WordPress Updates

Warum eigentlich?

Das WordPress läuft, alle Plugins sind installiert und funktionieren, das Theme sieht schick aus. Warum braucht das denn jetzt ein Update? Die Kurze Antwort: Sicherheit. WordPress wird in den meisten Fällen über die Plugins gehackt, wenn diese ein Sicherheitsleck aufweisen. Ebenso ist es möglich, dass WordPress selbst noch eine Lücke offen hat und dementsprechend gefixt werden muss. Themes bieten weniger Angriffsfläche, aber auch diese haben manchmal ein Sicherheitsproblem, gerade die komplexeren wie DIVI, Avada, Enfold und Co. mit ihrem riesen Anhang an Code.

Die Hacker suchen sich natürlich das Content Management System mit der weitesten Verbreitung und das ist…. Trommelwirbel:

CMS Market Share June 2020 with WordPress in the lead with 37 per cent market share
Quelle: https://joost.blog/cms-market-share-june-2020-analysis/

Jetzt denkt ihr Moment, ich hab doch gar keine sensiblen Daten auf meiner Installation. Was wollen denn die Hacker dann? Die machen das heutzutage, um einfach Werbung auf eurer Seite zu schalten, mit Hilfe eurer Seite Unmengen an Spam verschicken oder sogar Bitcoin-Mining auf Kosten eurer Userinnen. Das Ergebnis einer gehackten Seite sieht meist so aus:

The site ahead contains harmful programs

Ihr bekommt von Google den Riegel vorgeschoben und eure User sehen nur noch das. Damit seid ihr und euer Geschäft offline. Das kann dann einige Tage dauern bis das repariert und wieder online ist, je nach Branche ein Milliardenverlust 😉

Was tun? Warum Backups?

Es müssen also die Updates durchgeführt werden. Okay, warum brauche ich dann ein Backup? Im Idealfall hast du immer ein Backup deiner aktuellen Installation (Dateien und Datenbank). Sollte dein WordPress gehackt werden kannst du immer direkt deine aktuelle, funktionierende Installation neu aufspielen.

Für Updates ist die Regel: Ein Backup vor dem Update (funktionierende Installation), dann machst du deine Updates und dann machst du noch ein Backup. Noch weißt du nicht, ob das neue Update ein komplett funktionierendes System ist. Manchmal fallen nicht funktionierende Sachen erst nach ein paar Tagen auf denn:

Plugin Trouble

Es ist jetzt so, dass es tatsächlich durch ein Plugin-Update auch passieren kann, dass etwas kaputt geht. z.B. macht eine Developerin ein Update ihres Plugins und plötzlich kollidiert der Code mit einem anderen Plugin. Eine Newsletteranmeldung funktioniert nicht mehr, Events werden nicht mehr angezeigt, das aufploppen der Bilder geht nicht mehr, das Menü öffnet sich nicht mehr etc. etc.

Das passiert tatsächlich relativ selten, kann aber unangenehm werden wenn Anmeldungen verschwunden sind oder Ähnliches, dehalb immer schön die Seite kontrollieren nach den Updates.

Theme Updates

Auch das Theme kann unter Umständen ein Einfallvektor für einen Hacker darstellen. Deshalb achte auch hier darauf, dass du immer eine aktuelle Version verwendest.

Server-Updates

Und dann gibt es noch die PHP-Updates deines Servers. Die Software des Servers bekommt regelmäßig Security-Updates. WordPress läuft auf der Software PHP und sollte nach Möglichkeit immer mit der neuesten PHP-Version betrieben werden. So bekommt man übrigens auch Geschwindigkeitsvorteile beim Laden der Seite.

Es kann jetzt aber sein, dass ein Plugin sehr alt ist und der Code nicht mehr mit der neuesten PHP-Version läuft. Das sollte nach einem Update natürlich kontrolliert werden und das Plugin dann ausgetauscht werden. Also Vorsicht bei der Plugin-Wahl. Immer schön schauen, dass das Plugin noch gepflegt wird.

Unschön wird es wenn dein Theme nicht mehr funktioniert. Das kann bei sehr alten Themes passieren, aber auch bei jüngeren Themes, die nicht mehr gepfleget werden. Dann muss man entweder selber ran es zu reparieren oder braucht schnell ein neues Theme.

Wie mach ich das denn jetzt?

Das einfachste ist ein Backup-Tool, das regelmäßig Backups macht wie z.B. BackWPup. Das sorgt dafür, das Dateien und Datenbank gesichert werden so wie du das möchtest. Es kann auch sein, dass dein Hoster tägliche Backups macht und du so schon abgesichert bist was diese angeht. Informiere dich bei deinem Hoster, ob dies so ist, und was es kostet ein Backup einzuspielen. Das ist gerade bei den Billighostern oft mit Kosten verbunden. Bei coolen Hostern hast du selber die Macht und kannst per Knopfdruck in Minuten ein Backup einspielen.

Die Updates kannst du selber über das WordPress-Dashboard managen. Aufgrund der Sicherheitsgefahren fährt WordPress automatische Updates für WordPress Minor Versionen (5.7.2 -> minor Version; 5.8 -> Major Version). Auch automatische Plugin-Updates kann man aktivieren, da dies aber zu den vorher genannten Problemen führen kann ist das nicht unbedingt die beste Lösung. Wenn du aber eher ängstlich bist kann man dann auch 3 Wochen sorgenfrei in den Urlaub fahren, ohne dass die Seite gehackt wird 🙂

Fazit

Das ist schon ein wenig Aufwand und ihr könnt natürlich manuell das alles machen mit den Updates, der Funktionskontrolle und der Sicherheitsüberwachung aber einige Anbieter bieten dementsprechend eine automatische Sicherheits- und Funktionsüberwachung. Und hier kommt der Sales-Pitch am Ende des Blogbeitrages: Auch ich biete das an 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.