Ab und an bekommst Du von Deiner Website unter WordPress eine E-Mail. Das kann mal an einem Spam Kommentar liegen, aber in diesem Fall meine ich die E-Mail die direkt vom WordPress System kommt und in der in etwas folgendes steht: „Das Update von WordPress auf 4.n.n wurde automatisch durchgeführt!“. Das sagt, das bei Deiner WordPress Installation ein automatische Hintergrund Update durchgeführt wurde.
Wieso bekommst Du so eine E-Mail und vor allem, wieso bekommst Du sie nicht viel öfter? Mit der WordPress Version 3.7 wurden die automatischen Updates eingeführt.
WordPress automatische Hintergrund Updates oder lieber nicht?
Du wirst sicherlich schon gelesen haben, das Du Dein WordPress immer auf dem neuesten Stand halten sollst. Am Besten direkt mit dem Erscheinen von solchen Updates. Klasse wäre vielleicht, wenn das System das selbst erledigen könnte, automatisch und im Hintergrund.
Was könnte gegen automatische Hintergrund Updates sprechen?
Leider sind oder bleiben installierte Plugins nicht immer so kompatibel, wie man es sich wünscht. Was kann also passieren? Ein Update wird durchgeführt und danach kommst Du nicht mehr in Dein Backend oder im schlimmsten Fall ist die gesamte Seite nicht mehr erreichbar. Gut, wenn Du dann ein Backup hast oder zumindest eine Idee, welches Update/Plugin das verursacht hat. (In einem weiteren Artikel zeige ich Dir, auf welchem Wege Du solche Plugins deaktivierst und damit Deine Seite wieder erreichbar machen kannst.)
Ich persönlich stelle mir ein System vor, das die Automatisierung deutlich ausdehnt. Dieses müsste zuerst ein Backup erstellen, dann die Updates einspielen und jeweils testen, ob die Seite und das Backend noch erreichbar sind. Im Fehlerfall sollte das System das letzte Update rückgängig machen und an den Administrator eine E-Mail schicken und weitere Updates aussetzen. Bis es ein solches System gibt, – bisher kenne ich keins – werden wir diese Aufgabe selbst erledigen müssen, wenn wir vermeiden wollen, das unsere Site oder das Backend nicht mehr erreichbar sind.
Welche Updates automatisieren?
Wenn Du bei der Installation Deines WordPress keine Einstellungen bezüglich der Updates veränderst, werden Updates von Minor Releases automatisch durchgeführt. Hier überwiegt der Sicherheitsgedanke, da damit oft Sicherheitslücken geschlossen und Fehler behoben werden. Bei den Major Releases ist allerdings die Gefahr, das etwas nicht mehr funktioniert größer als der Sicherheitsgedanke. Diese werden deshalb standardmäßig nicht automatisch durchgeführt.
Was sind nun bei WordPress diese komischen Minor oder Major Releases. Hier ein ganz kurzer Ausflug in die Softwareentwicklung. Ein Release ist eine neue, fertige und getestete Version der Software. Dies wird im Wesentlichen gemacht, um die verschiedenen Entwicklungsstufen der Software zu trennen und bei der Planung einen Releasetermin und den Releaseumfang festzulegen. Man könnte das ganze mit einem Bauprojekt vergleichen und dort würde man dann von Bauabschnitten sprechen. Bei einem Minor Release, was durch die letzte Zahl in der Releasenummer bei WordPress bezeichnet wird, werden keine neuen Funktionen eingebaut, sondern nur gefundene Fehler und Sicherheitslücken behoben (Beispiel 4.4.2 ist zum Beispiel das zweite Minor Release des Major Releases 4.4). Hier beenden wir lieber den Ausflug, sonst lande ich in meinem alten Job als Entwicklungsleiter 😉
Ich hatte mir zum Beispiel beim Update auf das Major Release 3.9 meine Websites komplett zerschossen. Allerdings habe ich die Gelegenheit genutzt, das ganze bei einem neuen Provider neu aufzusetzen – Übung macht den Meister!
Wie stellt man das nun ein oder eben aus?
Die automatischen Hintergrund Updates lassen sich mittels der Konfigurationsdatei wp-config.php Deiner WordPress Installation steuern. Folgender Eintrag ist Standard bei einer frischen Installation:
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
Sollten auch alle Major Updates durchgeführt werden, muss dort Folgendes stehen:
define( 'WP_AUTO_UPDATE_CORE', true );
Wenn Du kein automatisches System für das Backup hast, solltest Du lieber alle Updates abschalten und erst nach einem Backup manuell durchführen. Dafür Folgendes eintragen:
define( 'AUTOMATIC_UPDATER_DISABLED', true );
Die identischen Einträge sind natürlich auch für Plugins, Themes und die Übersetzungs-Dateien vorhanden. Aber wie gesagt, ist das mit einem sehr hohen Risiko verbunden, da es keinen genauso einfachen Rückweg gibt.
Wie kann ich Updates am sichersten gestalten?
Zuerst alle automatischen Hintergrundupdates abschalten. Wenn dann Deine Installation erkennt, dass für WordPress, Plugins, Theme oder Übersetzungen Updates vorliegen, wird dies in der Werkzeugleiste oben angezeigt:
Klickst Du darauf, kommst Du in den Bereich Aktualisierungen und siehst, was zu tun ist:
Genauso, wie Du Dir als Blogger einen Redaktionsplan zulegst, solltest Du Dir einen Wartungsplan für Deine Website zulegen. Ein Mal im Monat sollten diese Arbeiten mindestens durchgeführt werden. Dazu hatte ich Dir in meinem Beitrag zur WordPress Pflege (Link) eine Checkliste zur Verfügung gestellt.
Fazit
Sicherlich gibt es unterschiedliche Erfahrungen mit den automatischen Hintergrundupdates, aber die Sicherheit geht vor. Sobald eine Sicherheitslücke bekannt ist und die Entwickler reagiert haben, sollten die Updates auch eingespielt werden.
Ich habe dazu noch einen interessanten Artikel von Bernhard Kau (Link) gefunden. Seht Euch auf jeden Fall den verlinkten Vortrag von ihm an und die nachfolgende Diskussion dazu!