WordPress, Plugins und Themes richtig updaten: So gehst du auf Nummer sicher

Johannes Mairhofer Zuletzt aktualisiert am 08.07.2021
7 Min.
wordpress updates strategy
Zuletzt aktualisiert am 08.07.2021

Für viele Nutzer:innen kommen neue WordPress Updates überraschend. Schließlich verfolgen die wenigsten die Release Planung, wie zum Beispiel aktuell für WordPress 5.8. Auch verfügbare Updates für Plugins und Themes sorgen häufig für Verunsicherung. Wie du dein WordPress System aktuell hältst und welche Update Strategie sich bewährt hat, verrät dir heute Johannes Mairhofer. 

WordPress Sicherheit

WordPress ist das meist verbreitete Content Management System (CMS) weltweit. Laut w3techs wird WordPress von mittlerweile 41 Prozent aller Websites genutzt, Tendenz steigend. Es ist durchaus realistisch, dass bis 2025 die Hälfte aller Websites auf WordPress basieren. Durch diese hohe Verbreitung wird WordPress auch für potenzielle Angreifer interessant. Denn äußerst selten wirst du persönlich von jemandem angegriffen. Meist passiert das durch automatisierte Bot Netzwerke, die das gesamte Internet nach bekannten Schwachstellen und Sicherheitslücken durchsuchen und diese ausnutzen.

Um dich und dein WordPress abzusichern, gibt es natürlich zahlreiche Tools und Tipps, die du auch hier im Magazin findest. Zusätzlich dazu ist es aber auch wichtig, dein gesamtes System aktuell zu halten und regelmäßige Updates durchzuführen. Wie das geht, zeige ich dir jetzt.

Updates im WordPress Dashboard

WordPress, Plugins und Themes richtig updaten: So gehst du auf Nummer sicher

Ob du ausstehende Updates offen hast, siehst du in deinem WordPress Admin Dashboard. Du erkennst es direkt nach dem Login an dem zu einem Kreis gedrehten Doppelpfeil ganz oben in der Statusleiste. Wenn du auf dieses Symbol klickst, siehst du in der Übersicht die anstehenden Updates und kannst sie bequem – entweder alle auf einmal oder einzeln – durchführen.

In meiner bevorzugten Update Strategie unterscheide ich hier zwischen den Plugin- und Theme Aktualisierungen und den Updates von WordPress selbst. Warum ich das so empfehle, erkläre ich dir im Folgenden.

WordPress Themes

WordPress, Plugins und Themes richtig updaten: So gehst du auf Nummer sicher

Ganz generell gilt bei Themes: weniger ist mehr.

Du solltest neben dem aktiven Theme bestenfalls nur ein weiteres aktuelles Standard Theme installiert haben, das als „Fallback“ benutzt wird. So kann das System automatisch auf dieses Standard Theme wechseln, falls dein aktuell genutztes Theme Fehler verursacht.

In meiner Beispiel Installation siehst du, dass ich das Theme „Neve“ aktiviert habe und nutze. Zusätzlich habe ich nur das aktuelle Standard Theme von WordPress „Twenty Twenty-One“ installiert. Falls bei meinem eigentlichen Theme „Neve“ Fehler auftreten, kann WordPress automatisch zu „Twenty Twenty-One“ wechseln. 

Updates bei Themes

Bei WordPress Themes empfehle ich dir, ausstehende Updates direkt zu machen. Das Risiko, dass ein Update hier zu gravierenden Schäden führt, ist sehr gering und kann im Falle eines Falles durch das Standard Theme abgefedert werden. Dennoch solltest du vor jedem Update sicherheitshalber ein Backup deiner Website machen, falls es doch mal zu Problemen kommt.

Wichtig: Wenn du Anpassungen an deinem Theme vornimmst und nicht willst, dass diese bei einem Update verloren gehen, solltest du unbedingt ein Child Theme verwenden. Denn beim Aktualisieren deines WordPress Themes werden sämtliche Theme-Dateien, inklusive deiner individueller Anpassungen, überschrieben.

WordPress Plugins

WordPress, Plugins und Themes richtig updaten: So gehst du auf Nummer sicher

WordPress ist in den letzten Jahren enorm gewachsen und bringt normalerweise fast alles, was du brauchst, schon direkt integriert mit. Es kann allerdings vorkommen, dass du eine gewünschte Funktion mit einem Plugin erweitern musst. 

Wie bei den WordPress Themes gilt auch bei den Plugins: Installiere nur, was du wirklich brauchst und nicht anders lösen kannst. Denn jedes Plugin öffnet eine Tür für potentielle Angreifer. Außerdem ist natürlich jedes Plugin am Ende Code, welcher die Website ein kleines bisschen langsamer macht.

Was viele auch nicht bedenken: Zusätzlich zu den beiden genannten Punkten “Sicherheit” und “Performance”, die gegen zu viele Plugins sprechen, kommt seit einigen Jahren noch ein weiteres Argument hinzu: Viele beliebte Plugins, wie zum Beispiel das Kontaktformular, sind datenschutzrelevant und müssen in die Datenschutzerklärung aufgenommen werden. Bei der Nutzung solcher Plugins empfehle ich auf jeden Fall eine intensive Recherche oder sogar die Kontaktaufnahme zu einem Rechtsanwalt. 

Installation von Plugins

Leider werden Plugins oft sehr schnell installiert und dann vergessen. Darum möchte ich hier kurz darauf eingehen, wann es sich empfiehlt, Plugins zu installieren und was du dabei beachten solltest:

Plugins solltest du nur installieren, wenn …

  • … du auf die Funktion nicht verzichten kannst.
  • … die Funktion nicht „inhouse“ über das WordPress System oder deinen Hoster umsetzbar ist.
  • … du dir über die Folgen in Bezug auf den Datenschutz bewusst bist.
  • … du bereit bist, dich um regelmäßige Updates zu kümmern.

Wenn diese Punkte auf deinen Anwendungsfall zutreffen, kannst du über dein WordPress Dashboard im Bereich Pluginshinzufügen neue Plugins installieren.

WordPress, Plugins und Themes richtig updaten: So gehst du auf Nummer sicher

Nach dem Aufruf dieser Seite siehst du eine Übersicht aller verfügbaren Plugins. Über die Sortierfunktion oben kannst du hier zum Beispiel beliebte, neue oder empfohlene Plugins aus dem offiziellen WordPress Plugin Verzeichnis finden. Wenn du unsicher bist, ob ein Plugin sicher ist, gibt es hier vier Faktoren, an denen du dich orientieren kannst. Welche das sind, zeige ich dir anhand des oben genannten Beispiels des Kontaktformulars.

Beispiel Kontaktformular

Hierzu gibst du über die Suche „Contact form“ ein. Nun landest du auf der Seite mit den Ergebnissen, die über 5.000 passende Plugins gefunden hat. Sehen wir uns einmal Contact Form 7 – eines der bekanntesten WordPress Plugins für Kontaktformulare –genauer an. 

WordPress, Plugins und Themes richtig updaten: So gehst du auf Nummer sicher

Es gibt vier Faktoren, die dir bei deiner Entscheidung helfen, das Plugin zu installieren oder nicht:

  1. Die Sterne sind die Bewertungen anderer Userinnen und User. Ähnlich wie in Onlineshops oder im App Store deines Smartphone Betriebssystem siehst du hier, wie andere das Plugin bewertet haben.
  2. Die Anzahl der Installationen sagt dir, wie oft das Plugin bereits installiert wurde. Mehrere Millionen sind hier ein sehr gutes Zeichen für eine weit verbreitete Nutzung. 
  3. Last Updated zeigt dir, wann das letzte Update für das Plugin bereitgestellt wurde. Je kürzer desto besser, aber alles bis zu einem halben Jahr würde ich als unproblematisch sehen, wenn alle anderen Punkte hier positiv sind. Also zum Beispiel viele Installationen und gute Bewertungen.
  4. Ob das Plugin mit deiner WordPress Version kompatibel ist, siehst du im letzten Punkt. Wenn du nicht genau weißt, was du tust, empfehle ich ausdrücklich: Installiere kein Plugin, das hier nicht kompatibel ist, oder frage beim Plugin Herausgeber nach.

Aus diesen vier Faktoren kannst du sehen, ob eine Installation sinnvoll und empfehlenswert ist. Trotzdem würde ich alle unnötigen Plugins nicht nur deaktivieren, sondern auch löschen. Wenn du die Möglichkeit hast, teste neue Plugins am besten zuerst in einer Staging Umgebung, bevor du sie auf deiner Live Website aktivierst.

WordPress Plugins – die Qual der Wahl

Für eine detaillierte Erklärung, wie du die Qualität von WordPress Plugins bewerten kannst, empfehle ich den Beitrag “13 Tipps zur richtigen Plugin Auswahl” von Torsten Landsiedel.

Updates bei Plugins

Wie bei den Themes oben, empfehle ich dir, verfügbare Updates von Plugins zeitnah durchzuführen. Die Wahrscheinlichkeit eines schwerwiegenden Fehlers ist auch hier sehr gering. Sollte es doch passieren, kann das Plugin normalerweise einfach aus dem Plugin Ordner entfernt werden und deine Website funktioniert wieder. Dennoch solltest du vor jedem Update sicherheitshalber ein Backup deiner Website machen!

WordPress, Plugins und Themes richtig updaten: So gehst du auf Nummer sicher

Seit einiger Zeit bietet WordPress bei vielen Plugins sogar die Möglichkeit, Updates automatisch zu installieren. Oder dein Hoster bietet Managed WordPress Hosting an und übernimmt jegliche Updates und Backups für dich.

Bei Plugins mit hoher Verbreitung und guten Bewertungen sind automatisierte Updates in der Regel unproblematisch. Bei den Plugins, bei denen du unsicher bist, kannst du die Updates manuell machen. Denn obwohl die Wahrscheinlichkeit gering ist, gibt es Fälle, bei denen es beim Plugin Update zu Fehlern kommt. Durch ein händisches Update merkst du das sofort, bei den automatischen Updates möglicherweise erst später. 

Neben der Zeitersparnis bieten automatisierte Updates allerdings den großen Vorteil, dass deine Plugins bei bekannt gewordenen Sicherheitslücken immer auf der aktuellsten Version laufen und Schwachstellen dadurch nie lange offen bleiben. Wenn du deine Plugins händisch updatest und mit der Aktualisierung wartest, ist deine Website der Gefahr eines Angriffs länger ausgesetzt als bei automatischen Plugin Updates.

WordPress Core Updates

Damit kommen wir zum wichtigsten Part. Denn während Theme- und Plugin Updates dich eventuell nur bedingt tangieren, weil du vielleicht keine oder nur wenige davon installiert hast, sind die Updates für das eigentliche WordPress System – die sogenannten “Core Updates” – für alle Nutzer:innen relevant.

Bei den WordPress Updates gibt es eine wichtige Unterscheidung zwischen Minor Updates (dreistellig, z.B. WordPress 5.7.1) und Major Updates (zweistellig, z.B. WordPress 5.8). Minor Updates können in der Regel problemlos durchgeführt werden, da sie nur kleinere Fehler beheben oder kleine Anpassungen an bestehenden Features vornehmen. Major Updates bringen dagegen größere Anpassungen und neue Funktionen in den WordPress Core.

Es mag dich überraschen, aber gerade bei Major WordPress Updates empfehle ich dir, mindestens 10 Tage mit der Aktualisierung zu warten. Der Grund ist, dass die Wahrscheinlichkeit bei Major Updates höher ist, dass es zu Konflikten mit Plugins oder Themes kommt, die massive Fehler verursachen. Ein Beispiel solcher Kompatibilitätsprobleme durch ein Update war der Sprung auf WordPress 5.0. Denn mit dieser Version wurde der neue Gutenberg Editor eingeführt, auf den viele Plugins und Themes damals noch nicht vorbereitet waren. Mittlerweile haben die Plugin und Theme Hersteller aber nachgezogen und Kompatibilität mit dem Block Editor gehört heute zum Standard. 

Mein Tipp: Beobachte nach Erscheinen eines Major Updates die WordPress Community oder frage deinen Hoster nach einer Einschätzung. So wirst du recht schnell erfahren, ob ein WordPress Update Fehler verursacht. Erst, wenn du nach 10 bis 14 Tagen keine Hinweise auf fehlerhafte WordPress Updates liest, solltest du dein System aktualisieren. Wie immer gilt auch hier der wichtige Hinweis: Erst Backup machen, dann updaten!

Fazit

Trotz aller Vorsichtsmaßnahmen und Abmilderung der Risiken kann es natürlich passieren, das etwas schief geht. Außerdem ist es auch verständlich, wenn du keine Lust oder Zeit hast, dich um diese Themen selbst zu kümmern. In diesem Fall gibt es spezialisierte Managed WordPress Hoster wie RAIDBOXES, die dich bei der Verwaltung deiner Websites unterstützen. So können Risiken zum Beispiel durch automatisierte Backups, gemanagte Updates und das Einsparen von Plugins nochmal abgefedert werden. 

Spätestens ab dem Zeitpunkt, an dem deine Website über das Hobby hinaus geht und immer funktionieren muss, ist eine Update Strategie sehr empfehlenswert. Premium Hosting mit gemanagten Backups und Hoster-seitigen Updates federn Gefahren nochmals ab und lassen dich ganz entspannt bleiben. So kannst du dich ausschließlich auf das eigentlich wichtigste deiner Website kümmern: deine Inhalte.

Weitere Fragen?

Hast du weitere Fragen oder Input zum Thema WordPress Updates? Wir freuen uns über deinen Kommentar! Du interessierst dich für WordPress, Webdesign, Online Business und mehr? Dann folge RAIDBOXES auf TwitterFacebook, LinkedIn oder über unseren Newsletter.

Johannes ist sehr neugierig und hat in seiner Laufbahn schon verschiedenste Stationen erreicht. Vom gelernten Fachinformatiker zum freiberuflichem Fotografen ist er vielseitig unterwegs und kann dadurch die verschieden "Brillen" seiner Kunden aufsetzen. Heute arbeitet er als freier Fotograf und Berater für WordPress und Fotografie. [Foto: Dennis Weißmantel]

Ähnliche Artikel

Kommentare zu diesem Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.