Seit dem Versionssprung auf WordPress 4.2 Ende April ging es Schlag auf Schlag … die wachsamen WordPress-Entwickler reparieren freundlicherweise im Handumdrehen eine Sicherheitslücke nach der anderen. Sie kümmern sich um WordPress wie Eltern um ein Baby. Diese Reparaturen nutzen allerdings nichts, wenn diese tollen Updates weder automatisch noch manuell installiert werden …
Wie aktualisieren, wie Daten sichern?
Im Grunde ist Updaten keine große Sache, also fasst euch ein Herz und nehmt es in Angriff. Eine Reihenfolge zu beachten, kann dabei nicht schaden – zuerst die Plugins, dann Genesis Framework (falls vorhanden), dann WPML (falls vorhanden), dann WordPress:
- Ein Backup-Plugin wie BackWPup installieren,
- ein schnelles Datenbank-Backup machen,
- alle Plugins aktualisieren,
- WordPress aktualisieren,
- bei Bedarf die Themes aktualisieren (Genesis Framework aktuelle Version 2.1.2, Twentyfifteen & Co unbedingt aktualisieren, dort saß die letzte Sicherheitslücke …)
Und … aus die Maus. Wer keine Zeit für Updates hat, darf mich gern beauftragen, ich mache das gern.
Backup? Ein Nachtrag zu Punkt 2.
Am Backup scheitern die meisten Leute. Manche halten sich damit auf, die Vorgänge im Detail verstehen zu wollen, anstatt einfach auf „Datenbank sichern“ zu klicken;) Viele fürchten, beim Update ihre Website zu zerstören (was tatsächlich extrem selten passiert). Andere schrecken vor den „technischen“ Anleitungen zurück. Daher folgende Basics zum Backup:
Die hochgeladenen Daten aus der Mediathek, die Plugins und alle Themes liegen meist im Ordner wp-content auf der Festplatte des Hosters. Solche Daten können nur verloren gehen, wenn entweder der Server den Geist aufgibt oder die Installation böswillig zerstört wird, d.h. schädlicher Code diese Dateien zersetzt. Beides passiert ziemlich selten, aber ausschließen lässt es sich nicht. Manche Leute speichern den kompletten wp-content-upload-Ordner per ftp lokal – was allerdings u.U. eine enorme Datenmenge mit sich bringt. Vielleicht macht der Hoster bereits regelmäßig Backups? Die Frage ist: Welcher Speicherplatz ist sicherer, als der eigene Webspace? Größere Websites gehören ohnehin in professionelle Hände.
Bei kleinen Websites, die selten geändert werden, genügt im Grunde ein komplettes Backup alle paar Monate oder vielleicht nur einmal im Jahr. Die Beiträge, Seiten und Benutzer sind schnell mal eben gesichert über den xml-Export unter Werkzeuge. Ein komplettes Datenbankbackup liefern Plugins wie BackWPup frei Haus, wie natürlich auch phpmyadmin. Mit so einem Backup kann eine Website im Fall des Falles schnell wieder aufgebaut werden. Übrigens ist bei kleinen Websites so.ch ein gezipptes Update gerade mal 3 MB groß, wenn überhaupt. Fazit: Alles keine Zauberei.
Mythos automatische Aktualisierung
Längst nicht alle Installationen ermöglichen automatische Aktualisierungen. Manchmal sind dazu ftp-Zugangsdaten nötig (im Verwaltungsbereich des Hosters zu finden). Versionssprünge (=Upgrades), z.B. von 4.1 auf 4.2, werden ohnehin nicht automatisch eingespielt – ein verbreitetes Wunschdenken. Bei Plugins geht das Updaten sowieso nicht automatisch – außer bei einigen Hostingverträgen, die das neuerdings explizit mit anbieten. Gerade diese kleinen, kostenlosen Plugins aus den Bastelstuben dieser Welt sind jedoch oft der Haken. Oft sind es sicherheitsrelevante Plugin-Updates, die umgehend installiert werden sollten (wie Anfang Mai für Jetpack!). Andere Plugins müssen nach einiger Zeit gelöscht bzw. ersetzt werden, weil sie niemand weiter pflegt.
Einbrecher lieben offene Türen
Wer meint, die eigene Website sei so klein, unwichtig und unauffällig, dass sie für Einbrecher uninteressant wäre, täuscht sich. Merke: Der Website-Betreibende haftet meist selbst für entstandene Schäden. Da hat die nette Kunstlehrerin mit ihren Uralt-Scripten noch mal Glück gehabt, dass wir diese riesige chinesischsprachige Monsterinstallation – vermutlich zum Abgreifen von Kreditkartendaten – auf ihrem Shared Server Plätzchen zufällig entdeckt haben und stoppen konnten.
Hundertprozentige Sicherheit bietet kein CMS der Welt. Eine gut gepflegte WordPress-Installation ist sicher und stabil. Ein weiser Mann vom Schlüsseldienst sagte einst nach einem Einbruch in einen Kreuzberger Laden, den ich früher mal hatte: Wo es eine Tür gibt, kommen nicht bloß Kunden, sondern eben auch Einbrecher rein. Man kann nur versuchen, ihnen den Einbruch so schwer wie möglich zu machen … Eisengitter, Schlösser, Alarmanlagen, aufmerksame Nachbarn … In der virtuellen Welt ist das nicht anders.
Wartungs- und Sicherheitsupdates
Ein paar offizielle Update-Infos:
- Version 4.2.2 behob Sicherheitslücken sowie 13 Fehler. Weitere Informationen findest du in den Veröffentlichtungsmitteilungen. codex.wordpress.org/Version_4.2.2 Version 4.2.1 hat eine Sicherheitslücke behoben. de.wordpress.org
- Auf dem Laufenden bleiben: blog.sucuri.net
- WordPress Taverne: wptavern.com