Updates sind ein Reizthema: Insbesondere, wenn Sie Windows-Benutzer sind (mein Beileid), kennen sie Updates als einen oft langwierigen, lästigen Prozess, der immer zur Unzeit dazwischenfunkt. Auch WordPress Updates können lästig werden. Wie oft wollen Sie auf Ihre Praxis-Website schauen? Einmal im Monat? Jede Woche? Und was passiert, wenn ein Update fehlschlägt?
WordPress Updates sind äußerst wichtig
Fakt ist: Updates für jede Art von Software sind wichtig, so auch für WordPress und jedes andere Content Management System. Ihre Website ist kein geduldiges Stück Text mit Bildern wie eine Zeitschrift, sondern ein dynamisches Programm. Wie alle Programme, so enthalten auch Content Management Systeme Fehler im Programmcode.
Es gibt Bots von Cyberkriminellen, die das Internet laufend nach solchen Fehlern durchsuchen. Vollautomatisiert. Das passiert auch auf Ihrer Website, wenn diese nicht ein völlig obskures Leben in den Tiefen des Internets führt, wo sie nie jemand zu Gesicht bekommt. (Dagegen hilft übrigens SEO.) Häufig gibt es sogar sehr viel mehr solche Zugriffe auf möglicherweise vorhandene Sicherheitslücken als tatsächlich echte, menschliche Besucher.
WordPress Updates aktualisieren WordPress selbst, in der Regel alle drei bis vier Monate. Manchmal auch dazwischen, besonders bei Sicherheitsproblemen. So zum Beispiel vergangene Woche gleich zwei Mal: Version 6.2, selbst erst wenige Wochen alt, wurde auf 6.2.1 und zwei Tage darauf auf 6.2.2 aktualisiert, und zwar wegen einer recht brisanten Sicherheitslücke. Beim ersten Mal sind die Entwickler etwas über das Ziel hinausgeschossen, was zu kaputten Websites geführt hat, weshalb es dann kurz darauf eine Berichtigung gab.
Außer WordPress bekommen auch das eingesetzte Theme und die verwendeten Plugins für WordPress Updates – wenn sie nicht hoffnungslos veraltet sind. Es ist Vorsicht geboten, wenn ein Theme oder Plugin schon ein Jahr kein Update mehr erhalten hat. Dann sollte man sich nach Ersatz umschauen.
Wartungsservice für WordPress Updates von Dienstleistern
Je mehr Themes, je mehr Plugins auf Ihrer Website installiert sind (egal, ob aktiv oder nicht), umso öfter wird es also Updates geben, die wichtig sein könnten. Natürlich sind die meisten Updates funktionaler Natur. Ein Plugin oder Theme erhält Verbesserungen, die nichts mit Sicherheit zu tun haben. Aber häufig sind eben auch Sicherheitsupdates dabei.
Wie oft wollen Sie nun selbst nachschauen, ob es neue WordPress Updates gibt? In der Regel vernachlässigen Webmaster, die ihre eigene Website nebenbei pflegen, das nach kürzester Zeit. Warum sollten Sie sich auch mit solchen Zeitdieben befassen, wenn es dafür Dienstleister gibt? Aber auch hier gibt es gute und weniger gute Lösungen.
Automatische Updates
WordPress bietet selbst die Möglichkeit, Updates einfach automatisch zu installieren, sobald sie verfügbar werden. Aber das ist keine sehr gute Idee: wenn ein Update Probleme macht, merken Sie es wahrscheinlich nicht. Was, wenn dadurch z.B. das Kontaktformular nicht mehr funktioniert oder gleich die ganze Website nicht mehr erreichbar ist? Es können Tage vergehen, bis Sie es merken. Von automatischen Updates ist also abzuraten.
Managed WordPress
Manche Hoster bieten Managed WordPress an. Sie geben an, dass sie sich um die Wartung und Aktualisierung von WordPress kümmern. Meist bedeutet das, dass sie ein Plugin installieren, welches die oben beschriebenen automatischen Updates einschaltet und vielleicht noch die eine oder andere Sache macht.
Ich kann nicht alle Hoster über einen Kamm scheren, es mag auch gute Managed WordPress-Lösungen geben: aber von denen höre ich natürlich wenig, während ich die Produkte der bekanntesten Hoster nur noch als Mismanaged WordPress bezeichne, weil ich so oft deren Probleme ausbügeln muss. Managed Hosting ist aus meiner Sicht kaum besser als automatische Updates.
Externe Dienstleister
Damit komme ich zu der Lösung, die ich Ihnen empfehlen würde: externe Dienstleister. Solche, da bin ich ehrlich, wie uns. ;) Wir bieten laufende WordPress-Wartung zu einer aus unserer Sicht fairen Monatspauschale an. Ja, es gibt Anbieter mit deutlich günstigeren Pauschalen, aber auch deutlich teurere. Die Angebote unterscheiden sich oft beträchtlich. Ein sehr wichtiger Punkt ist die Häufigkeit der Updates.
Viele günstige Anbieter versprechen beispielsweise die Durchführung der WordPress Updates einmal im Monat. Sie bieten außerdem eine enthaltene Arbeitsstunde im Monat für daraus entstehende Probleme an. Reicht das aus? Wäre wöchentlich nicht besser? Was mag das kosten?
Wie oft soll man nun WordPress Updates einspielen?
Ich gebe Ihnen ein brisantes, echtes Beispiel aus den letzten Tagen: In dem häufig verwendeten Plugin „Essential Addons for Elementor“ Version 5.7.1 und älter gab es eine gravierende Sicherheitslücke. Das Plugin wird von über einer Million WordPress-Websites verwendet. Diese Sicherheitslücke wurde am 8. Mai erstmalig erkannt und am 11. Mai durch das Update auf 5.7.2 geschlossen. Aber am gleichen Tag wurde die Sicherheitslücke auch offiziell veröffentlicht und beschrieben. Das war äußerst knapp.
Vergangene Woche hat sich ein neuer Kunde bei uns gemeldet, dessen zwei Websites beide infiziert worden waren. Genutzt wurde genau diese Lücke, und zwar noch am selben Tag, als sie bekannt wurde. Das Problem bei dieser Lücke: der Angreifer muss nur den Namen eines Benutzers kennen und kann dann dessen Passwort ändern. Benutzernamen sind leicht zu ermitteln. So kann also leicht administrativer Zugriff auf die Website erlangt werden.
Das ist bei diesem Kunden geschehen, weil das Update für das Plugin nicht schnell genug eingespielt wurde. In diesem Fall wäre es also notwendig gewesen, am selben Tag zu reagieren. Leider war dieser Kunde zu der Zeit noch nicht unserer.
Denn das ist es, was wir tun: wir prüfen täglich auf Updates. Tatsächlich sogar mehrfach täglich. Wir tun das über eine Zentrale, die automatisiert abfragt, ob es Updates für unsere Kunden gibt, denn auch wir haben ein Leben. ;) Morgens erwartet mich in der Regel dann schon eine E-Mail dieses Systems, und aus diesem System heraus bewerte ich dann die Dringlichkeit der Updates und mache Sicherheitsupdates sofort, reine Funktionsupdates je nach dem manchmal auch später, wenn das jeweilige Theme oder Plugin dafür bekannt ist, leicht kaputt zu gehen oder manuelle weitere Eingriffe zu erfordern. Aber Sicherheit geht vor. Auch am Wochenende, auch im Urlaub. Wenn wir von einer Sicherheitslücke erfahren, prüfen wir umgehend, ob einer unserer Kunden betroffen ist.
Es kann keinen hunderprozentigen Schutz geben, aber wir denken, dass wir mit diesem Service eine gute, umfassende Sicherheit bieten. Wir beschränken auch die Zeit, die wir für Updates und ggfs. die Bereinigung daraus entstehender Fehler brauchen, nicht. Sollte ein Fehler auftauchen, vor allem ein so gravierender, dass die Website nicht mehr erreichbar ist, dann machen wir uns umgehend an die Lösung, egal, wie lange es dauert.
Es kann allerdings trotz allem durchaus mal passieren, dass eine Funktionalität durch ein Update ausfällt, die nicht sofort ins Auge springt. Wir können nicht mehrere Dutzend Websites jeden Tag in allen Belangen testen, das könnte auch die teuerste Pauschale nicht finanzieren. Aber wenn Fehler auftreten, sind wir da, sobald wir davon erfahren.
Und wir tun noch mehr: wir schulen und erklären, wir machen regelmäßige Backups auf unsere Server, wir kümmern uns um Wartungseingriffe beim Hoster wie Umstellungen an PHP, MySQL oder bei der E-Mail-Infrastruktur, wir machen kleinere Änderungen an Ihrer Website (oder auch größere regelmäßige, wenn Sie das Inhaltspaket hinzubuchen) – und durch nichts, abgesehen von einem Redesign oder Neubau der Website, entstehen zusätzliche Kosten. Kurz gesagt: es ist uns schleierhaft, was teurere Angebote als unseres mehr bieten sollen.
Wenn wir Ihr Interesse an unseren Dienstleistungen geweckt haben, informieren sie sich gerne eingehender auf unserer Website in der SICHT.BAR oder kontaktieren Sie uns gleich. Wir freuen uns auf Sie!