WordPress-Logo

Seit der Version 5.5 kann man WordPress so konfigurieren, dass Plug-ins und Themes automatisch aktualisiert werden, sobald ein Update vorliegt. Auf diese Weise ist eine WordPress-Website immer up-to-date, was grundsätzlich eine gute Idee ist (vgl. Warum Sie Ihre WordPress-Website regelmässig aktualisieren sollten). Allerdings haben diese automatischen Updates auch ihre Tücken, wie wir in diesem Artikel zeigen. Soll man sie nun also aktivieren oder nicht?

Automatische Updates gibt es bei WordPress schon länger: Sogenannten Minor Updates, welche lediglich Fehler beheben und Sicherheitslücken schliessen, werden seit WordPress 3.7 automatisch eingespielt, sofern man dies nicht aktiv unterbindet. Allerdings wird dabei nur das Basissystem («Core») aktualisiert. Die entscheidende Neuerung von WordPress 5.5 besteht nun darin, dass ein Administrator wahlweise auch Plug-ins und Themes automatisch aktualisieren lassen kann. Diese Einstellung gilt nicht global, sondern kann für jedes Plug-in bzw. Theme individuell vorgenommen werden. Bisher konnte man dies nur mit Plug-ins wie Easy Updates Manager oder Companion Auto Update erreichen.

Wie man automatische Updates aktiviert

Für Plug-ins kann diese Einstellung unter Plug-ins > Installierte Plug-ins über den Link «Automatische Aktualisierungen aktivieren» vornehmen. Wie man im obigen Beispiel sieht, steht diese Option allerdings nicht bei allen Plug-ins zur Verfügung.

Bei den Themes ist die entsprechende Einstellung über Theme-Details zugänglich. Bei Child Themes sucht man sie allerdings vergebens – in diesem Fall muss das entsprechende Parent Theme für automatische Aktualisierungen konfiguriert werden.

Wie automatische Updates funktionieren

Schon lange vor der Version 5.5 hat WordPress anstehende Updates für Plug-ins und Themes angezeigt und auf Knopfdruck installiert. Neu entfällt nun aber dieser Knopfdruck, sofern die automatische Aktualisierung aktiviert wurde: Sobald WordPress ein Update findet, wird es umgehend installiert. Anschliessend wird eine E-Mail an den Administrator verschickt, welche die aktualisierten Plug-ins bzw. Themes inklusive Versionsnummer auflistet.

Als WordPress-Administrator erhält man so unter Umständen recht viele E-Mails. Falls man dies als störend empfindet, kann man die Benachrichtungen auch über zwei Filter in der functions.php deaktivieren:

add_filter( 'auto_plugin_update_send_email', '__return_false' );
add_filter( 'auto_theme_update_send_email', '__return_false' );

Empfehlen würden wir dies allerdings nicht: Denn wie wir gleich zeigen werden, gibt es gute Gründe, seiner WordPress-Website nach jedem automatischen Update zu überprüfen – und das kann man nur, wenn man auch erfährt, dass ein Update stattgefunden hat.

Wann der Administrator eingreifen muss

Die meisten WordPress-Updates müssen lediglich gestartet werden und laufen danach komplett autonom ab. Dies gilt unabhängig davon, ob das Update manuell oder automatisiert gestartet wurde. Ausnahmsweise kann es aber vorkommen, dass der Administrator trotzdem eingreifen muss. Dabei muss man zwei Fälle unterscheiden:

  1. Abbruch nach Fehler
    Konflikte zwischen Plug-ins, fehlende Dateien oder Datenbank-Einträge, abgelaufende Lizenzschlüssel bei kostenpflichtigen Plug-ins/Themes, fehlende Schreibrechte in einem Verzeichnis, Programmierfehler: Es gibt zahlreiche Gründe, warum ein Update nicht abgeschlossen werden kann. In einem solchen Fall wird man immerhin per E-Mail benachrichtigt, dass das Update gescheitert ist, die genauen Gründe erfährt man aber auf diesem Weg nicht.
  2. Nachgelagerte Massnahmen
    Gelegentlich verlangt ein Plug-in nach dem eigentlichen Update noch zusätzliche Schritte. Vielleicht müssen neu hinzugekommene Einstellungen konfiguriert werden, vielleicht müssen Daten aktualisiert werden. Hier muss also der Administrator aktiv eingreifen, und normalerweise sieht er im WordPress-Backend entsprechende Hinweise. Werden die Updates allerdings automatisch eingespielt, dann meldet WordPress per E-Mail nur ein erfolgreiches Update und verschweigt, dass Aktionen des Administrators erforderlich sind.

In der Konsequenz bedeutet dies: Eigentlich muss man sich als Administrator einer WordPress-Website nach jedem automatischen Update ins Backend einloggen – also auch dann, wenn es gemäss E-Mail-Benachrichtigung erfolgreich war.

Update erfolgreich – Website zerschossen

Gelegentlich kommt es vor, dass ein Plug-in bzw. Theme zwar problemlos aktualisiert werden kann, dass aber die Website durch das Update Schaden nimmt. Die Palette reicht von kleinen Schönheitsfehlern über fehlende Inhaltsblöcke oder Programmfehler bis hin zu Komplettabstürzen.

Solche Probleme sind unabhängig davon, ob man Updates automatisch oder manuell einspielt. Sie sind nach unserer Erfahrung auch recht selten, sofern man nur seriöse Plug-ins und Themes nutzt und seine Website sauber aufbaut. Trotzdem kommen solche Probleme vor, und sie können zur Folge haben, dass die Website nicht mehr richtig funktioniert oder gar nicht mehr erreichbar ist.

Zumindest als Administrator einer geschäftskritischen Website sollte man es sich zur Gewohnheit machen, dieser Website nach jedem Update umgehend einen Besuch abzustatten und die wichtigsten Funktionen durchzutesten. Bis zu einem gewissen Grad kann man zwar auch solche Tests automatisieren. Ein Uptime-Monitoring – das Alarm schlägt, falls die Website nicht mehr erreichbar ist – sollte man sowieso haben. Für gehobene Ansprüche gibt es auch Services, welche automatisiert Formulare testen oder visuelle Veränderungen auf der Website feststellen können (etwa WP Engine Smart Plugin Manager). Der zeitliche und finanzielle Aufwand einer solchen Überwachung ist allerdings nicht zu unterschätzen, und völlig unfehlbar ist sie trotzdem nicht. An einer manuellen Kontrolle führt deshalb kein Weg vorbei.

Automatische Updates erfordern automatische Backups

Wer auf Nummer sicher gehen will, erstellt vor jedem Update ein Backup. Wenn man Updates automatisiert einspielen lässt, dann sollte man auch die Backups automatisieren. Zwar kann man WordPress nicht so konfigurieren, dass unmittelbar vor jedem Plug-in- oder Theme-Update ein Backup durchgeführt wird. Aber man kann zumindest in regelmässigen Zeitabständen ein vollautomatisches Backup erstellen lassen. Wer täglich Datenbank und Dateien sichern lässt, kann seine Website nach einem missglückten Update einfach auf den Stand des Vortages zurücksetzen.

Fazit: Eine gute Sache – aber nicht für alle

Verstehen wir uns nicht falsch: An sich ist die automatische Aktualisierung von Plug-ins und Themes eine tolle Sache. In den meisten Fällen funktioniert sie problemlos und stellt sicher, dass eine WordPress-Website stabil und sicher bleibt. Die meisten WordPress-Administratoren sind also gut beraten, wenn sie die automatische Aktualisierung aktivieren. Sie sollten ihre Websites aber dennoch regelmässig überprüfen.

Bei geschäftskritischen Websites hingegen würden wir weiterhin zu manuellen Updates raten. Wenn man sowieso nach jedem Update Frontend und Backend überprüfen muss, dann kann man auch gleich selbst den optimalen Zeitpunkt für die Updates bestimmen. Zudem kann man so die Updates einzeln einspielen, was eine allfällige Fehlersuche vereinfacht. Und wer es ganz professionell angehen will, kann jedes Update zuerst auf einem Staging Server testen, bevor er es auf dem Produktivsystem installiert.