinn, diese dann mit den Extensions zu bestücken und dann den letzten DB Stand noch rein zu ziehen. Hier können Änderungen an Theme / Templates notwendig sein, da sich mit der Version 5 der HTML-DOM an vielen Elementen geändert hat. Das CSS bzw. SCSS muss dann entsprechend der neuen HTML Struktur angepasst werden.

Als Webdesigner kann ich die Anpassungen von einem Contao-Themes gerne durchführen. Auch für ältere Versionen ist der Umbau der Templates und dem SCSS/CSS möglich.

Du solltest auch die error.log überprüfen, ob es Fehler am System vor und nach den Updates gibt. Das gleiche gilt auch beim Einsatz von Themes und deren Templates.

Wie wird eine Aktualisierung bei mir als Service umgesetzt?

Die folgenden Schritte sind wie hier im Artikel beschrieben bei einer Projekt-Übernahme oder bei größeren Versionssprüngen notwendig.

  • Contao Installation vom Live Server laden und lokal sichern
  • Erstellen einer Datenbank Sicherung
  • Prüfen des Hostings auf PHP Versionen und dem Einsatz von Contao
  • Sicherheitsupdates lokal durchführen
  • Erweiterungen anheben oder alternativen installieren
  • Überprüfen der Themes oder Templates auf Darstellungsfehler
  • CSS anpassen
  • Prüfen der lokalen Seite auf Fehldarstellungen und PHP-Fehlermeldungen
  • Überprüfen der Log-Dateien
  • Upload neuen Stand auf Subdomain oder je nach Projektgröße auf die Live Seite

Bei Installationen die ständig redaktionell bearbeitet werden, ist ein Übergangsbetrieb mit Redaktionsstop notwendig. In dem Fall muss individuell ein Workflow erarbeitet werden.

Contao aktualisieren Checkliste

Welche Versionen sind verfügbar und welche Version soll ich installieren

Wenn Sie sich im Contao-Backend anmelden sehen Sie in der linken Spalte ganz unten welche Version Sie gerade einsetzen.

Die aktuelle LTS Contao-Version ist 5.3.x die regelmäßig mit Updates versorgt wird.

Wenn eine neue Contao Version Verfügbar ist, sollte wenn möglich ein Contao Update in Erwägung gezogen werden, um das System auf dem aktuellsten Stand zu halten. Gerne kann ich Sie mit Updates und Aktualisierungen unterstützen.

FAQ zum Contao Update

Wann macht ein Contao Update Sinn?

Wenn es für die eingesetzte Version ein Sicherheitsupdate gibt, oder man bestimmte Funktionen aus einer neueren Version benötigt, macht eine Aktualisieren Sinn, da neben dem Core Sicherheitslücken auch in Symfony und Twig geschlossen werden. Auch bei bekannt gewordenen Sicherheitslücken sollte man unbedingt den Core, die Applikationen und die Erweiterungen aktualisieren.

Wenn keine Sicherheitsupdates eingespielt werden, kann es vorkommen das die Installation gehackt wird und darüber im schlimmsten Fall SPAM Mails versendet werden. Das hätte nicht nur einen Imageschaden zur Folge und könnte teuer werden, wenn daraus für andere ein wirtschaftlicher Schaden entsteht. In meiner Zeit in Festanstellung habe ich es erlebt, das eine CMS-Seite befallen wurde und diese auf Black-Listen gelandet ist. Zur Folge hatte der Hack auch noch, das sowohl teilweise ein und ausgehende E-Mail nicht zugestellt wurden, oder einige Viren-Scanner beim Kunden die absendende Domain (betroffene Installation) als Virenschleuder erkannte.

Nach einem Hack war es äußerst schwierig, die CMS-Installation wieder zu bereinigen und bedarf viel Fachwissen über einzelne Schritte und Maßnahmen.

Aus dem Grund machen relevante Software-Updates Sinn, sondern verbessern die Stabilität der Webseite und bieten weitere Funktionen, die bei der Pflege Zeit sparen und neue Möglichkeiten eröffnen.

Wie handelt man bei Sicherheitslücken ?

Aktuelle Sicherheitsmeldungen finden Sie hier unten aufgelistet und auf der Contao Sicherheitshinweise.

Für meine Kunden und Interessenten habe ich einen eigenen Newsletterverteiler eingerichtet, über die ich im Fall von Sicherheitsupdates für Contao und Sicherheitslücken im Core oder Erweiterungen informiere. Sobald es Sicherheitsmeldungen, wichtige Contao Updates oder angreifbare Lücken am CMS oder Erweiterungen gibt, informieren wir Sie über unseren Newsletter. Hier muss immer pro Projekt und der eingesetzten Erweiterungen entschieden werden.

Aktuelle Contao Sicherheitshinweise

Remote Code Execution in Template-Closures

Datum: 25.11.2025
CVE-ID: CVE-2025-65960

Backend-Benutzer mit präziser Kontrolle über den Inhalt von Template-Closures können beliebige PHP-Funktionen ausführen, die keine erforderlichen Parameter haben.

Cross-Site-Scripting in Templates

Datum: 25.11.2025
CVE-ID: CVE-2025-65961

Es ist möglich, Code in die Template-Ausgabe einzufügen, der im Browser im Frontend und Backend ausgeführt wird.

Information-Disclosure im Frontend-Suchindex

Datum: 28.08.2025
CVE-ID: CVE-2025-57756

Geschützte Inhaltselemente, die als Fragmente gerendert werden, werden indiziert und sind in der Frontend-Suche öffentlich verfügbar.

Information-Disclosure im News-Modul

Datum: 28.08.2025
CVE-ID: CVE-2025-57757

Wenn ein Newsfeed geschützte Nachrichtenarchive enthält, werden deren Nachrichten nicht gefiltert und sind im RSS-Feed öffentlich zugänglich.

Unzureichende Zugriffskontrolle in den Backend-Votern

Datum: 28.08.2025
CVE-ID: CVE-2025-57758

Der Table-Access-Voter im Backend überprüft nicht, ob ein Benutzer Zugriff auf das dazugehörige Modul hat.

Übersicht für den Release-Plan zukünftig geplanter Contao Versionen

Eine Übersicht der Major- und Minor-Releases für den Release-Plan befindet sich auf der Seite mit dem Release-Plan.

  • Active: Die Version ist aktiv und wird mit Bugfixes versorgt.
  • Long Term Support: Verlängerter Supportzeitraum. Die Version wird weiterhin mit Bugfixes versorgt.
  • Security: Verlängerter Supportzeitraum. Es werden nur noch sicherheitsrelevante Updates bereitgestellt.
Übersicht des Contao Release-Plan für Updates
Übersicht des Contao Release-Plan für Updates

Kostenlose Überprüfung

Sie haben eine bestehende Contao Webseite und würden gerne wissen, ob an der Installation so weit alles in Ordnung ist, oder ob Aktualisierungen und Updates anstehen? Dann nutzen Sie gerne meine kostenlose Überprüfung. Ich überprüfe Ihre Contao-Webeite und berichte Ihnen, welche Schwächen oder Probleme bestehen.

Ich überprüfe kurzfristig Ihre Contao Seite auf eventuelle technische Probleme oder anstehende Updates / neue Versionen und veraltete Erweiterungen auf den neuesten Stand. Dieser Service ist komplett kostenlos und ist für Sie selbstverständlich absolut unverbindlich.

Datenschutzhinweis: Mit dem Absenden erklären Sie sich einverstanden, dass die von Ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage genutzt. (Weitere Informationen finden Sie in der Datenschutzerklärung.)

CodeSache - Markus Schindler
Webdesign und Webentwicklung

Adresse

CodeSache
Markus Schindler
Gundelsberger Straße 4
83075 Bad Feilnbach

Koordinaten

N: 47.76583" E: 12.0082113"

Telefon

+498066885687

Mo. - Do.: 09:00 - 17:00 Uhr
Fr.: 09:00 - 12:00 Uhr

Markus Schindler - Official Contao Premium Partner aus Rosenheim bei München