Beiträge

automatische Aktualisierungen von Themes und Plugins in WordPress 5.5: Informationen und Tipps

Automatische Aktualisierungen gibt es bereits seit Jahren, seit WordPress 3.7:

  • Minor-Updates von WordPress werden automatisch durchgeführt, es sei denn, man deaktiviert diese Funktion. Das bedeutet: von WordPress 5.4.1 ausgehend wird das Sicherheitsupdate auf 5.4.2 automatisch installiert, nicht aber die nächste große Version 5.5. Aktualisiert man nicht manuell auf Version 5.5, folgen weitere Minor-Updates auf 5.4.3 usw.
  • In Einzelfällen können auch für Themes oder Plugins bei schweren Sicherheitslücken Sicherheitsupdates automatisch installiert werden.
  • Zudem wurde für Entwickler die Möglichkeit geschaffen, in Einstellungen automatische Updates zu ermöglichen.

Was ist seit WordPress 5.5 anders?

Man kann auch normale Updates für (alle) Themes und Plugins automatisch durchführen lassen. Dazu wurde eine einheitliche Oberfläche geschaffen.

Wie werden die automatischen Aktualisierungen aktiviert?

In der Plugin-Liste gibt es eine neue Spalte „Automatische Aktualisierungen“, über die man die Auto-Updates aktivieren und auch wieder deaktivieren kann. Auch in „Mehrfachaktionen“ ist die neue Funktion verfügbar. Bei Themes gibt es in den Theme-Details (Design / Themes / Theme-Details) Links, über die man aktivieren und deaktivieren kann.

Wie entscheide ich, welche Aktualisierungen automatisch durchgeführt werden sollen?

Die Entscheidungen basieren auf der Frage: „Wie hoch ist die Wahrscheinlichkeit, dass ein Update Probleme bereitet?“ Für die Beantwortung sind vor allem Erfahrungswerte notwendig.

Bei einem schlanken, einfachen Theme oder Plugin ist die Wahrscheinlichkeit gering, dass Probleme auftreten. Anders kann es bei großen, komplexen Themes oder Plugins sein, die man lieber geplant unter Aufsicht aktualisiert und anschließend sofort testet – gegebenenfalls sogar erst in einer separaten Testumgebung.

Ein ganz wichtiger Punkt ist die Frage, ob Abhängigkeiten vorhanden sind: Ein isoliertes Plugin ist eher unproblematisch. Sind zu einem Plugin aber weitere abhängige Plugins (Erweiterungen) installiert, ist große Vorsicht in Sachen Versionsabhängigkeiten geboten. Wenn man zum Beispiel Auto-Updates für Erweiterungen aktiviert, für das Hauptplugin aber nicht, kann es zu Fehlfunktionen kommen.

Auch wenn Eigenentwicklungen vorhanden sind, können bestimmte Auto-Updates kritisch sein.

Allgemein kann man natürlich sagen: In einem kleinen persönlichen Blog haben Probleme natürlich weniger Konsequenzen als in einem großen Onlineshop. Da sollte man – von den Sicherheitsupdates für WordPress abgesehen – lieber ganz auf Auto-Updates verzichten.

Was passiert, wenn eine Aktualisierung fehlschlägt?

Seit WordPress 5.2 werden Administratoren per E-Mail benachrichtigt, wenn es ein schwerwiegendes Problem auf der Website gibt (Fatal PHP Error). Weniger schwere Probleme könnten aber unentdeckt bleiben.

Nicht oft genug erwähnen kann man, dass eine Website regelmäßig gesichert werden sollte. Es gibt viele Plugins und Dienste, die das automatisch übernehmen.

Fazit

Eine gute und wichtige Neuerung, die mit Vorsicht zu genießen ist. Ob und wofür man Auto-Updates aktiviert oder nicht, sollte man als Laie nicht selbst entscheiden.

Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes)

Die Sicherheit von WordPress ist momentan in aller Munde. Nicht, weil WordPress eine generell unsichere Software ist, das kann ich nur immer wieder betonen. Sicherheitslücken gibt es in jeder Software, nicht nur in Content-Management-Systemen wie WordPress, sondern bekannterweise auch in Betriebssystemen von Rechnern, die an das Internet angeschlossen sind. WordPress reagiert auf gefundene Sicherheitslücken sehr fix und veröffentlicht umgehend Updates, die die Sicherheitslücken schließen.

Bei Hackern beliebt

Warum ist WordPress für Hacker besonders interessant? Es ist der Marktanteil von WordPress. Unter den CMS liegt er bei 60% – weit vor den Konkurrenten, die alle im einstelligen Prozentbereich liegen. Insgesamt sollen 20% aller Websites mit WordPress laufen.

Wer schon einmal mit anderen CMS arbeiten musste, kann bestätigen: WordPress ist eine ausgezeichnete Software. Der hohe Marktanteil hat gute Gründe, und auch Vorteile – man bedenke u.a. die riesige Auswahl an Plugins und Themes. Aber leider auch einen Nachteil… die Relevanz für Hacker.

Ganz klar muss man aber auch erwähnen: Hauptgründe für gehackte WordPress-Installationen sind erfahrungsgemäß unsichere Passwörter und verseuchte Arbeitsrechner.

Was wollen die (von mir)?

Hacks dienen in der Regel der Verbreitung von Schadsoftware über Websites auf Computer, in seltenen Fällen der Verbreitung von Propaganda.

Natürlich kann ein Unternehmen ganz gezielt von Hackern angegriffen werden – in der Regel läuft das aber automatisiert. Die Frage „Warum ich?“ ist damit beantwortet.

Automatische Sicherheits-Updates für WordPress…

Seit WordPress 3.7 werden automatische „Mini-Updates“ bzw. Security Releases automatisiert durchführt. Dabei geht es ausschließlich um Updates mit kleinen Versionsnummern, also z.B. von WordPress 4.1 auf Version 4.1.1. Die großen Updates, also z.B. von Version 4.1.1 auf 4.2, müssen aus guten Gründen manuell durchgeführt werden.

Das bedeutet aber nicht, dass man mit einer älteren Version, z.B. WordPress 3.9, keine Sicherheits-Updates erhält. In dringenden Fällen kann auch hier ein automatisches Mini-Update nachgeliefert werden. Allerdings nicht unbegrenzt.

Mit diesen kleinen automatischen Updates gibt es nur in den seltensten Fällen Probleme. Dennoch sollte man die Funktionalität der Website kurz überprüfen, nachdem man von seiner Installation per E-Mail eine Update-Benachrichtigung erhalten hat.

In machen Fällen sind keinerlei automatische Updates von WordPress erwünscht. WordPress bietet hier die Möglichkeit, über die Konfigurationsdatei automatische Updates zu deaktivieren.

…und für Plugins und Themes

Ein ganz aktuelles Thema.

Besonders Plugins und Themes können sicherheitstechnisch problematisch sein. Obwohl der WordPress-Codex bis vor kurzem gesagt hat, dass automatische Sicherheits-Updates von Plugins und Themes standardmäßig deaktiviert sind, gab es welche. Vor kurzem ein Sicherheits-Update von WordPress SEO by Yoast und vor einiger Zeit von Jetpack.

Das kann durchaus problematisch sein: Systemdateien von WordPress darf und sollte man selbst nicht modifizieren – nötig sein kann das aber bei Plugins (dann können die Anpassungen per Update überschrieben werden), und bei Themes (das gilt auch hier, besser ist ein Child-Theme, bei dem es nur in seltenen Fällen zu Funktionsstörungen kommen kann).

Der Codex-Text wurde inzwischen geändert. Das Sicherheitsteam behält sich das Recht vor, sicherheitsrelevante Updates für Plugins und Themes in Ausnahmefällen automatisiert durchzuführen. Die automatischen Updates sind natürlich nur bei Plugins und Themes möglich, die aus dem WordPress.org-Verzeichnis stammen.

WordPress bietet auch hier die Möglichkeit, automatische Updates (per Hook) zu deaktivieren.

Unsere wichtigsten Sicherheitstipps

Es gibt zahlreiche Möglichkeiten, eine WordPress-Installation (noch stärker) zu sichern. Hier die fünf einfachsten Tipps von uns:

  1. WordPress, Plugins und Themes, wenn nötig, möglichst aktuell halten.
  2. Augen auf bei der Wahl von Plugins und Themes – es gibt nicht wenige, die sicherheitstechnisch bedenklich sein können. Nicht mehr weiterentwickelte Plugins und Themes sollte man ganz meiden.
  3. Das kostenlose Plugin Wordfence nutzen. Das Plugin scannt WordPress-Dateien auf verdächtige Veränderungen, bietet eine Firewall, erweiterten Schutz der Login-Seite, und einiges mehr. Mit Benachrichtigungen per E-Mail.
  4. Sichere Passwörter verwenden! Mit einem Beschuss von Passwörtern auf die /wp-admin/-Seite kommt man sonst ganz schnell rein. Auch hier hilft Wordfence.
  5. Den Computer virenfrei halten. Ansonsten können Zugangsdaten ausgespäht werden – ganz automatisiert.

Keine Panik!

Die Wahrscheinlichkeit, betroffen zu sein, ist relativ gering. Und wenn etwas passiert, kann man durch das Ändern der Passwörter und das Einspielen eines Backups (notfalls vom Hoster) meist schnell wieder für Ordnung sorgen. Falls es dramatischer ist, gibt es noch Profis, die aufräumen können. Zu grobem Leichtsinn sollte das aber nicht verleiten.