Sicherheit

Immer wieder ein Thema, die Sicherheit der eigenen Seite.
Wenn man aufmerksam die üblichen Kanäle wie Twitter oder Google+, wenn es sein muss auch Facebook, verfolgt, entkommt man ihnen nicht. Den Meldungen dass es mal wieder das Blog von Kandidat X erwischt hat und dieses durch eine Sicherheitslücke einer Erweiterung oder eines Scriptes im Theme „gehackt“ wurde. Ich erinnere mich da immer noch an die sache mit diesem ominösem TimThumb-Ding. Wie viele hats dabei erwischt? Genug, und viele haben gebetet, dass sie nicht die nächsten sind. Dabei ist die Lösung eigentlich ganz simpel – updaten. Die meisten Entwickler bekommen solche Schwachstellen relativ schnell mit und fixen diese auch recht schnell.

Wenn eine Seite „gehackt“ wurde, liegt es oftmals daran, dass die verwendete Software veraltet ist. Dabei ist es egal ob es sich um WordPress, ein Plugin, ein Theme oder die des Server handelt. Es wurde immer eine Schwachstelle der entsprechenden Version ausgenutzt.

Kompatibilität

Ein Argument für ein Update ist auch oft die Kompatibilität der verschiedenen Komponenten zu einander. Ok, zugegeben, dies kann auch ein Grund gegen ein Update sein, aber in diesem Falle sollte man eher an die Sicherheit denken und eventuell Alternativen suchen.

Was die Kompatibilität angeht, fällt es mir aktuell bei WordPress auf. Im 3.4er Release wurden unter anderem die Funktionen für den Theme-Support angepasst und somit die bisher Gültigen als „deprecated“ markiert. Diese werden wohl über kurz oder lang rausfallen. Ein Weckruf an alle Themeentwickler die Themes anzupassen. :-)

Auch kommen bei neueren Versionen gerne auch neue Funktionen hinzu, so kann es durchaus sein, dass ein Plugin oder ein Theme erst ab einer gewissen WordPress-Version funktioniert. Wieder ein Grund für ein Update.

Notwendigkeit und Risiken

Natürlich sollte man sich immer absichern, auch bei Updates. Denn eine neue Version ist auch nur von einem Entwickler geschrieben worden und diese sind, entgegen der weitläufigen Meinung, auch nur Menschen. Ok, teilweise sehr eigenartige Menschen, aber es sind Menschen. Also kann die neue Version eventuell selbst Fehler aufweisen und nicht nur vorhandene Lücken schließen, sondern eventuell eine neue öffnen. Somit empfehle ich auch bei Updates, diese immer erst vorher in einem Testsystem zu testen.

Auch ist nicht immer jedes Update da, die Software zu abzusichern oder neue Funktionen bereit zu stellen. Es kann durchaus vorkommen, dass ein Update auch einfach nur ästhetische Gründe hat. Zum Beispiel das Look and Feel. Neue Oberfläche, schicker, moderner, cooler. Oder auch einfach um den Code aufzuräumen. Was in der Version neu ist, steht aber meist in einem Changelog. Lesen hilft da und kann die Entscheidung erleichtern, ob man sofort updaten sollte, oder ob es noch etwas Zeit hat.

Wenn es jedoch um den Kern einer Seite geht, also das CMS – in unserem Falle WordPeress, dann sollte man doch schon die Updates mitnehmen, denn dies sind in der Regel Bugfixes, Sicherheitupdates oder eben neue Funktionen. Die Jungs, die sich an WordPress verwirklichen sind da in der Regel wirklich schnell.

Fazit

Updaten definitiv ja, aber nicht unbedingt ungetestet.Da auf einer Webseite, welche ein CMS wie WordPress verwendet, mehrere Faktoren zusammen kommen, kann es durch ein Update zu Problemen kommen, welche man dann so schnell nicht mehr los wird. Dann hilft oftmals nur noch der Gang zu einem, der sich damit auskennt. Und meine Seite habt ihr ja schon gefunden, da ist es nicht mehr weit *lach*

In diesem Sinne

Artikel / Seite weiterempfehlen

9 Meinungen zu “Webmaster-Friday: Wie wichtig sind WordPress-Updates?

  1. Hallo H.- Peter,

    wie bereits vorhin bei http://www.webmasterfriday.de geschrieben:

    Updates installiere ich prinzipiell sehr zeitnah. Egal, ob auf meinem Blog oder Software-Updates auf meinem PC.

    Schlechte Erfahrungen habe ich bei einigen installierten PlugIns von WordPress bereits gemacht – bis dahin, dass ich eines »entsorgt« habe.

    Datensicherung schreibe ich ebenfalls groß. Wenn mal etwas schief geht, kann ich die alte Version problemlos zurückspielen.

    Gruß
    Martina

    • Erst letztens hatte ich nen Plugin, welches in WordPress nach dem Update das Dashboard etwas aus der Form gebracht hatte. Aber der Entwickler hat es sehr schnell gemerkt und innerhalb von 30 Minuten nen Fix nachgeschoben. Aber auch einen Kandidaten der WP komplett ins Nirvana kegelte hatte ich schon auf der Liste. Aber da ich so etwas nie ohne vorherigen Test ins Live-System portiere, war das alles recht unproblematisch.

      Datensicherung ist natürlich ein weiteres Stichwort, was gerne vergessen wird. Ohne geht mal gar nichts.

  2. na ja, beim PC bin ich mit Updates sehr vorsichtig und update eigentlich auch nur, wenn es wirklich sinnvolle, tolle Features gibt oder so, ganz nach dem Motto „Never change a running system…“ :-)
    das kenne ich von Symbian, weil da gerne Funktionen entfernt werden – daher sind Changelogs meiner Ansicht nach auch ein Muss…

    bei WordPress komme ich nicht immer dazu und aktuell scheitert mein WordPress-Update auf 3.4 auch daran, dass der Hoster noch php 5.2 drauf hat, weswegen ich ihn bereits kontaktiert habe :-)

  3. Ich upgrade meine Kundenprojekte nach der Neuerscheinung eines Updates direkt nach dem Studium der Changelog. Jedoch bin ich kein Fan der Autoupgrade-Funktion, sondern gehe lieber den manuellen Weg. Außerdem sollte man stets einen eigenen Theme-Ordner haben, um keine bösen Überraschungen zu erleben (der twentyten und twentyeleven Ordner wird überschrieben) und die Webseite nach erfolgtem Upgrade ausführlich testen.

  4. Updates sind wichtig, auf jeden Fall. Nichts ist ärgerlicher wenn man dann viel Arbeit und viel Zeit in ein gehacktes System investieren muss. Vor allem wenn es dann um Kundenprojekte geht. Meine Vorgehensweise ist eigentlich immer die selbe:

    Dump der Datenbank über Konsole
    Tar’en aller Files über Konsole
    Wegspeichern des Backups
    Alles was sich updaten lässt wird ugedatet
    Prüfen ob alles noch läuft

    Wenn man das immer macht, aleso immer dann sobald ein Update erscheint hält sich die Arbeit in grenzen. Wenn aber immer 3 bis 5 Jahre wartet mit den Updates wird es schwierig *g*

  5. Meine Website läuft auch auf WordPress und ich versuche immer möglichst zeitnah die Updates einzuspielen um Sicherheitslücken zu schließen. Da ich auch schon einmal Inkompatibilitäten mit meinem Theme beobachtet habe, installiere ich alles erstmal lokal unter XAMPP. Wenn dann alles funktioniert erfolgt erst die Produktivschaltung.
    Für alle Fälle sollte man aber noch ein Backup erstellen, falls dann doch mal etwas schief geht.

  6. Natürlich sind Updates manchmal mit Vorsicht zu genießen. Gerade dann, wenn die Webseite im laufenden Betrieb geupdated werden soll. Ich habe immer noch einmal eine MAMP Spiegelung lokal laufen….nur zum Testen :)

Schreibe einen Kommentar

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind durch * markiert.

Sie können folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>