Feature-Preview: Automatische Updates für Themes und Plugins in WordPress

Bereits mit der WordPress Version 3.7 vom Oktober 2013 wurden automatische Updates für den Core von WordPress eingeführt. Hierbei werden in der Standardkonfiguration nur Wartungs- und Sicherheits-Releases installiert – Sprünge auf neue Hauptversionen nicht. Da WordPress aber der Motor für gut ein Drittel aller Websites ist, war es dem Core-Team wichtig, dass bei einem Update nicht plötzlich ein großer Teil der Websites lahmgelegt wird. Daher werden erst mal nur die wichtigsten Updates automatisch installiert. Mehr dazu erfährst du im folgenden Feature-Preview.
 

Mit der für Anfang August geplanten Version WordPress 5.5 sollen auch automatische Plugin- und Theme-Updates in den Core übernommen werden. Das Feature wird, wie für große Neuerungen üblich, in einem sog. Feature-Plugin separat entwickelt und dann in den Core übernommen. Wir haben für dich schon mal einen Blick auf die Beta geworfen. Beachte bitte: Die genaue Darstellung kann sich natürlich noch ändern, schließlich handelt es sich um eine Beta-Version. ;-)

Auto-Updates aktivieren

Feature-Preview WordPress 5.5: Auto-Updates aktivieren.


Das Aktivieren der automatischen Updates für einzelne Plugins ist denkbar einfach. Warum nur für einzelne Plugins? Dazu später mehr. In der Liste der installierten Plugins gibt es aber nun eine weitere Spalte. Hier wird für jedes Plugin der Status angezeigt, ob autmatische Updates aktiviert sind oder nicht. Außerdem ist ein jeweiliger Button zum Ändern des Status zu sehen.

 

Für Plugins, bei denen das Auto-Update-Feature nicht aktiviert ist, ändert sich nichts. Ist jedoch ein Update verfügbar, wird der bekannte gelb hinterlegte Update-Hinweis angezeigt. Sind für ein Plugin automatische Updates aktiv, wird zusätzlich zu dem Update-Hinweis die Information angezeigt, wann das Update automatisch installiert wird.
 

Automatische Updates für Themen

Für Themes sieht das ähnlich aus: Hier findest du den Button zum Aktivieren in der Detailansicht des Themes. Und auch hier werden an dieser Stelle Informationen zum geplanten Update-Zeitpunkt angezeigt.

Das war's eigentlich auch schon zum Vorgehen. Weitere Details zu dem Thema möchte ich dir aber nicht vorenthalten. Daher hier noch ein paar Hintergrundinfos

Warum überhaupt updaten?

WordPress hat unter den Content Management Systemen einen Marktanteil von ~60 % und ist damit der unangefochtene Platzhirsch. Gleichzeitig ist der Quelltext des Cores und vieler Plugins Open Source. Das bedeutet: Jeder kann sich die Quellen anschauen und nach Lücken suchen. Software und insbesondere so ein komplexes System wie WordPress kann nicht perfekt und ohne Fehler sein. Sobald eine neue Version veröffentlicht wird, kann so zum Beispiel auch jeder sehen, welche Lücken geschlossen wurden. Die Angriffsmöglichkeiten werden so quasi auf dem Silbertablett serviert. Genau deshalb ist es wichtig, Updates möglichst zeitnah zu installieren!

 

Einige mögen sich vielleicht denken: "Wer sollte mich schon angreifen, ich habe doch nur eine kleine Seite?"Dazu sei erklärt: Viele der Angriffe richten sich nicht gegen spezifische Seiten. Vielmehr kommen sie von automatisierten Bots, die die Anfragen an zufällige Seiten schicken. Ziel ist hierbei oft, Maleware oder Links zu fragwürdigen Seiten zu verbreiten oder die Server-Leistung für ein Bot-Netz zu nutzen. Und das kann wirklich jeden treffen.

 

Ein regelmäßiges Update ist mit einer Instandhaltung eines Autos zu vergleichen. Schließlich wechselst du bei deinem Auto ja auch regelmäßig die Reifen, tankst nach, machst einen Ölwechsel und lässt alle zwei Jahre den TÜV erneuern.

Warum kommen die automatischen Updates erst jetzt?

Bisher wurden automatische Updates für alle Nutzer nur bei sehr kritischen Fehlern in sehr häufig genutzten Plugins durchgeführt. Solche Entscheidungen werden vom WordPress Security Team getroffen, welches das Risiko der Lücke und einer möglichen Inkompatibilität abwägen muss. 

Plugins könnten sich gegenseitig in die Quere kommen

Und da sind wir auch schon bei einem der wichtigsten Gründe, warum automatische Updates für Plugins bisher nicht vorgesehen waren. Denn bei der Vielzahl an Plugins, die sich allein im offiziellen Repository befinden – zum Zeitpunkt des Artikels ~57,060 –, kann es durchaus vorkommen, dass Plugins sich gegenseitig in die Quere kommen. Das kann zum Beispiel passieren, wenn zwei Plugins in dieselbe Komponente eingreifen oder  eine sehr ähnliche Funktionalität umsetzen wollen. 

 

Es kann aber auch vorkommen, dass zwei Plugins sich zunächst gut miteinander "vertragen". Doch dann wird das eine Plugin mit einem Update leicht angepasst. Und durch diese Anpassung kommt es erst dann zu einem Konflikt der beiden Plugins. Damit das nicht im Hintergrund passiert, wenn der Betreiber der Seite es nicht mitbekommt, wurden Plugin-Updates bisher manuell per Knopfdruck gestartet.

Entscheide selbst, welche Updates du automatisch durchführen lassen willst

In den letzten Jahren hat sich bei den Plugins aber viel getan. Zudem halten sich die Entwickler immer mehr an die Entwicklungsstandards, und Inkompatibilitäten sind sehr viel seltener geworden. Außerdem kannst du die Updates auch nur für bestimmte Plugins aktivieren. Beispielsweise für solche, denen du vertraust und mit denen du bei Updates gute Erfahrungen gemacht hast. Andere Plugins können ja weiterhin manuell installiert werden. Zur höchsten Sicherheit führst du am besten im Anschluss noch manuelle Tests durch.

Auto-Updates schon jetzt

Für Profis gibt es Auto-Updates für Themes und Plugins tatsächlich auch schon eine Weile. Allerdings sind sie als Filter versteckt, den man nur in einem Plugin mit selbst geschriebenem PHP-Code aktivieren kann. Daher ist dieses Feature nicht in der breiten Masse angekommen und wurde nur relativ spärlich genutzt.

Fazit

Die Auto-Updates für Themes und Plugins sind der nächste Schritt, um das Pflegen von WordPress Websites weiter zu vereinfachen. Dafür wird die Funktion, die bisher größtenteils Entwicklern vorbehalten war, für alle Websitebetreiber einfach zu nutzen und mit wenigen Klicks zu aktivieren. Trotzdem solltest du das Feature mit Bedacht aktivieren und deine Seite regelmäßig überprüfen.

Kommentare

  1. Heiko Schneider am
    Hallo Lukas,

    danke dir für den informativen Artikel zu den Auto Updates. Mich würde mal deine fachmännische Meinung als WordPress Entwickler zu den Dos and Don'ts interessieren.

    Ich selbst arbeite jetzt seit ca. 15 Jahren ausschließlich mit WordPress und habe tatsächlich noch immer ein mulmiges Gefühl, wenn ich auf den „Aktualisieren“ Link klicke. Um Fehlerquellen beim Updaten direkt ermitteln zu können, update ich jedes Plugin einzeln und checke, ob es Auswirkungen auf die Seite im Frontend hat. Gilt natürlich nicht für kleine Helfer Plugins, aber für die „fetten Jungs“ in meiner Installation.

    Bei Kundenseiten gehen wir oft sogar so weit, dass wir vor größeren Updates die Seite erst auf eine Staging-Umgebung ziehen.

    Würdest du persönlich empfehlen, die automatischen Updates laufen zu lassen, oder wäre das etwas, was du vermeiden würdest?

    Vielen Dank für deine Einschätzung

    Heiko
    Antworten
    1. Lukas Fritze am
      Hallo Heiko,

      ich hatte in den letzten Jahren keinerlei Probleme, dass ein Plugin-Update eine Seite zerstört hätte. Allerdings nutzen die meisten Seiten, die ich betreue, nicht sehr viele Plugins und damit auch nur recht selten einen der »fetten Jungs«.

      Bei den kleineren bis mittelgroßen Plugins (z.B. auch bei CF7 oder ähnlichem) habe ich also keine Sorge die Auto-Updates zu aktivieren. Das erleichtert allen den Alltag. Im Zweifel habe ich ja immer noch meine regelmäßigen Backups, die ich zur Not wieder einspielen kann, oder aus denen ich eine alte Plugin-Version wiederherstellen kann.

      Wenn du ein großes Plugin einsetzt, das für den Betrieb deiner Seite essentiell ist – beispielsweise sowas wie BuddyPress –, schadet es aber auf keinen Fall, den Umweg über die Staging-Umgebung zu machen, insbesondere wenn es Plugins zweiter Ordnung gibt, also Plugins, welche die API eines anderen Plugins nutzen.

      Es kann aber auch hilfreich sein, die Versionssprünge unterschiedlich zu behandeln. Bei Patch-Level (*.*.2 → *.*.3) sollte eigentlich nichts passieren, da solchen Releases eigentlich nur Bug-Fixes enthalten – vorausgesetzt der Entwickler hält sich an Semantic Versioning-Konventionen. Bei Minor-Versionen (*.1 → *.2) ist das schon etwas kritischer. Hier kommt es für mich drauf an, ob ich dem Plugin-Entwickler vertraue, das er ausführlich getestet hat, und welche Erfahrungen ich in der Vergangenheit mit dem Plugin gemacht habe. Bei Major-Updates (Vollversionen) würde ich grade bei essentiellen Plugins nie ohne Staging arbeiten. Diese Abstufung geht aber ohne Weiteres natürlich nur, wenn du manuell auf’s Knöpfchen drückst.

      Also kommt es aus meiner Sicht am Ende sehr stark darauf an, welche Plugins du einsetzt und ob die Seite direkt unbrauchbar ist, wenn mal eine Kleinigkeit in einem der Plugins hackt. Aber ich muss sagen, meine Erfahrungen mit den Auto-Updates sind bisher eigentlich durchweg positiv.

      Ich hoffe die Antwort war hilfreich :)
      Antworten

Kommentar hinzufügen

    Notwendige Cookies akzeptieren
    Notwendige Cookies
    Diese Cookies sind für die korrekte Anzeige und Funktion unserer Website ein Muss, ob sie dir schmecken oder nicht. Sorry.
    Analyse
    Diese Cookies ermöglichen uns die Analyse deiner Website-Nutzung. Nur so können wir deine Suche nach einem geeigneten Tarif zur besten machen.
    Marketing
    Diese Cookies teilen wir. Unsere Partner (Drittanbieter) und wir verwenden sie, um dir auf deine Bedürfnisse zugeschnittene Werbung zu unterbreiten.