von

Warum eigentlich WordPress-Updates anbieten wenn sich das CMS selbst updated?

WordPress besitzt doch eine automatische Updatefunktion…

Auf Arbeit wurde ich Heute mit einer interesssante Frage konfrontiert, bei der ich auch erst kurz überlegen muste, ehe ich ein paar Antworten dafür parat hatte: Warum sollte ich meine WordPresswebsite von einer Agentur updaten lassen, wenn das System sich auch automatisch selbst updatet?

… und sollte trotzdem von Zeit zu Zeit auch manuell aktualisiert werden

Die automatischen Updates sind eigentlich nur Security-Updates zum Stopfen von Sicherheitslücken. Da geht dann zum Beispiel die 4.5.2 auf die 4.5.3  oder die 3.9.13 auf die 3.9.14. Was da nicht passiert ist das von der 3.9.14 auf die (aktuellste) 4.7.2 gesprungen wird und so hängen Websites auf älteren Majorreleases fest und ich würde nicht davon ausgehen, dass WordPress die bis in alle Ewigkeit supported.

Gründe für manuelle WordPress-Updates

  • Die Autoupdates betreffen nur den Kern von WordPress, allerdings keine verwendeten Plugins.
  • Für Google sieht eine Website die permanent aktualisiert wird einfach besser aus.
  • Major- und Minorreleaseupdates (also zum Beispiel bei einem Sprung von der 4.6 auf 4.7) beinhalten manchmal neue Funktionen, die die Seite leichter bedienbar (gut für den Kunden), schneller oder technisch besser auswertbar machen (beides gut für Google)
  • Updates sollten nicht nur auf WordPressebene stattfinden, sondern auch auf Serverebene: Alte Datenbank- und PHP-Version können mitunter vom Hoster eingestellt werden, was zum Ausfall der Website führt. Der Aufwand das zu aktualisieren fällt erfahrungsgemäß aufwendiger aus, da meißt über Jahre nichts gemacht wurde. Bei WordPress habe ich das bisher zwar noch nicht erlebt, da sind Typo3 und Contao zickiger, aber wir müssen das ja nicht unbedingt auf die schmerzhafte Weise herausfinden.
  • Updates lassen sich bequem mit Backups kombinieren, die im Notfall sehr wertvoll sind.
  • Manche Servereinstellungen unterbinden leider automatische Updates. Da muss manuell nachgeholfen werden.

Zum letzten Punkt hätte ich noch ein kurioses Beispiel: Einer unserer Kunden hatte aus Sicherheitsgründen sehr restriktive Servereinstellungen für seine Website, die es der darauf befindlichen WordPress-Website nicht gestattet haben sich selbst zu aktualisieren. Man möchte meinen in so einer behüteten Umgebung wäre das nicht so wild. Leider war das nicht der Fall: Die Seite blieb technisch im Jahr 2012 stehen und wurde 2015 verseucht. Noch im gleichen Jahr wurde sie dafür auch von Google abgestraft, kurz darauf aber wieder komplett neu aufgesetzt. Eine teure Geschichte, die man hätte vermeiden können.

Das war einer von zwei mir bekannten Fällen, in denen ein WordPress gehackt wurde. Bei dem anderen Fall wurde die Website sehr wahrscheinlich über ein veraltetes Plugin gehackt. An sich kommt es vergleichsweise seltener vor, aber auch Plugins bieten Schwachstellen-Potential. Auch da gilt es sorgfältig zu sein und nur die Plugins zu verwenden, die man wirklich braucht und im Idealfall schon kennt. Wenn die Pluginübersicht größer als der Bildschirm wird läuft sowieso einiges verkehrt. 😉

Sicherheit und Updates bei anderen Content Management Systemen

Nebenbei erwähnt halten sich aus meiner Sicht die Sicherheitsprobleme von WordPress und anderen Content Management Systemen, wie Contao und Typo3, die Waage. Wobei alle Geschichten gehackter Websites die ich kenne auch nur einen Nenner haben: Über Jahre hinweg vertagte Updates… die dann ja auch nicht günstiger werden. Ob ich monatlich einen kleinen Sprung mache, oder jährlich einen richtig großen macht finanziell keinen Unterschied. Sicherheitstechnisch sollte klar sein.

Wer noch mehr über das Thema Sicherheits und WordPress erfahren möchte, sollte sich den Artikel Schwachstellen in Plugins und Themes – WordPress Sicherheit von Kuketz IT-Security Blog durchlesen. Sehr informativ und trotz einer Wall of Text ließt es sich sehr flott weg.

Und wärend ich das hier geschrieben habe, sehe ich auch im Backend von meinem WordPress eine Orangene zwei stehen… wird auch für mich mal wieder Zeit ein kleines Update durchzuführen. 😉

Ich bin ein diplomierter Wirtschaftsinformatiker und meine Tätigkeiten im Onlinemarketing begannen 2008 mit dem Management von Webprojekten bei der Schach&Matt GmbH. Nachdem ich Feuer für alle Facetten der Branche gefangen hatte machte ich mich 2009 mit r-evolve selbstständig und arbeite in Dresden.