Feature-Preview: Automatische Updates für Themes und Plugins in WordPress

|
Bereits mit der WordPress Version 3.7 vom Oktober 2013 wurden automatische Updates für den Core von WordPress eingeführt. Hierbei werden in der Standardkonfiguration nur Wartungs- und Sicherheits-Releases installiert – Sprünge auf neue Hauptversionen nicht. Da WordPress aber der Motor für gut ein Drittel aller Websites ist, war es dem Core-Team wichtig, dass bei einem Update nicht plötzlich ein großer Teil der Websites lahmgelegt wird. Daher werden erst mal nur die wichtigsten Updates automatisch installiert. Mehr dazu erfährst du im folgenden Feature-Preview.

Mit der für Anfang August geplanten Version WordPress 5.5 sollen auch automatische Plugin- und Theme-Updates in den Core übernommen werden. Das Feature wird, wie für große Neuerungen üblich, in einem sog. Feature-Plugin separat entwickelt und dann in den Core übernommen. Wir haben für dich schon mal einen Blick auf die Beta geworfen. Beachte bitte: Die genaue Darstellung kann sich natürlich noch ändern, schließlich handelt es sich um eine Beta-Version. ;-)

Auto-Updates aktivieren

Feature-Preview WordPress 5.5: Auto-Updates aktivieren.

Das Aktivieren der automatischen Updates für einzelne Plugins ist denkbar einfach. Warum nur für einzelne Plugins? Dazu später mehr. In der Liste der installierten Plugins gibt es aber nun eine weitere Spalte. Hier wird für jedes Plugin der Status angezeigt, ob autmatische Updates aktiviert sind oder nicht. Außerdem ist ein jeweiliger Button zum Ändern des Status zu sehen.

Für Plugins, bei denen das Auto-Update-Feature nicht aktiviert ist, ändert sich nichts. Ist jedoch ein Update verfügbar, wird der bekannte gelb hinterlegte Update-Hinweis angezeigt. Sind für ein Plugin automatische Updates aktiv, wird zusätzlich zu dem Update-Hinweis die Information angezeigt, wann das Update automatisch installiert wird.

Automatische Updates für Themes

Für Themes sieht das ähnlich aus: Hier findest du den Button zum Aktivieren in der Detailansicht des Themes. Und auch hier werden an dieser Stelle Informationen zum geplanten Update-Zeitpunkt angezeigt.

Das war's eigentlich auch schon zum Vorgehen. Weitere Details zu dem Thema möchte ich dir aber nicht vorenthalten. Daher hier noch ein paar Hintergrundinfos

Warum überhaupt updaten?

WordPress hat unter den Content Management Systemen einen Marktanteil von ~60% und ist damit der unangefochtene Platzhirsch. Gleichzeitig ist der Quelltext des Cores und vieler Plugins Open Source. Das bedeutet: Jeder kann sich die Quellen anschauen und nach Lücken suchen. Software und insbesondere so ein komplexes System wie WordPress kann nicht perfekt und ohne Fehler sein. Sobald eine neue Version veröffentlicht wird, kann so zum Beispiel auch jeder sehen, welche Lücken geschlossen wurden. Die Angriffsmöglichkeiten werden so quasi auf dem Silbertablett serviert. Genau deshalb ist es wichtig, Updates möglichst zeitnah zu installieren!

Einige mögen sich vielleicht denken: „Wer sollte mich schon angreifen, ich habe doch nur eine kleine Seite“ Dazu sei erklärt: Viele der Angriffe richten sich nicht gegen spezifische Seiten. Vielmehr kommen sie von automatisierten Bots, die die Anfragen an zufällige Seiten schicken. Ziel ist hierbei oft, Maleware oder Links zu fragwürdigen Seiten zu verbreiten oder die Server-Leistung für ein Bot-Netz zu nutzen. Und das kann wirklich jeden treffen.

Ein regelmäßiges Update ist mit einer Instandhaltung eines Autos zu vergleichen. Schließlich wechselst du bei deinem Auto ja auch regelmäßig die Reifen, tankst nach, machst einen Ölwechsel und lässt alle zwei Jahre den TÜV erneuern.

Warum kommen die automatischen Updates erst jetzt?

Bisher wurden automatische Updates für alle Nutzer nur bei sehr kritischen Fehlern in sehr häufig genutzten Plugins durchgeführt. Solche Entscheidungen werden vom WordPress Security Team getroffen, welches das Risiko der Lücke und einer möglichen Inkompatibilität abwägen muss. 

Plugins könnten sich gegenseitig in die Quere kommen

Und da sind wir auch schon bei einem der wichtigsten Gründe, warum automatische Updates für Plugins bisher nicht vorgesehen waren. Denn bei der Vielzahl an Plugins, die sich allein im offiziellen Repository befinden – zum Zeitpunkt des Artikels ~57,060 –, kann es durchaus vorkommen, dass Plugins sich gegenseitig in die Quere kommen. Das kann zum Beispiel passieren, wenn zwei Plugins in dieselbe Komponente eingreifen oder  eine sehr ähnliche Funktionalität umsetzen wollen. 

Es kann aber auch vorkommen, dass zwei Plugins sich zunächst gut miteinander „vertragen“. Doch dann wird das eine Plugin mit einem Update leicht angepasst. Und durch diese Anpassung kommt es erst dann zu einem Konflikt der beiden Plugins. Damit das nicht im Hintergrund passiert, wenn der Betreiber der Seite es nicht mitbekommt, wurden Plugin-Updates bisher manuell per Knopfdruck gestartet.

Entscheide selbst, welche Updates du automatisch durchführen lassen willst

In den letzten Jahren hat sich bei den Plugins aber viel getan. Zudem halten sich die Entwickler immer mehr an die Entwicklungsstandards, und Inkompatibilitäten sind sehr viel seltener geworden. Außerdem kannst du die Updates auch nur für bestimmte Plugins aktivieren. Beispielsweise für solche, denen du vertraust und mit denen du bei Updates gute Erfahrungen gemacht hast. Andere Plugins können ja weiterhin manuell installiert werden. Zur höchsten Sicherheit führst du am besten im Anschluss noch manuelle Tests durch.

Auto-Updates schon jetzt

Für Profis gibt es Auto-Updates für Themes und Plugins tatsächlich auch schon eine Weile. Allerdings sind sie als Filter versteckt, den man nur in einem Plugin mit selbst geschriebenem PHP-Code aktivieren kann. Daher ist dieses Feature nicht in der breiten Masse angekommen und wurde nur relativ spärlich genutzt.

Fazit

Die Auto-Updates für Themes und Plugins sind der nächste Schritt, um das Pflegen von WordPress Websites weiter zu vereinfachen. Dafür wird die Funktion, die bisher größtenteils Entwicklern vorbehalten war, für alle Websitebetreiber einfach zu nutzen und mit wenigen Klicks zu aktivieren. Trotzdem solltest du das Feature mit Bedacht aktivieren und deine Seite regelmäßig überprüfen.

Ähnliche Artikel:

Webentwicklung

Tracking ohne Cookies in WordPress – so geht's

Besucherzahlen, beliebteste Blog-Beiträge & Co. ohne Cookies auswerten? SEO-Experte Viktor verrät euch, wie genau das geht und welche Tools helfen.

Mann sitzt am Laptop mit WordPress Logo auf Screen
Webentwicklung

Neu für euch im Mittwald Softwaremanager: WordPress 5.4

Was WordPress 5.4 kann und wie hr die neue Version einfach über unseren Softwaremanager installieren könnt, erfahrt ihr hier im Blog.

Hände halten Tablet mit aufwärts weisenden Liniendiagramm, daneben blaues Mittwald-Schloss
Sonstige

Mit WordPress SEO-konform auf SSL umsteigen

In dieser Dokumentation zeigen wir, wie man WordPress-Installationen auf SSL umstellt! ✘keine Rankingverluste ✘ kein Dublicate Content

Webentwicklung

Wie schütze ich mein WordPress?

WordPress zählt zu den beliebtesten CMS weltweit – bei Usern und Angreifern. Wie ihr euer WordPress schützt, verraten wir euch hier im Blog.

Kommentare

Heiko Schneider am
Hallo Lukas,

danke dir für den informativen Artikel zu den Auto Updates. Mich würde mal deine fachmännische Meinung als WordPress Entwickler zu den Dos and Don'ts interessieren.

Ich selbst arbeite jetzt seit ca. 15 Jahren ausschließlich mit WordPress und habe tatsächlich noch immer ein mulmiges Gefühl, wenn ich auf den „Aktualisieren“ Link klicke. Um Fehlerquellen beim Updaten direkt ermitteln zu können, update ich jedes Plugin einzeln und checke, ob es Auswirkungen auf die Seite im Frontend hat. Gilt natürlich nicht für kleine Helfer Plugins, aber für die „fetten Jungs“ in meiner Installation.

Bei Kundenseiten gehen wir oft sogar so weit, dass wir vor größeren Updates die Seite erst auf eine Staging-Umgebung ziehen.

Würdest du persönlich empfehlen, die automatischen Updates laufen zu lassen, oder wäre das etwas, was du vermeiden würdest?

Vielen Dank für deine Einschätzung

Heiko
Lukas Fritze am
Hallo Heiko,

ich hatte in den letzten Jahren keinerlei Probleme, dass ein Plugin-Update eine Seite zerstört hätte. Allerdings nutzen die meisten Seiten, die ich betreue, nicht sehr viele Plugins und damit auch nur recht selten einen der »fetten Jungs«.

Bei den kleineren bis mittelgroßen Plugins (z.B. auch bei CF7 oder ähnlichem) habe ich also keine Sorge die Auto-Updates zu aktivieren. Das erleichtert allen den Alltag. Im Zweifel habe ich ja immer noch meine regelmäßigen Backups, die ich zur Not wieder einspielen kann, oder aus denen ich eine alte Plugin-Version wiederherstellen kann.

Wenn du ein großes Plugin einsetzt, das für den Betrieb deiner Seite essentiell ist – beispielsweise sowas wie BuddyPress –, schadet es aber auf keinen Fall, den Umweg über die Staging-Umgebung zu machen, insbesondere wenn es Plugins zweiter Ordnung gibt, also Plugins, welche die API eines anderen Plugins nutzen.

Es kann aber auch hilfreich sein, die Versionssprünge unterschiedlich zu behandeln. Bei Patch-Level (*.*.2 → *.*.3) sollte eigentlich nichts passieren, da solchen Releases eigentlich nur Bug-Fixes enthalten – vorausgesetzt der Entwickler hält sich an Semantic Versioning-Konventionen. Bei Minor-Versionen (*.1 → *.2) ist das schon etwas kritischer. Hier kommt es für mich drauf an, ob ich dem Plugin-Entwickler vertraue, das er ausführlich getestet hat, und welche Erfahrungen ich in der Vergangenheit mit dem Plugin gemacht habe. Bei Major-Updates (Vollversionen) würde ich grade bei essentiellen Plugins nie ohne Staging arbeiten. Diese Abstufung geht aber ohne Weiteres natürlich nur, wenn du manuell auf’s Knöpfchen drückst.

Also kommt es aus meiner Sicht am Ende sehr stark darauf an, welche Plugins du einsetzt und ob die Seite direkt unbrauchbar ist, wenn mal eine Kleinigkeit in einem der Plugins hackt. Aber ich muss sagen, meine Erfahrungen mit den Auto-Updates sind bisher eigentlich durchweg positiv.

Ich hoffe die Antwort war hilfreich :)
Heiko Schneider am
Hi Lukas,

entschuldige, dass ich mich jetzt erst für deine super ausführliche Antwort bedanke. Ich war leider ein paar Tage ausgeknockt :-(

Die Antwort hat mir sehr geholfen, weil du ja nahe an der Strategie bist, die ich bislang für Updates selbst verfolgt habe. Die Versionssprünge werde ich in nächster Zeit auf jeden Fall noch intensiver im Blick haben. Wenn man selbst viele Websites betreut, gehen die Updates schon mal ein wenig unter. Und da liege ich gerne schon mal ein paar Versionen zurück.

Danke dir noch mal für die schnelle Antwort und viele Grüße

Heiko