WordPress

Wie wichtig sind WordPress-Updates?

Der Web­mas­ter Fri­day fragt: Wie wich­tig sind Wor­d­Press-Updates? und möch­te wis­sen, ob man immer sofort updaten oder gele­gent­lich mal war­ten soll, falls ein Update Fehl­funk­tio­nen hat.

Ich den­ke, es kommt drauf an. Ent­hält ein Update – sei es nur eines Plugins oder für den Wor­d­Press-Core – einen wich­ti­gen Sicher­heits-Patch, emp­feh­le ich, so schnell wie mög­lich upzu­da­ten. Denn selbst wenn es zu einer Fehl­funk­ti­on kommt, ist das immer noch das klei­ne­re Übel im Ver­gleich zu einem Blog, in das ein­ge­bro­chen wur­de. Han­delt es sich dage­gen um ein rein funk­tio­na­les Update, das kei­ne Sicher­heits­pro­ble­me behebt, emp­fiehlt es sich ins­be­son­de­re beim Update des Core, ruhig mal ein paar Tage war­ten, bis ande­re Blog­be­trei­ber von even­tu­el­len Pro­ble­men berich­tet haben und die­se viel­leicht sogar schon gefixt wor­den sind. Gene­rell emp­fiehlt es sich, vor dem Update des Core oder von Plugins das Chan­ge­log zu lesen, um in Erfah­rung zu brin­gen, was ver­än­dert wur­de.

Auf gar kei­nen Fall dage­gen soll­te man mei­ner Mei­nung nach dem Prin­zip „Never chan­ge a run­ning sys­tem” fol­gen, wie es offen­bar vie­le Blog­be­trei­ber tun. Ich habe schon Blogs erlebt, die über Jah­re nicht upge­da­tet wur­den. Die Fol­ge waren oft kom­pro­mit­tier­te Sys­te­me. Ob nun Unwis­sen­heit um die Wich­tig­keit von Updates, Angst vor Fehl­funk­tio­nen oder gene­rel­le Über­for­de­rung mit dem Sys­tem die Ursa­chen für jah­re­lang ver­schlepp­te Updates sind, läßt sich oft schwer ein­schät­zen. Dabei habe ich noch kei­ne Fehl­funk­ti­on eines Blogs nach einem Update erlebt, die nicht beheb­bar war. Nach einem Ein­bruch in das Blog dage­gen kön­nen Daten unwie­der­bring­lich ver­lo­ren sein (ins­be­son­de­re wenn man kei­ne Back­ups hat, womit wir bei der Wich­tig­keit von Back­ups wären, aber das ist wie­der ein ande­res The­ma. Dazu in einem ande­ren Post mehr).

Will oder kann man sich nicht selbst um Updates küm­mern, so gibt es zwei Mög­lich­kei­ten. Man kann einen Dienst­leis­ter beauf­tra­gen, der die­se Auf­ga­be über­nimmt. Eine ande­re Alter­na­ti­ve ist, das eige­ne Blog auf http://www.wordpress.com zu hos­ten und nicht auf dem eige­nen Webs­pace. Auch dann muss man sich nicht um Updates küm­mern.

Update vom 08. 08. 2012: Wie wich­tig Wor­d­Press-Updates sind, zeigt aktu­ell ein ein­drück­li­cher Fall. Eine Lücke in einer ver­al­te­ten Wor­d­Press-Ver­si­on wur­de aus­ge­nutzt, um im Blog der gro­ßen Nach­rich­ten­agen­tur Reu­ters gefälsch­te Berich­te zur Situa­ti­on in Syri­en zu plat­zie­ren. Da Wor­d­Press offen­bar auch bei gro­ßen Agen­tu­ren und Fir­men zum Ein­satz kommt, kann eine sol­che Mani­pu­la­ti­on schnell gro­ße, viel­leicht sogar welt­wei­te Fol­gen haben.

Update vom 17. 08. 2012: Der­zeit rollt wohl auch eine Angriffs­wel­le auf nicht aktu­el­le Wor­d­Press-Blogs, die dazu dient, den Blogs Schad­soft­ware unter­zu­schie­ben und zum Down­load anzu­bie­ten. Opfer wer­den mit­tels Spam zum Down­load der Schad­soft­ware ver­lei­tet. Details zu die­sem Angriff fin­den sich auf der Web­site des lesens­wer­ten IT-Secu­ri­ty-Maga­zins hakin9. Sol­che und ande­re Angrif­fe auf Web­soft­ware sind kei­ne Sel­ten­heit. Wer ver­hin­dern will, dass über das eige­ne Wor­d­Press-Blog Spam oder gar Schad­soft­ware ver­teilt wird, soll­te daher sein Blog unbe­dingt aktu­ell hal­ten.

Wel­che Erfah­run­gen haben Sie mit Updates gemacht? Lief immer alles pro­blem­los? Und wenn es Pro­ble­me gab, konn­ten Sie sie selb­stän­dig lösen? Die Fra­ge, wie regel­mä­ßig Sie updaten, möch­te ich an die­ser Stel­le nicht stel­len, weil das unter Umstän­den zum Sicher­heits­ri­si­ko für Ihr Blog wer­den kann. Sie soll­ten dar­auf auch in den Kom­men­ta­ren ach­ten.

Published by

4 thoughts on “Wie wichtig sind WordPress-Updates?

  1. Wenn man mich fragst – Updates sind über­le­bens­wich­tig für ein Blog. Wenn man kei­ne all­zu grau­sam pro­gram­mier­ten Plugins ein­setzt funk­tio­nie­ren die­se auch pro­blem­los nach einem Core-Update. Und ansons­ten gibt es immer­noch diff und patch bzw. auch git – ich habe ein eige­nes klei­nes Patch Repo­si­to­ry mit dem ich nach­träg­lich gemach­te Ände­run­gen an Plugins nach den Updates inner­halb von Sekun­den wie­der in die neue Ver­si­on ein­spie­len kann.

    Wenn man also sei­ne Mit­men­schen nicht mit Spam oder Viren-Links ner­ven will (genau dafür wer­den geka­per­te Blogs näm­lich ver­wen­det) soll­te man tun­lichst sei­nen Hin­tern hoch­krie­gen und min­des­tens ein mal pro Woche Updaten. Oder sich ein wordpress.com Blog holen.

    1. Sehe ich zumin­dest bei Plugins wie du. Core-Updates kom­men ja zum Glück wesent­lich sel­te­ner als ein­mal die Woche. Und da kann es schon mal sein, dass zumin­dest eine x.0‑Version Bugs hat, wes­we­gen man da auf Erfah­run­gen war­ten soll­te, wenn kei­ne wesent­li­chen Sicher­heits­up­dates dabei sind.

    1. Plugins wür­de ich ohne­hin immer sofort updaten. Der Rat, mal zu war­ten, bezieht sich auf Updates des Core.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.