WordPress Updates – so bleibt dein Blog auf dem neusten Stand

WordPress ist mittlerweile die am weitesten verbreitete Software für Websites. Schätzungsweise 25% aller Webseiten weltweit werden damit betrieben – Tendenz steigend. Leider macht auch genau das WordPress zu einem beliebten Angriffsziel. Mit relativ wenig Aufwand kann man, hat man erst einmal eine erfolgreiche Angriffsmöglichkeit gefunden, sehr viele Webseiten angreifen, um z.B. Daten zu stehlen oder die Seiten zu manipulieren. Zudem ist WordPress Open Source, d. h. jeder kann den Quellcode ansehen und gezielt nach Lücken suchen.

Das bedeutet jedoch nicht, dass WordPress besonders unsicher ist. Die vielen Entwickler sorgen ständig dafür, dass die entdeckten Sicherheitslücken sofort durch Updates geschlossen werden. Im Umkehrschluss bedeutet dies aber auch, dass Webseiten-Betreiber diese Sicherheitsupdates auch regelmäßig installieren müssen; denn sind die Schwachstellen erst einmal bekannt, verbreiten sie sich schnell im Internet und werden von Hackern gnadenlos ausgenutzt.

Das größte Sicherheitsproblem bei WordPress sind Plugins und Themes von Dritten. Denn die werden – außer in Ausnahmefällen – nicht automatisch aktualisiert und sind oft von sehr fragwürdiger Qualität. Abgesehen von Sicherheitsproblemen sind Plugins auch häufig dafür verantwortlich, wenn eine Webseite ungewöhnlich langsam ist oder Bugs aufweist. Wer eine Webseite mit WordPress erstellt und sich nicht regelmäßig um Updates kümmern kann oder will, sollte sich auf die Core-Funktionalität beschränken oder zumindest nur wenige und gut betreute Plugins einsetzen. Klar, vieles geht nicht ohne Plugins, aber für eine einfache Webseite zur Präsentation einer Firma oder eines Vereins reicht ein Standard-Wordpress allemal.

Welche Arten von Updates gibt es?

WordPress Core

Updates für WordPress selbst sind wie gesagt extrem wichtig. Sie können neben neuen und weiterentwickelten Features auch Bugfixes (Fehlerbehebungen) sowie Behebungen von neu entdeckten Sicherheitslücken beinhalten. Außerdem können sie gegebenenfalls Inkompatibilitäten zu beliebten Plugins beheben.

Den WordPress-Kern aktuell zu halten, ist einer der wichtigsten Schritte zur sicheren Webseiten und sollte unbedingt ernst genommen werden.

Bereit stehende Aktualisierungen werden gleich im WordPress Dashboard angezeigt. „Große“ Updates zu einer neuen Hauptversion müssen immer manuell angestoßen werden. Kleinere Updates können automatisch durchgeführt werden, wenn dies entsprechend eingestellt ist.

Plugins

Plugin-Updates in WordPress sind ebenfalls sehr wichtig. Plugins haben nämlich ebenfalls kompletten Zugriff auf die Datenbank und teilweise auf das Dateisystem – können also potentiell viel Schaden anrichten und kritische Sicherheitslücken darstellen.

Plugin-Updates werden im WordPress-Adminbereich unter Dashboard – Aktualisierungen sowie unter Plugins angezeigt. Dort kann man mit wenigen Klicks alle Aktualisierungen durchführen.

Themes

Die Aktualisierung von Themes ist weniger wichtig. Themes steuern hauptsächlich die Darstellung und enthalten selten kritische Sicherheitslücken. Zudem besteht das Risiko, dass ein Theme-Update die Darstellung auf unerwünschte Weise verändert.

Automatische Updates nutzen

Falls eine kritische Lücke in WordPress entdeckt wird, sorgt ein automatisches Update dafür, dass Nutzer längst geschützt sind, wenn die ersten Angriffswellen starten.

Will man alle WordPress Updates automatisch durchführen lassen, genügt es, in der wp-config.php diesen Eintrag zu machen:

define( ‚WP_AUTO_UPDATE_CORE‘, true );

Manchmal ist es angebracht – zum Beispiel wenn man ältere Plugins nutzt – nur kleinere Updates automatisch zu machen: beispielsweise von WordPress 4.7.1 auf 4.7.3. Auch in diesem Fall kann man einen Eintrag in wp-config.php machen:

define( ‚WP_AUTO_UPDATE_CORE‘, minor );

Ein wichtiger Aspekt im Hinblick auf Sicherheit liegt in der Zeit, die zwischen der Entdeckung einer Sicherheitslücke und dem Schließen dieser Lücke steckt. Das „Problem“ bei einem Open-Source-Projekt wie WordPress: Nach der Veröffentlichung eines Patches, kann jeder potentielle Angreifer genau nachvollziehen, welche Sicherheitslücken geschlossen wurden. Hierzu muss er sich einfach nur die Änderungen zwischen den beiden Versionen ansehen. Ist das Auto-Update also deaktiviert und die neue Version wird manuell nicht zeitnah installiert, ist eine Webseite potentiell angreifbar. Wer trotzdem auf das Auto-Update verzichten möchte, sollte auf jeden Fall eine Quelle abonnieren, die einen sofort über neue Updates informiert. Auf der offiziellen Seite der deutschsprachigen WordPress Communitiy wird jedes Update immer sehr zeitnah angekündigt.

Einigen gefällt dieser Mechanismus des automatischen Updates zwar nicht. Doch angesichts der Art und Weise, wie private Webapplikationen üblicherweise betrieben werden, ist das automatische Update eine gute und pragmatische Lösung. Es funktioniert erstaunlich gut. Probleme mit dem Updateprozess sind zwar nicht ganz ausgeschlossen, aber selten.

Auch Plugins kann man automatisch updaten. Sehr bewährt hat sich hierfür das Plugin „Auto Updates Plugins„.

Was gegen ein automatisches Update sprechen könnte

Wie so vieles im Leben haben auch die Auto-Updates von WordPress sowohl Vor- als auch Nachteile. Wer sich für die Aktivierung der automatischen Sicherheitsupdates entscheidet, sollte ein paar Punkte beachten. Da sowohl Themes als auch Plugins bei einem automatischen Major-Update nicht auf die Kompatibilität mit der WordPress-Core überprüft werden, kann es unter Umständen zu diversen Problemen und Anzeigefehlern oder gar zu einem kompletten Ausfall der Webseite kommen. Gleiches gilt für etwaige Modifikationen an der Core, die mit einem Update überschrieben werden. Wer dann nicht regelmäßig einen Blick auf seine Webseite wirft, merkt im schlimmsten Fall nicht einmal, dass die eigene Webseite oder zumindest Teile davon nicht mehr ordnungsgemäß funktionieren. Besser wäre daher, nur die Sicherheitsupdates, bekannt als Minor-Updates, zu aktivieren. Alle anderen Arten von Auto-Updates sollten wenn dann nur auf Testsystemen Verwendung finden.

Wer sich für manuelle Updates entscheidet, sollte allerdings einige Punkte beachten:

  1. Davor, während und danach Backups erstellen

Da die WordPress Datenbank durch jedes Update verändert werden kann, sollte sie idealerweise zwischen jedem Update-Schritt gesichert werden. Die eigenen Dateien im Upload-Verzeichnis sollte man ohnehin regelmäßig sichern.

  1. Niemals alles auf einmal aktualisieren

Lieber Schritt für Schritt vorgehen. Man kann sich nie sicher sein, dass auch nach dem Update alles noch einwandfrei funktioniert. Klappt einmal etwas nicht mehr, dauert das Aufspüren des Problems viel länger, wenn alles auf einmal aktualisiert wurde. Einzelne Updates geben die Möglichkeit, zwischendurch die Webseite auf Probleme zu testen. Taucht nun ein Fehler auf, kann man so viel eher abschätzen, wo das Problem liegt und gezielt nach Lösungen suchen.

  1. Updates regelmäßig und zeitnah durchführen

Je länger Updates aufgeschoben werden, desto größer wird das Risiko von Inkompatibilitäten und Schwierigkeiten bei den Updates. Das bezieht sich nicht nur auf das Zusammenspiel der verschiedenen Komponenten untereinander, sondern auch auf mögliche Inkompatibilitäten bei großen Versionssprüngen von Plug-ins oder Themes; es kann nämlich durchaus vorkommen, dass ein Plug-in der Version 1 (als Beispiel) einfach nicht mehr auf die höhere Version 3 aktualisiert werden kann. Mit Version 2 wurden vielleicht neue Datenbanktabellen eingeführt, die bei der Aktualisierung von 1 auf 2 noch berücksichtigt und angepasst wurden, beim Update von 1 zu 3 wurde diese Veränderung jedoch nicht mehr beachtet.

Sollten trotzdem Unsicherheiten bestehen oder handelt es sich um eine Webseite mit sehr viel Traffic oder um einen umsatzstarken Shop, können die Updates erst einmal auf einer Testumgebung eingerichtet und dort überprüft werden.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert