WordPress Updates

Security Updates

Es ist sehr wichtig, dass WordPress (Core, Themes und Plugins) durch das Installieren von verfügbaren Updates stets auf dem neusten Stand gehalten wird. WordPress ist weltweit Marktleader (ca. 43% aller Websites) und daher ein beliebtes Ziel für Hacker. Entdeckte Sicherheitslücken werden von der WordPress-Community rasch durch entsprechende Sicherheits-Updates geschlossen. Es gibt zwar seit WordPress 5.5 die Möglichkeit, vorhandene Updates automatisch einzuspielen. Dieser Beitrag erklärt, wieso es besser ist, die Updates manuell zu installieren.

Unterschiedliche Update-Typen in WordPress

In WordPress werden vier verschiedene Update-Typen unterschieden:

  1. Quellcode-Updates (Core Updates)
  2. Plugin Updates
  3. Theme Updates
  4. Sprachdatei-Updates

Quellcode-Updates (Core Updates) von WordPress

Core Updates sind in drei verschiedene Typen aufgeteilt:
1. Core Entwickler- (Developement-) Updates
2. Kleine Core Updates, wie Sicherheits- und Wartungs-Releases
3. Hauptversionen-Updates

Bei den Veröffentlichungen (Releases) der verschiedenen WordPress Versionen werden zwischen Minor- und Major-Releases unterschieden. Alle Minor-Versionen innerhalb einer Major-Version sind einem sogenannten Zweig (Branch) zugeordnet.

Minor-Releases
Darunter fallen alle veröffentlichten WordPress-Versionen mit einer Zahl nach dem zweiten Punkt in der Versionsnummer, zum Beispiel 5.0.3 oder 5.8.3 usw. standardmässig sind die automatischen Updates für kleine Core Updates (Wartungs-, Sicherheits- und Sprachdateien-Releases) aktiviert. Diese kleinen Updates oder Minor-Releases betreffen:
– WordPress-Wartung
– WordPress-Sicherheit
– WordPress-Sprachdateien

Major-Releases
Die WordPress Hauptversionen, welche in der Versionsnummer nur einen Punkt aufweisen, z.B. 5.0, 5.6, 5.8 usw., zeichnen sich jeweils durch neue Funktionalitäten und Erweiterungen aus.
WordPress vergibt zu jedem Major-Release einen Release-Namen von verschiedenen Musikern (siehe auch Wikipedia).
Unterschieden werden auch WordPress-Stämme (z.B. WordPress-Stamm 5 mit den Versionen 5.0 bis 5.9).
Seit WordPress 5.6 ist eine automatische Aktivierung von Major-Updates möglich, diese ist aber standardmässig nicht aktiviert.

Updates von Themes und Plugins

Auch das regelmässige Aktualisieren von Themes und Plugins ist aus sicherheitstechnischen Gründen sehr wichtig.

Seit der WordPress-Version 5.5 ist es möglich die automatische Aktualisierung von Themes und Plugins zu aktivieren. Weiter unten erkläre ich, wieso ich dies nicht empfehle.

Die sorgfältige Auswahl von Themes und Plugins ist sehr wichtig. Verwenden Sie nur vertrauenswürdige Themes und Plugins, welche regelmässig Updates zur Verfügung stellen. Mehr Infos zu den Auswahlkriterien für Plugins siehe Blog-Beitrag: Webdesign mit WordPress (CMS)

PHP Updates

WordPress-Installationen (Core, Themes und Plugins) basieren auf der Skriptsprache PHP. PHP wird ständig weiterentwickelt und ca. alle 2 Jahre sind neue PHP-Releases verfügbar, welche als Standardversionen von den Hosting-Anbietern zur Verfügung gestellt werden. Das Verwalten und Bereitstellen von PHP ist grundsätzlich Sache der Hoster. Zurzeit ist PHP 7.4 die Standardversion. Die nächste Version PHP 8.0 ist bei den meisten Hosting-Anbietern bereits verfügbar und durch das Hosting-Panel auswählbar.
Es ist zu beachten, dass neuere PHP-Versionen nicht mehr kompatibel mit älteren Versionen sein können. Entwickler von Themes und Plugins kennen normalerweise die Änderungen des PHP-Codes und passen deren Software an die neuen PHP-Versionen an. Bei Plugins und Themes, welche schon seit längerer Zeit nicht mehr aktualisiert wurden, besteht die Gefahr, dass diese durch neue PHP -Versionen nicht mehr funktionieren und dadurch den Betrieb der Webseite beeinträchtigen oder gar zum Absturz bringen.

Übersicht über die aktuellen PHP Versionen und deren Lifetime ->  https://www.php.net/supported-versions.php
Die meisten Hosting-Anbieter stellen die älteren PHP-Versionen länger zur Verfügung, als im oben erwähnten Link vermerkt. Hier ein Link auf die Verfügbarkeit der PHP-Versionen von Cyon.

Automatische Updates von WordPress, Themes und Plugins

Wie bereits oben erwähnt, ist es seit der WordPress-Version 5.5 möglich, Themes und Plugins automatisch zu aktualisieren. Seit der Version 5.6 ist es zudem möglich, dass man die WordPress Major-Updates automatisch installieren kann. Dies hat den Vorteil, dass man sich nicht um das Aktualisieren der WordPress-Site kümmern muss.

Es kommt aber immer wieder vor, dass sich durch eine neue Version von WordPress, der Themes und Plugins Code-Fehler einschleichen, welche im schlimmsten Fall bewirken können, dass die Website nicht mehr funktioniert oder, dass das Aussehen der Seite plötzlich geändert ist.

Ich empfehle deshalb, die automatischen Aktualisierungen zu deaktivieren und die Updates manuell zu installieren. Es ist auch sehr wichtig, dass regelmässig Backups von der bestehenden Website gemacht werden, damit man im Fehlerfall die Webseite ohne Datenverlust wieder in den ursprünglichen Zustand bringen kann.

Des Weiteren empfehle ich, dass man von jeder Website eine sog. Staging-Site (geklonte Website auf dem Hosting-Server oder lokal auf dem PC mit XAMPP) erstellt, auf der man die Updates installiert und die Funktionalität der Website zuerst testet, bevor man die Updates auf der Website installiert. Für jeden meiner Kunden erstelle ich jeweils eine Staging-Umgebung, damit ich die Updates zuerst testen kann -> siehe auch unten: WordPress Wartungsservice.

WordPress Wartungsservice

Wie oben erwähnt sind regelmässige Updates von WordPress, Themes und Plugins sehr wichtig für ein einwandfreies Funktionieren und für die Sicherheit einer WordPress-Webseite.

Aus diesem Grund biete ich einen WordPress Wartungsservice für CHF150.- pro Jahr an, welcher folgende regelmässigen Tätigkeiten umfasst:

  • Regelmässiges Installieren von WordPress-Updates
  • Regelmässiges Installieren von Updates des verwendeten WordPress-Themes
  • Regelmässiges Installieren von Updates der verwendeten Plugins
  • Die Updates werden vor dem definitiven Installieren in einer sog. Staging-Umgebung (geklonte Website, welche nicht online verfügbar ist) auf ihre Funktion getestet.

Dieser Wartungsservice kann jeweils für ein Jahr abgeschlossen werden und verlängert sich danach auf Wunsch jeweils um ein weiteres Jahr.

Mehr Infos unter WordPress Unterhalt und Support

Foto von Jean-Pierre Wicht
Beitrag von Jean-Pierre Wicht
Webdesigner / Webentwickler