In diesem Artikel möchte ich Ihnen zeigen, wie Sie WordPress sicher updaten und Ihre Website selbständig auf dem neuesten Stand halten.

Damit Sie Ihre WordPress Installation ohne Komplikationen aktualisieren können, ist es wichtig, dass schon während der Website-Erstellung darauf geachtet wird, so wenige Plugins wie möglich zu nutzen. Ich habe schon WordPress Websites gesehen, die zwischen 30-50 Plugins installiert hatten. Das ist in den allermeisten Fällen viel zu viel und absolut unnötig. Das ist häufig dann der Fall, wenn der zuständige Admin nicht wusste, wie man simple Änderungen über CSS oder auch über ein Child Theme lösen kann. So wird in diesen Fällen häufig für jede Kleinigkeit ein separates Plugin installiert.

Das eigentliche Problem mit zu vielen Plugins, ist die deutlich höhere Gefahr, bei Updates auf Kompatibilitätsprobleme zu stoßen. Je mehr Plugins miteinander auskommen müssen, desto schwieriger kann es werden. Daher kann ich Ihnen nur ans Herz legen, nur Plugins zu installieren, die wirklich notwendig sind.

Wenn Sie Ihre WordPress Website seit mehr als 2 Jahren nicht aktualisiert haben, könnte es auch hier zu Problemen kommen. Das ist eine Geschichte, die man nur Case by Case beurteilen kann. Problematisch wird es vor allem dann, wenn Plugins mittlerweile aus dem offiziellen Plugin Verzeichnis auf WordPress.org verschwunden sind. In einem solchen Fall werden Sie wohl nicht drumherum kommen, alte Plugins gegen neue auszutauschen, um sicher auf die aktuelle WordPress Version zu updaten.

Machen Sie nur WordPress Updates, wenn ein aktuelles Backup existiert

WordPress Sicherungen - Backups mit UpdraftPlus

Achten Sie darauf, immer ein aktuelles Backup Ihrer WordPress Website zu haben. Vor großen Updates können Sie auch vor dem Update noch manuell ein Backup anstoßen. An dem Google Drive Icon sehen Sie, dass Ihr Backup erfolgreich bei Google Drive gespeichert wurde.

Hier gilt das Motto „better safe, than sorry“! Aus meiner Sicht ist UpdraftPlus* das beste kostenlose Plugin zum Erstellen von Backups. Dieses Plugin legt nicht nur in regelmäßigen Intervallen (von Ihnen festgelegt) automatisch Backups Ihrer WordPress Website an, Sie können auch jederzeit ein manuelles Backup anstoßen.

Achten Sie beim Konfigurieren des Plugins darauf, Ihr Backup auch Remote zu speichern. Sie können dafür zum Beispiel Google Drive oder auch Ihr Dropbox Konto auswählen. Denn wenn im absoluten Worst Case Szenario der ganze Webserver betroffen ist, hilft Ihnen ein Backup auf eben diesem Server herzlich wenig. Dann sind Sie froh, dass Ihre Backups auch in der Cloud liegen.

Bevor Sie also Ihre WordPress Version / Plugins oder Ihr Theme updaten, stellen Sie sicher, dass ein aktuelles Backup bereitliegt. Sie müssen immer damit rechnen, dass Sie bei Problemen nach einem Update Ihre Website durch das Backup wiederherstellen müssen. Bevor Sie aber zur Wiederherstellung greifen, prüfen Sie erst einmal, woran das Problem liegen kann. Vielleicht lässt es sich auch kurzfristig durch das Deaktivieren eines Plugins lösen. Dann kann man auf ein weiteres Update warten (das kann vor allem nach einem Major Update mal vorkommen).

Nur wenn Plugins bereits kompatibel sind, können Sie WordPress sicher updaten (Major Updates)

WordPress Plugin Updates: Achten Sie auf die Bestätigung zur Kompatibilität des Autors

WordPress Plugins: Achten Sie auf die Bestätigung zur Kompatibilität des Autors!

Wenn Sie auf der Seite für die WordPress-Aktualisierungen sind, sehen Sie, ob die Plugins bereits mit der aktuellen WordPress Version kompatibel sind. Es ist ratsam, nicht direkt nach einem Major Update (das sind zweistellige Updates wie aktuell 5.3) zu updaten. Warten Sie, bis die Plugin-Entwickler die Möglichkeit hatten, ihre Plugins auf Kompatibilität mit der neuesten WordPress Version zu testen. Ist ein Plugin-Update kompatibel, sehen Sie das anhand der letzten Zeile. Da steht dann folgendes: Kompatibilität mit WordPress 5.3: 100 % (laut Autor). Wenn Sie diesen Hinweis sehen, können Sie erst einmal davon ausgehen, dass Sie problemlos Ihr Update machen können.

Wichtig: Wenn die meisten Plugins laut den Autoren kompatibel sind, machen Sie erst das WordPress Update und danach die Plugin Updates.

Minor Updates macht WordPress mittlerweile automatisch, das sind die 3-stelligen Nummern (Beispielsweise 5.3.1). Bei diesen Updates kann in der Regel nichts passieren.

Verwenden Sie nur WordPress Plugins, die regelmäßig aktualisiert werden

WordPress sicher updaten - Veraltete Plugins löschen

Wordfence Security hilft Ihnen, veraltete Plugins zu erkennen. Wenn Sie diese Nachricht in Ihrem Scan sehen, suchen Sie so schnell wie möglich einen Ersatz für das betroffene Plugin und entfernen Sie das alte.

Die größten Sicherheitslücken entstehen durch veraltete Plugins, die teils sogar aus dem WordPress Verzeichnis geflogen sind. Diese gilt es vollends zu beseitigen. Achten Sie immer darauf, dass Sie nur Plugins nutzen, die zum einen schon häufig installiert wurden (immer ein gutes Zeichen, viele Nutzer heißt auch viel User-Feedback/schnelle Bugfixes) und außerdem regelmäßig (muss je nach Plugin auch nicht alle 2 Wochen sein) geupdatet werden. Nur wenn das Plugin aktiv durch einen Entwickler gepflegt wird, können Sie sich sicher sein, dass dieses auch mit zukünftigen WordPress Installationen reibungslos funktioniert. So sorgen Sie für eine zukunftssichere Website.

Plugin Empfehlung: Wordfence Security – Firewall & Malware Scan

WordPress Sicherheit steigern mit Wordfence

Unsere eigene Website und all unsere Kundenprojekte nutzen das kostenlose Plugin Wordfence Security. Das Plugin ist die bekannteste Sicherheitslösung für WordPress und sorgt mit einer Firewall und einem Malware Scanner für hohe Sicherheit. Praktisch: Auch veraltete Plugins werden von dem Plugin angekreidet. Wenn Sie also auf die E-Mails von Wordfence achten, sollten Sie keine Probleme bekommen (es gibt allerdings keinen Grund bei jeder E-Mail direkt in Panik zu verfallen). Wenn ein installiertes Plugin eine bekanntgewordene Sicherheitslücke geschlossen hat, bekommen Sie ebenfalls eine E-Mail und können sofort darauf reagieren. Mehr über UpdraftPlus und Wordfence können Sie in diesem Artikel lesen.

WordPress Updates erst in einer Testumgebung ausführen

Dafür benötigen Sie Erfahrung im Umgang mit Ihrem Webhosting Paket

Wenn Sie wirklich ganz sicher sein wollen, dass Ihre Website nach Updates noch lückenlos funktioniert (was meistens auch der Fall ist), ist der nächste logische Schritt das Anlegen einer Testumgebung. Dabei hilft Ihnen das kostenlose Plugin „Duplicator – WordPress Migration Plugin”. Das Plugin ermöglicht Ihnen das Klonen Ihrer WordPress Website.

So können Sie in 8 Schritten eine Testumgebung anlegen (Grundwissen erforderlich):

1. Legen Sie eine Subdomain an (über Ihr Webhosting Paket)

Erstellen Sie eine Subdomain (z.B. test.ihredomain.de), die in ein neuangelegtes und leeres Verzeichnis auf Ihrem Server führt. Subdomains können Sie in der Regel problemlos anlegen, wenn Sie sich mit Ihren Zugangsdaten bei Ihrem Webhoster anmelden. Suchen Sie dort nach dem Punkt „Domains oder Subdomains” und legen Sie darüber die neue Domain an. Über diese wird nachher die geklonte WordPress Website installiert und später auch aufgerufen. Eine Subdomain zu nutzen ist unser way-to-go, weil relative Pfade (Verlinkungen die nicht die volle URL nutzen, z.B. „/blog/ihr-blog-artikel“) dann weiterhin problemlos funktionieren. Würden Sie Ihren WordPress Klon in ein Unterverzeichnis legen, würde aus dem Link folgender werden: „/wordpress-ordner/blog/ihr-blog-artikel“. Schon haben wir einen 404 Error in unserer Testumgebung.

2. Erstellen Sie eine neue SQL Datenbank (über Ihr Webhosting Paket)

Jetzt brauchen wir für den WordPress Klon auch eine eigene SQL Datenbank. Hier ist es wichtig, dass Ihr Webhoster überhaupt mehr als eine Datenbank erlaubt. Wenn nicht, können wir leider keine Kopie anlegen, da die Datenbank bereits durch Ihre WordPress Website belegt wird. Es ist zwar möglich, mehrere WordPress Installationen in eine Datenbank zu installieren, davon rate ich hier aber definitiv ab! Das sollte man wirklich nur machen, wenn man weiß, worauf man achten muss. Wenn Sie eine neue Datenbank anlegen können, tun Sie das und notieren / speichern sich die Zugangsdaten, wenn Sie beim Anlegen eine Notiz vergeben können, benennen Sie die neue Datenbank eindeutig (z.B: WordPress Testumgebung).

3. Verbinden Sie sich mit Ihrem Webserver (FTP Client)

Verbinden Sie sich über Ihren FTP oder sFTP Zugang mit dem Webserver. Die Zugangsdaten finden Sie ebenfalls über Ihren Webhoster-Zugang. Dafür muss es einen Punkt mit Zugängen / FTP geben. Eine Verbindung zu Ihrem Webserver können Sie zum Beispiel mit dem kostenlosen Programm FileZilla (Windows) oder Transmit (Mac) herstellen. Verbinden Sie sich mit Ihrem Server und rufen Sie das neu angelegte Verzeichnis auf (wenn der Ordner beim Anlegen der Subdomain nicht automatisch erstellt wurde, erstellen Sie im Stammverzeichnis einen neuen Ordner für Ihre Testumgebung (z.B. testumgebung). In der Regel ist das Stammverzeichnis (/htdocs/, /httpdocs/, /public_html/, /www/ oder einfach der Domainname). Das hängt vom Webhoster ab. Stellen Sie sicher, dass Ihr für den WordPress Klon angelegtes Verzeichnis leer ist. Stellen Sie außerdem sicher, dass Ihre angelegte Subdomain (test.ihredomain.de) in das neue Verzeichnis zeigt (zum Beispiel in folgendes Verzeichnis: „/www/testumgebung”).

4. Erstellen Sie ein neues Migrations-Paket mit dem Duplicator Plugin (WordPress Backend)

WordPress Duplicator - Archiv erstellen

Installieren Sie das Plugin und gehen Sie anschließend im Menü auf „Duplicator”. Wählen Sie hier „Neu erzeugen” aus. In den jetzt folgenden Schritten können Sie schon ein paar Angaben machen. Im besten Fall geben Sie im Verlauf schon die Zugangsdaten für die neue Datenbank an und außerdem schon den neuen Domain-Namen (test.ihredomain.de). Wenn Sie das hier nicht erledigen, können Sie das auch noch während der Installation im neuen Verzeichnis machen.

5. Dateien downloaden und auf Ihren Webserver laden (FTP Client)

WordPress Duplicator - Archiv downloaden

Zum Schluss bekommen Sie zwei Dateien, die Sie jetzt downloaden müssen. Einmal den Installer (installer.php) und ein ZIP-Archiv mit allen für Ihre WordPress Website relevanten Daten (Bilder, Plugins, Datenbank etc.). Wenn Sie diese heruntergeladen haben, nutzen Sie Ihr FTP-Programm, um die beiden Dateien in das neuangelegte Verzeichnis hochzuladen.

WordPress Duplicator Dateien auf dem Server

Nochmal: Es dürfen bis auf den Installer und das Archiv keine weiteren Dateien im Ordner liegen.

Ist der Upload abgeschlossen (kann je nach Dateigröße schon ein bisschen dauern), können Sie den Installer aufrufen. Wenn alles richtig gelaufen ist, rufen Sie diesen über folgende URL auf: test.ihredomain.de/installer.php (siehe nächsten Screenshot).

6. Folgen Sie den Anweisungen des Installers (Browser)

WordPress Duplicator Setup

WordPress Duplicator Setup

Wenn alles nach Plan verlaufen ist, folgen Sie den Anweisungen des Installers! Wenn Sie noch keine Datenbank-Zugangsdaten hinterlegt haben, halten Sie diese für die Installation bereit. Am Ende der Installation ist es wichtig, dass die neue Subdomain als WordPress Adresse angeben ist (test.ihredomain.de).

7. Installation abschließen und bei WordPress einloggen (Browser)

Normalerweise sollte jetzt nichts mehr schiefgehen, wenn die Installation abgeschlossen ist, werden Sie zum WordPress Login des Klons weitergeleitet. Loggen Sie sich mit Ihren bekannten Zugangsdaten ein, um sicherzustellen, dass alle Dateien, die der Installer benutzt hat, aus dem Verzeichnis entfernt werden.

8. Testumgebung überprüfen und nach außen hin abschirmen (WordPress-Klon Backend)

Der letzte Schritt ist, sicherzustellen, dass nur Sie Zugriff auf die Testumgebung haben. Am besten legen Sie Ihr neues Verzeichnis hinter eine .htaccess Sperre. Dafür suchen Sie bei Ihrem Webhoster nach „Verzeichnisschutz” oder „Passwortschutz”. Dort wählen Sie das Verzeichnis Ihres Klons aus und legen einen Benutzernamen und ein Passwort fest. Wenn Sie das nicht finden, sorgen Sie dafür, dass bei den WordPress Einstellungen unter dem Punkt „Lesen” folgender Punkt aktiv ist: Suchmaschinen davon abhalten, diese Website zu indexieren. Installieren Sie zusätzlich ein Plugin, das den Zugriff von außen verhindert. Das geht zum Beispiel mit diesem Coming Soon Plugin.

Geht es auch weniger kompliziert?

Mir ist bewusst, dass die Erstellung einer Testumgebung für unerfahrene WordPress/Webhosting Nutzer etwas überwältigend sein kann. Wenn Sie Ihre WordPress Website selbst pflegen, kann Ihnen eine Testumgebung aber ein deutlich besseres Gefühl geben. Sollte es beim Anlegen scheitert, gibt es zum Duplicator noch viele Tutorials, die den Prozess Schritt für Schritt zeigen. Fehlt Ihnen die Zeit, können Sie mit Sicherheit den Ersteller Ihrer WordPress Website mit dem Klon-Prozess beauftragen.

WordPress sicher updaten – Mein Fazit

Abschließend ist zu sagen, das eine Website nicht sofort „gehackt” wird, nur weil ein paar Monate keine Updates gemacht werden. Gerade wenn Wordfence aktiv ist, dürfte im Regelfall nichts passieren. Durch meinen Bekanntenkreis hatte ich Zugriff auf eine WordPress Installation, die gute 7 Jahre alt war. Da ist auch nie was passiert (trotz hoher Zugriffszahlen)! Aber ich habe auch schon einige infizierte Installationen gesehen. Ausgelöst durch alte Plugins die es möglich gemacht haben, über das Plugin diverse Datenbankeinträge zu ändern. So sind dann über ein eingefügtes Upload-Feld korrumpierte Dateien auf dem Server gelandet (was Wordfence gesehen hätte). Wenn man sich aber ein wenig um die Pflege und Sicherheit seiner WordPress Website bemüht, sollte man auf der sicheren Seite sein.

Dieser Artikel dürfte außerdem die Frage beantworten, warum Website Pflege und Wartung Geld kostet. Das Problem ist, dass durch den jeweiligen monatlichen Betrag auch immer das Risiko mit abgedeckt werden muss. Es ist fast wie bei einem Versicherer. Man geht erst einmal davon aus, dass es durch regelmäßige und sorgfältige Updates und besonderer Vorsicht nicht zu Komplikationen kommt. Sorgt ein Update aber für unvorhersehbare Probleme, kann die Lösung im absoluten Worst Case mehrere Stunden verschlingen. Das Prinzip ist also ähnlich, man zahlt, damit man sich selbst nicht um die Funktionalität und Sicherheit seiner Website sorgen muss. Für jedes Unternehmen, vor allem KMU, die ihre Website aktiv als Marketing-Kanal nutzen und brauchen, kann die Pflege und Wartung durch einen externen Dienstleister eine große Erleichterung und ausgezeichnete Investition sein.

Häufig gestellte Fragen

Macht WordPress automatische Updates?

Wenn Sie keinen Update-Manager für die Automatisierung der Updates nutzen (was wir nicht empfehlen können), macht WordPress nur Minor Updates. Plugins oder Themes sind davon nicht betroffen. Major WordPress Updates müssen manuell durchgeführt werden. Die kleinen Core Updates können in der wp-config.php auch deaktiviert werden. Davon raten wir aber ebenfalls ab!

Wie häufig sollte ich WordPress Updates machen?

Wenn Sie aktiv mit Ihrer Website arbeiten und ohnehin oft im Backend eingeloggt sind, machen Sie die vorhandenen Updates einfach direkt. Je nach Anzahl an aktiven Plugins sind 2-3 mal im Monat optimal. Sie sollten aber mindestens 1 mal im Monat WordPress Aktualisierungen machen um immer auf der sicheren Seite zu sein.

Macht WordPress automatische Backups?

WordPress macht selbst keine Backups. Sie können automatische Backups aber mit dem kostenlosen Plugin UpdraftPlus erstellen. Wählen Sie einfach einen Intervall (beispielsweise einmal wöchentlich) und das Plugin erledigt den Rest für Sie. Es ist außerdem empfehlenswert, Google Drive oder Dropbox als Remote-Speicher anzubinden.

In welcher Reihenfolge sollte ich WordPress Updates machen?

Bei WordPress Updates kann es immer mal wieder zu Problemen kommen. Um das Risiko zu minimieren, können Sie sich an folgende Update-Reihenfolge halten:

  1. Backup durchführen
  2. WordPress updaten
  3. Plugins updaten
  4. Themes updaten
  5. Website überprüfen

Was mache ich wenn beim WordPress Update ein Fehler auftritt?

Der erste und wichtigste Punkt ist erstmal Ruhe bewahren, auch wenn es in der Situation schwer fällt. Wenn es zu einem Fehler kommt, ist erstmal wichtig was genau passiert ist. Gibt es eine Fehlermeldung von WordPress? Dann googeln Sie nach dieser exakten Meldung. Die Fehlerquellen können vielseitig sein. Fehler können von WordPress, Plugins, Themes oder dem Server selbst kommen. Wenn Sie noch Zugang zu Ihrem WordPress Backend haben und Ihre Seite nicht mehr richtig funktioniert, versuchen Sie nicht sofort ein Backup einzuspielen. Bevor Sie diesen Schritt gehen, schauen Sie erst, ob es nicht an einem einzelnen Plugin liegt. Dazu können Sie Plugins die Sie als Fehlerquelle vermuten deaktivieren und die Website überprüfen. Wenn dies nicht zur Lösung führt und Sie UpdraftPlus installiert haben, ist es jetzt an der Zeit das letzte Backup wiederherzustellen. Wenn Sie allerdings keinen Zugriff mehr auf Ihr Backend haben, können Sie auch ein Backup Ihres Webhosters einspielen (falls vorhanden).

Bei Fragen oder Anmerkungen zu diesem Artikel würde ich mich sehr über Ihren Kommentar freuen!

*Affiliate Link