…das ist hier die Frage.

Das WordPress Programm (Core), alle Themes und Plugins müssen regelmäßig aktualisiert werden, um das Risiko von Schwachstellen, die von Hackern ausgenutzt werden können, zu verringern. Je nach der Anzahl der installierten Plugins können diese Aktualisierungen sehr häufig nötig sein.

Updates für WordPress Core

Im Oktober 2013, mit der Version 3.7, wurde die Möglichkeit eingeführt, WordPress Core automatisch aktualisieren zu lassen. Das heißt, wenn eine neue Version von WordPress erscheint, wird die Installation automatisch auf den neuesten Stand gebracht. Standardmäßig waren vor WordPress 5.6 auf jeder Website nur automatische Updates für kleinere Core-Releases und Übersetzungsdateien möglich.

Diese automatische Update-Funktion kann durch Einstellungen auf die persönlichen Bedürfnisse angepasst werden. Um eine der jeweiligen Situation angepasste Entscheidung zu treffen, muss man das Versionensystem verstehen.

Was versteht man unter Versionen?

Zum Zeitpunkt dieses Artikels ist die aktuelle WordPress Version 6.2.2. Die Hauptversion war 6.0. Eine neue Hauptversion ist es dann, wenn große Veränderungen und neue Funktionalität eingeführt wird. Bei kleineren Verbesserungen, wie Bugfixes (Fehlerbeseitigung) oder Schließen von Sicherheitslücken, wird eine Nebenversionsnummer vergeben, wie z. B. 6.1. Kommen weitere Updates hinzu, könnte es Version 6.2 werden (signifikante Änderungen), oder 6.1.1 (eine kleine Verbesserung von 6.1.). Wer sich für Details der WordPress Updates interessiert, findet sie im WordPress Codex (engl.)

Die Update-Entscheidung

Jedes Update birgt ein gewisses Risiko, dass etwas schiefgeht. Deshalb sollte man auch regelmäßig Backups erstellen. Wenn WordPress auf automatische Updates eingestellt ist, wird nicht automatisch auch ein Backup erstellt. Allerdings bekommt man (vielleicht) eine E-Mail, die einen auf ein Problem mit der Website hinweist. Erfahrungsgemäß kommen diese Warn-E-Mails oft, aber nicht immer.

Wenn ein Update schiefgeht, können diverse Probleme auftreten:

• Die Website zeigt eine weiße Seite mit der Nachricht: „Auf der Website werden geplante Wartungsaufgaben durchgeführt. Bitte entschuldigen Sie die Unannehmlichkeiten. Kommen Sie später wieder vorbei. Wir sind bald wieder online.“
• Die Website zeigt eine weiße Seite und sonst nichts
• Die Website zeigt einen 505 Database Error
• Die Website ist so weit in Ordnung, nur einzelne Funktionen sind nicht vorhanden

 Das heißt, die Website kann eventuell unerreichbar sein, ohne dass wir es bemerken.

Bei der Einstellung der Automatisierung kann man entscheiden, ob nur die Nebenversionen automatisch aktualisiert werden sollen oder auch die Hauptversionen. Da Nebenversionen nur kleinere Veränderungen mit sich bringen, sind sie weniger gefährlich als die Hauptversionen.

Obwohl bei allen Neuerungen auf Rückwärtskompatibilität großen Wert gelegt wird, kann es bei neuen Hauptversionen eher zu Theme und Plugin Konflikten kommen. Daher sind sie mit größerer Vorsicht zu installieren als Nebenversionen.

Bei der Frage, ob man automatischen Updates durchführen lassen soll oder nicht, kommt es auf mehrere Faktoren an. Denn die Sicherheit der Website sollte an oberster Stelle stehen.

1. Wie oft logged sich ein Administrator ein, um mögliche Update Hinweise zu sehen? Monatlich wäre das Minimum.
2. Werden täglich automatische Backups von der gesamten WordPress Installation erstellt?
3. Wie essenziell ist die problemlose Funktionalität der Website? Ist die Funktion essenziell, sollte man auf automatische Updates verzichten.

Hauptversionen kommen meistens nur einmal im Jahr heraus. Deshalb kann die automatische Aktualisierung von Nebenversionen ein Kompromiss sein, um die Sicherheit der Website zu gewährleisten und das Risiko von Problemen zu minimieren.

Vor jeder Aktualisierung von Hauptversionen sollte man ein extra Backup machen und anschließend die Website gründlich testen. Am besten testet man neue Hauptversionen auf einer Test-Installation (Staging Site).

Wer jetzt denkt „Na ja, an meiner kleinen Website sind die Hacker nicht interessiert“, irrt sich gewaltig. Roboter suchen Schwachstellen in Website Installationen, und attackieren unabhängig davon, ob die Website eine bestimmte Größe oder Inhalte hat.

Sicherheits-Updates werden auch dann durchgeführt, wenn automatische Updates an sich ausgestellt sind.

Wo kann ich die Einstellung anpassen?

Unter dem Menüpunkt „Dashboard“ findest du „Aktualisierungen“.

Ob die Update-Einstellung sichtbar ist, kommt auf den Hosting-Service an. Manche Hosting-Anbieter deaktivieren die Möglichkeit der Einstellung.

Auf dieser Website ist die automatische Aktualisierung von ALLEN WordPress Core Updates aktiviert. Wenn ich auf den Link klicke „Wechsle auf automatische Aktualisierung nur für Wartungs- und Sicherheits-Updates“ wird umgeschaltet.

Sollte diese Funktion im Dashboard nicht vorhanden sein, oder will man die Einstellungen noch feinmaschiger kontrollieren, muss die wp-config.php Datei angepasst werden (engl.) Dies ist jedoch ein Eingriff, der nur von erfahrenen Administratoren durchgeführt werden sollte. Eine weitere Möglichkeit, die Einstellungen anzupassen, könnte im Hosting Control Panel vorhanden sein.  Kontaktiere deinen Hostinganbieter, um deine Optionen zu erfahren.

Überlegungen zu automatischen Plugin Aktualisierungen