automatische Updates Ja oder nein?

MrNight · 29. März 2022

Ein Hallo an die Profis von Wordpress

die die "inneren Geheimnisse" von WP kennen. Ich möchte hier mal die automatischen Updates zur Diskussion stellen.
meinerseits bin ich doch sehr verunsichert was den nun das richtige ist und was nicht und ich finde eigentlich keine Guideline zu diesem Thema. Es wird zwar überall PHP geschnipsel herumreicht und man kann als deaktivieren, oder auch nur teilweise, usw, doch was das beste ist finde ich nicht.

-WP möchte am liebsten alles offen für auto Update
-andererseits sollte man die Core Updates manuel machen?
-die Plugins aus Sicherheitsgründen autoupdaten Ja/nein?
-etc.

Ich kann ja nirgends nachlesen, ob das Update fehlerbehaftet ist oder nicht. Wer kann mir sagen, wie das die Profis handhaben, resp. welche Einstellung sind zu empfehlen. Würde gerne hören, wie das andere so machen.
Danke für euren Feedback.

MrNight

meisterleise · 29. März 2022

Klares NEIN von mir zu Autoupdates. Meine Argmentation dazu hier.

b3317133 · 30. März 2022

Ebenfalls klares Nein zu automatischen Updates, egal ob WordPress Core, Theme, Plugins.

JABA-Hosting · 30. März 2022

Klares JA, für die 0815 Benutzer. Sicherheit geht vor, für alles andere hat man ein Backup oder man bekommt es relativ einfach repariert, wenn etwas schief läuft.

Bei einem Hack kann es auch zu rechtliche Konsequenzen kommen, auch wenn es die wenigsten zur Anzeige bringen.

MrNight · 5. April 2022

Zitat von meisterleise: ↑

Klares NEIN von mir zu Autoupdates. Meine Argmentation dazu hier.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ich habe den anderen Tread mit den verschiedenen Argumenten gelesen und da gibts natürlich schon stimmige Argumente gegen Autoupdates.
nehmen wir also mal an, dass ich alle Updates deaktiviere und diese manuell mache: ich habe dann immer noch keine Infos, wwas gut oder schlecht ist, sondern muss mich dann einfach auf mein Bacjup verlassen?

MrNight · 5. April 2022

Wenn ich also alle 6 Monate ein Update mache, wie wäre dann vorzugehen? Jedes Teil einzeln und schauen was passiert, oder alles miteinander? Wo schaue ich nach, wenns dann nicht läuft?

r23 · 5. April 2022

Zitat von MrNight: ↑

Wenn ich also alle 6 Monate ein Update mache,
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

es ist mehr als fahrlässig alle 6 Monate ein Update zu installieren. Als Shopbetreiber hast du besondere Pflichten.
Wenn du kein automatisches Update manchen möchtest - (warum eigentlich nicht?) kannst du dir einen Dienstleiter suchen, der für dich die Updates installiert. => Job forum.

Wenn du dir eine Shopwartung nicht leisten kannst - überdenke dein Geschäftsmodell.

meisterleise · 5. April 2022

@MrNight
Der große Unterschied zwischen Autobackup und manuell ist, dass du genau weißt, wann was passiert ist und unmittelbar die Auswirkungen siehst. Wie oft du ein Backup machst und wie oft du aktualisierst, sollte davon abhängig sein, wie deine Website aufgestellt ist.

Privat oder geschäftlich

statisch oder regelmäßig neue Inhalte

mit oder ohne Shop

wenige ausgewählte Plugins oder viele Plugins und gerne auch mal neue Spielereien

u.a.

Für eine kleine private Seite finde ich auch alle 6 Monate akzeptabel, sofern ein lokales Backup vorliegt. Für geschäftliche Seiten eher quartalsweise, besser noch monatlich. Ich kenne Seiten, die sind seit 5 Jahren nicht aktualisiert, aber noch nie gehackt worden und Seiten, die im ersten Monat nach Eröffnung gehackt wurden. Oft steckt man nicht drin und es ist reine Glücksache. Daher ist viel wichtiger als die ständigen Aktualisierungen ein gutes Backup-Archiv, bei dem man im Notfall auch mal 3 Monate zurücksetzen kann.

Nebenbei: 95% der Plugin-Updates bieten keinen Mehrwert an Sicherheit, weil die Updates rein kosmetischer oder funktionaler Natur waren.

Für Kundenseiten gibt es bei mir immer grob folgendes Vorgehen:

Zyklus monatlich

Backup A (lokal archiviert)

Alle Caches leeren

Alles Updates durchführen: System, Plugins, Themes, ggf. PHP

Backend grob testen

Frontend genauer testen

Backup B (lokal archiviert)

Das sind meine persönlichen Erkenntnisse über viele Jahre Webdesign. Du findest hier auch völlig andere Meinungen (bspw. r23). Welche Argumentation für dich stimmig erscheint, musst du selbst herausfinden.

r23 · 5. April 2022

@meisterleise

Zitat von meisterleise: ↑

Der große Unterschied zwischen Autobackup und manuell ist, dass du genau weißt, wann was passiert ist und unmittelbar die Auswirkungen siehst.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

ach ... da musst du wirklich andere Plugins verwenden. Ich sehe bei einem Update - egal ob SEO oder Kontaktformular oder Such-Optimierer - erst einmal nichts - rein gar nichts.

Zitat von meisterleise: ↑

Wie oft du ein Backup machst und wie oft du aktualisierst, sollte davon abhängig sein, wie deine Website aufgestellt ist.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das spielt bei WordPress nach 2014 keine ROLLE mehr. Zur Erinnerung 2013 und 2014 verteilte ein Theme Marktplatz viele Theme mit Sicherheitslücken besonders ärgerlich war Timthumb und weitere.

Unser Innenminister war dermaßen begeistert, dass er ein Sicherheitsgesetz auf den Weg brachte 2014!

WordPress hat jetzt ein Entwicklerteam, was sich mit Sicherheitsfragen auskennt. 2014 halfen die Experten von Drupal aus.
WordPress löscht Plugins aus der Datenbank, wenn diese eine Sicherheitslücke enthalten, die nicht gefixt wurde. Löscht diese aber nicht bei Anwendern, noch werden die Anwender informiert.
Der Makrtplatz hat jetzt einen Blog und schreibt über Sicherheitslücken mal dort. Kunden werden weiterhin nicht informaiert.

Das BSI hat WordPress untersucht und einen Leitfaden zur Sicherung von WordPress veröffentlicht, mit vielen Handlungsempfehlungen

Das geplante IT-Sicherheitsgesetz sieht neue technische Auflagen für alle Betreiber von kommerziellen Webseiten vor. Der Schutz der Bürger werde auch dadurch geschehen, dass Telemediendienste, Webserver bis hin zu Onlineshops dazu verpflichtet würden, ihre Netze sicher zu betreiben, sagte Bundesinnenminister Thomas de Maizière (CDU) bei der Vorstellung des Gesetzentwurfs am Mittwoch in Berlin.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

https://www.golem.de/news/innenminister-de-maiziere-jeder-kleine-webshop-muss-sicher-sein-1412-111244.html

Zitat 2014

Ebenfalls ist offen, ob eine Installation, die nicht dem Stand der Technik entspricht, abgemahnt werden kann. Das heißt, wer derzeit beispielsweise noch kommerziell eine Wordpress-Version 3.x benutzt, könnte damit die Sicherheit seines Systems gefährden. Dies wäre auch der Fall, wenn Lücken in Verschlüsselungsstandards nicht beseitigt beziehungsweise gar keine Verschlüsselungsverfahren angeboten würden.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

in dem Koalitionsvertrag der Ampel steht
Sicherheitslücken "schnellstmöglich" schließen
https://www.golem.de/news/koalitionsvertrag-zeitenwende-bei-der-it-sicherheit-2111-161342.html

Und dir sollte bekannt sein, dass der TE einen Onlineshop betreibt - er stellt im WooCommerce Bereich Fragen mit Links zu seinem Shop.

meisterleise · 5. April 2022

Sehr schön. r23 hat meinen letzten Satz bestens bestätigt.

arnego2 · 5. April 2022

neuer ist nicht automatisch besser.
Anstelle Besucherzahlen zu beobachten öfter mal einen Blick in den Server werfen erspart viel Ärger.

MrNight · 5. April 2022

Danke euch für die Beiträge und Meinungen. Auch die intereressanten Links.
Ich sehen schon, auch hier gehen die Meinungen auseinander. Tatsache ist, dass bei den Autoupdates praktische jeden Tag irgendwas geupdatet wird.
Ich habe sicher die täglichen Backups und werde mal schauen wie sich das mit kontrolliereten Updates so anlässt. Das der Shop natürlich aktuell gehalten werden muss versteht sich von selbst. Mit dsem Update Manager habe ich einigermassen eine Kontrolle über das ganze Geschehen. Ich werde wieder Posten, wenn ich weitere Erfahrungen gesammelt habe.

MrNight

WPDE.org

automatische Updates Ja oder nein?

MrNight Member

meisterleise Well-Known Member

b3317133 Well-Known Member

JABA-Hosting Well-Known Member

MrNight Member

MrNight Member

r23 Well-Known Member

meisterleise Well-Known Member

r23 Well-Known Member

meisterleise Well-Known Member

arnego2 Well-Known Member

MrNight Member

Nützliche Suchen

automatische Updates Ja oder nein?

MrNight Member

meisterleise Well-Known Member

b3317133 Well-Known Member

JABA-Hosting Well-Known Member

MrNight Member

MrNight Member

r23 Well-Known Member

meisterleise Well-Known Member

r23 Well-Known Member

meisterleise Well-Known Member

arnego2 Well-Known Member

MrNight Member