Warum Sie Ihre WordPress-Website regelmässig aktualisieren sollten

Frau arbeitet am Computer

Eine WordPress-Website besteht aus dem Basissystem («Core»), einem Theme und einer Anzahl von Plug-ins. Alle drei Komponenten werden von ihren Entwicklern laufend optimiert: Sicherheitslücken und andere Programmierfehler werden behoben, die Stabilität und die Performance wird verbessert, und es kommen neuen Funktionen hinzu. Bei einer typischen WordPress-Website mit ein, zwei Dutzend Plug-ins meldet das Backend fast täglich neue Updates. Und es ist empfehlenswert, diese Updates auch regelmässig einzuspielen. Dieser Artikel erklärt, warum Sie Ihre WordPress-Installation regelmässig auf den neusten Stand bringen sollten – und was Sie dabei beachten müssen.

Jeder Informatiker kennt den Satz: «Never change a running system!» Frei ins Deutsche übersetzt heisst das: «Wenn etwas funktioniert, dann lass bloss die Finger davon!» Wer nach dieser Devise handelt, wird wahrscheinlich auch den Zähler mit den Aktualisierungen im WordPress-Backend möglichst lange ignorieren: Die Website funktioniert ja, die Updates können so wichtig also nicht sein.

Einverstanden: Man sollte tatsächlich nur dann auf den Button «Aktualisieren» klicken, wenn man weiss, was man tut (und vorher ein Backup gemacht hat). Die Updates lange hinauszuschieben ist aber trotzdem nicht sinnvoll und unter Umständen sogar gefährlich.

Warum Updates wichtig sind

Das wichtigste Argument für regelmässige Updates sind Sicherheitslücken: Es vergeht kaum ein Tag, ohne dass Dienste wie WP Scan einen sicherheitsrelevanten Programmierfehler in einem Plug-in oder Theme melden.

Die gute Nachricht ist, dass dann in der Regel auch bereits ein Update bereitsteht, welches diese Sicherheitslücke schliesst. Die schlechte Nachricht ist, dass durch eine solche Meldung auch sämtliche Hacker von dieser Lücke erfahren und dann WordPress-Websites gezielt angreifen können. In solchen Fällen ist das Einspielen von Updates wirklich zeitkritisch.

Das ist auch der Grund, warum zumindest der WordPress Core die Security & Maintenance Releases automatisch einspielt: Die entsprechenden Minor Updates (z.B. von v5.3 auf v5.3.1) werden ohne Zutun des Administrators heruntergeladen und installiert. Das passiert nicht täglich, aber doch mehrmals jährlich, wie die Liste der WordPress Releases zeigt. Bei Plug-ins und Themes hingegen gibt es standardmässig keinen solchen Mechanismus, hier ist also der WordPress-Administrator gefordert.

Das zweite Argument für Updates ist die Behebung von «Bugs», also von kleineren oder grösseren Fehlfunktionen. Solche gibt es bekanntlich in jeder Software, und WordPress bildet hier keine Ausnahme. Im Gegenteil: Längst nicht alle Plug-ins und Themes, welche für diese Plattform existieren, wurden nach professionellen Standards entwickelt und getestet. Gerade bei den kostenlosen Plug-ins und Themes, welche über das offizielle Repository auf www.wordpress.org vertreiben werden, ist die Code-Qualität recht unterschiedlich. Immerhin kann man im Repository sehr einfach Bugs melden, und viele Entwickler liefern dann in kurzer Zeit entsprechende Bugfixes aus.

Es gibt noch einen dritten Grund, Updates regelmässig durchzuführen: Je länger man damit zuwartet, desto mühsamer und fehlerträchtiger wird es. Wenn man ein, zwei Jahre lang keine Updates installiert hat und dann irgendwann doch auf den «Aktualisieren»-Button klickt, dann hagelt es in der Regel Fehlermeldungen, und gelegentlich sind sogar Frontend und/oder Backend der Website nicht mehr erreichbar. Klar: Ein solcher GAU kann auch dann eintreten, wenn man täglich Updates einspielt. Aber dann ist es wesentlich einfacher, den Grund zu finden und zu beheben.

WordPress Backend: Aktualisierungen

Wie man eine WordPress-Installation aktualisiert

Erfreulicherweise ist die Installation von Updates bei WordPress extrem einfach. Die Website prüft selbständig, ob neue Versionen von Core, Plug-ins und Themes vorliegen und listet diese im Backend unter Dashboard > Aktualisierungen auf. Jeder WordPress-Benutzer mit Administrator-Rechten kann dort die gewünschten Updates auswählen und per Knopfdruck installieren. Bevor man dies tut, sollte man allerdings einige Punkte bedenken:

  1. Auch wenn solche Updates nach unserer Erfahrung in aller Regel problemlos durchlaufen und die Website visuell und funktional intakt bleibt: Ein Backup vor jedem Update ist Pflicht!
  2. Während die Updates installiert werden, ist die Website nicht verfügbar: WordPress aktiviert den Maintenance Mode, Website-Besucher sehen nur noch eine nüchterne Meldung, dass gerade Wartungsarbeiten im Gange sind. Bei gut besuchten Websites empfiehlt es sich deshalb, Updates in einer Randzeit durchzuführen.
  3. WordPress erlaubt es, alle Plug-ins in einem Rutsch zu aktualisieren. Das ist verlockend, aber gefährlich: Wenn die Website anschliessend ein ernsthaftes Problem hat, wissen Sie nicht, welches Plug-in dieses Problem verursacht hat. Aktualisieren Sie deshalb immer nur ein Plug-in nach dem anderen und kontrollieren Sie immer kurz, ob die Website noch einwandfrei aussieht und funktioniert.
  4. Updates sind im Normalfall einfach und schnell installiert. Falls man allerdings das Pech hat, dass ein Plug-in oder Theme ein ernsthaftes Problem verursacht, dann wird es plötzlich kompliziert und zeitaufwändig. Deshalb sollte man wirklich nur dann auf den «Aktualisieren»-Button klicken, wenn man auch in der Lage ist, die Website notfalls aus dem Backup wiederherzustellen.

WordPress Updates automatisieren

Das in diesem Artikel beschriebene manuelle Update der verschiedenen WordPress-Komponenten ist derzeit (WordPress 5.3) der Normalfall. Es gibt aber schon heute Möglichkeiten, um Updates automatisiert einzuspielen – allerdings muss man sich dafür mit config.php und Filters auskennen (vgl. «Configuring Automatic Background Updates» in der WordPress-Dokumentation) oder ein Plug-in wie z.B. Easy Updates Manager installieren. Voraussichtlich ab der Version 5.5 soll dann der WordPress Core standardmässig eine Einstellung bieten, um Plug-ins und Themes automatisiert zu aktualisieren, wie WordPress Tavern berichtet.

Egal wie man es technisch löst: Automatisierte Updates wollen gut überlegt sein. Denn auch wenn sie in aller Regel problemlos durchlaufen: Ganz sicher, dass die Website nach einem Update visuell oder funktional mehr oder weniger stark beeinträchtigt ist, kann man nie sein. Wer keine Zeit für manuelle Updates hat und deshalb auf automatisierte Updates vertraut, sollte sich also zumindest die Zeit nehmen, um nach jedem Update den Zustand der Website zu überprüfen.