Eine WordPress-Website besteht aus dem Basissystem («Core»), einem Theme und einer Anzahl von Plug-ins. Alle drei Komponenten werden von ihren Entwicklern laufend optimiert: Sicherheitslücken und andere Programmierfehler werden behoben, die Stabilität und die Performance wird verbessert, und es kommen neuen Funktionen hinzu. Bei einer typischen WordPress-Website mit ein, zwei Dutzend Plug-ins meldet das Backend fast täglich neue Updates. Und es ist empfehlenswert, diese Updates auch regelmässig einzuspielen. Dieser Artikel erklärt, warum Sie Ihre WordPress-Installation regelmässig auf den neusten Stand bringen sollten – und was Sie dabei beachten müssen.
Never change a running system?
Jeder Informatiker kennt den Satz: «Never change a running system!» Frei ins Deutsche übersetzt heisst das: «Wenn etwas funktioniert, dann lass bloss die Finger davon!» Wer nach dieser Devise handelt, wird wahrscheinlich auch den Zähler mit den Aktualisierungen im WordPress-Backend möglichst lange ignorieren: Die Website funktioniert ja, die Updates können so wichtig also nicht sein.
Einverstanden: Man sollte tatsächlich nur dann auf den Button «Aktualisieren» klicken, wenn man weiss, was man tut (und vorher ein Backup gemacht hat). Die Updates lange hinauszuschieben ist aber trotzdem nicht sinnvoll und unter Umständen sogar gefährlich.
Warum Updates wichtig sind
Sicherheitslücken schliessen
Das wichtigste Argument für regelmässige Updates sind Sicherheitslücken: Es vergeht kaum ein Tag, ohne dass Dienste wie WP Scan einen sicherheitsrelevanten Programmierfehler in einem Plug-in oder Theme melden.
Die gute Nachricht ist, dass dann in der Regel auch bereits ein Update bereitsteht, welches diese Sicherheitslücke schliesst. Die schlechte Nachricht ist, dass durch eine solche Meldung auch sämtliche Hacker von dieser Lücke erfahren und dann WordPress-Websites gezielt angreifen können. In solchen Fällen ist das Einspielen von Updates wirklich zeitkritisch.
Das ist auch der Grund, warum zumindest der WordPress Core die Security & Maintenance Releases automatisch einspielt: Die entsprechenden Minor Updates (z.B. von v5.3 auf v5.3.1) werden ohne Zutun des Administrators heruntergeladen und installiert. Das passiert nicht täglich, aber doch mehrmals jährlich, wie die Liste der WordPress Releases zeigt. Bei Plug-ins und Themes hingegen gibt es standardmässig keinen solchen Mechanismus, hier ist also der WordPress-Administrator gefordert.
Mehr zum Thema Sicherheit: Ist WordPress sicher? Wie Sie Ihre Website vor Hackern schützen
Fehler beheben
Das zweite Argument für Updates ist die Behebung von «Bugs», also von kleineren oder grösseren Fehlfunktionen. Solche gibt es bekanntlich in jeder Software, und WordPress bildet hier keine Ausnahme. Im Gegenteil: Längst nicht alle Plug-ins und Themes, welche für diese Plattform existieren, wurden nach professionellen Standards entwickelt und getestet. Gerade bei den kostenlosen Plug-ins und Themes, welche über das offizielle Repository auf www.wordpress.org vertreiben werden, ist die Code-Qualität recht unterschiedlich. Immerhin kann man im Repository sehr einfach Bugs melden, und viele Entwickler liefern dann in kurzer Zeit entsprechende Bugfixes aus.
Wartbarkeit
Es gibt noch einen dritten Grund, Updates regelmässig durchzuführen: Je länger man damit zuwartet, desto mühsamer und fehlerträchtiger wird es. Wenn man ein, zwei Jahre lang keine Updates installiert hat und dann irgendwann doch auf den «Aktualisieren»-Button klickt, dann hagelt es in der Regel Fehlermeldungen, und gelegentlich sind sogar Frontend und/oder Backend der Website nicht mehr erreichbar.
Klar: Ein solcher GAU kann auch dann eintreten, wenn man täglich Updates einspielt. Aber dann ist es wesentlich einfacher, den Grund zu finden und zu beheben. Zudem bekommt man so früher mit, falls ein bestimmtes Plug-in nicht mehr weiterentwickelt wird und deshalb ersetzt werden sollte.
Wie man eine WordPress-Installation aktualisiert
Erfreulicherweise ist die Installation von Updates bei WordPress extrem einfach. Die Website prüft selbständig, ob neue Versionen von Core, Plug-ins und Themes vorliegen und listet diese im Backend unter Dashboard > Aktualisierungen auf. Jeder WordPress-Benutzer mit Administrator-Rechten kann dort die gewünschten Updates auswählen und per Knopfdruck installieren. Bevor man dies tut, sollte man allerdings einige Punkte bedenken:
- Auch wenn solche Updates nach unserer Erfahrung in aller Regel problemlos durchlaufen und die Website visuell und funktional intakt bleibt: Ein Backup vor jedem Update ist Pflicht!
- Während die Updates installiert werden, ist die Website nicht verfügbar: WordPress aktiviert den Maintenance Mode, Website-Besucher sehen nur noch eine nüchterne Meldung, dass gerade Wartungsarbeiten im Gange sind. Bei gut besuchten Websites empfiehlt es sich deshalb, Updates in einer Randzeit durchzuführen.
- WordPress erlaubt es, alle Plug-ins in einem Rutsch zu aktualisieren. Das ist verlockend, aber gefährlich: Wenn die Website anschliessend ein ernsthaftes Problem hat, wissen Sie nicht, welches Plug-in dieses Problem verursacht hat. Aktualisieren Sie deshalb immer nur ein Plug-in nach dem anderen und kontrollieren Sie immer kurz, ob die Website noch einwandfrei aussieht und funktioniert.
- Updates sind im Normalfall einfach und schnell installiert. Falls man allerdings das Pech hat, dass ein Plug-in oder Theme ein ernsthaftes Problem verursacht, dann wird es plötzlich kompliziert und zeitaufwändig. Deshalb sollte man wirklich nur dann auf den «Aktualisieren»-Button klicken, wenn man auch in der Lage ist, die Website notfalls aus dem Backup wiederherzustellen.
WordPress Updates automatisieren
Das oben beschriebene manuelle Update der verschiedenen WordPress-Komponenten war lange Zeit der Normalfall. Es gab zwar Möglichkeiten, um Updates automatisch einzuspielen – allerdings musste man sich dafür mit config.php und Filters auskennen (vgl. «Configuring Automatic Background Updates» in der WordPress-Dokumentation) oder ein Plug-in wie z.B. Easy Updates Manager installieren.
Seit WordPress 5.5 ist diese Möglichkeit nun Standard: Für jedes Plug-in und für jedes Theme kann man als Administrator festlegen, ob Updates automatisch eingespielt werden sollen oder nicht. Und seit WordPress 5.6 gibt es diese Option auch für den WordPress Core.
Allerdings wollen automatische Updates gut überlegt sein. Denn auch wenn sie in aller Regel problemlos durchlaufen: Ganz sicher, dass die Website nach einem Update visuell oder funktional mehr oder weniger stark beeinträchtigt ist, kann man nie sein. Wer keine Zeit für manuelle Updates hat und deshalb auf automatische Updates vertraut, sollte sich also zumindest die Zeit nehmen, um nach jedem Update den Zustand der Website zu überprüfen. Da WordPress nach jedem Update ein E-Mail an den Administrator verschickt, weiss man immer, wann welches Update ausgeführt wurde.
Unsere Dienstleistungen rund um WordPress
Metoki ist auf WordPress Websites spezialisiert: Seit über zehn Jahren arbeiten wir intensiv mit dieser Plattform.
Wir erstellen komplette Web-Auftritte, bieten aber auch Support für bestehende WordPress-Websites. Unsere Spezialgebiete sind mehrsprachige Websites mit WordPress sowie die Integration von individuellen Datenbanken mit Toolset.