WordPress bietet unheimlich tolle Möglichkeiten mit vergleichsweise wenig Aufwand eine professionelle Webseite zu machen. Trotzdem gibt es einige, wenige Dinge dabei zu bedenken. Eines davon sind die regelmäßigen Sicherheitsupdates, die eigentlich Pflicht sind. Eigentlich… Na ja. Die meisten meiner Kunden scheitern dabei an den allereinfachsten Dingen. Daher habe ich mir etwas überlegt. Im Folgenden einige Gedanken zum leidigen Thema Updaten und Sicherheit. Keine Angst. Der Artikel ist auch für blutige Laien verständlich. ;)
WordPress ist eine tolle Sache! Wow, ich liebe es. Und Millionen anderer Seitenbetreiber lieben es auch. Rund 60% aller Webseiten sollen heute bereits mit diesem fantastischen Script laufen. Ein Qualitätsbeweis ohnegleichen! Einziger Nachteil dabei: Dass bei so vielen Millionen (oder Milliarden? Ich weiß es nicht!) von Websites auch kriminelle Hacker große Augen bekommen liegt auf der Hand. Trotzdem gibt es ein einfaches Mittel unerwünschte Besucher auszusperren: Regelmäßige Updates von WordPress und allen genutzten Themes (Designs) und Plugins. Doch obwohl dieses regelmäßige Update eigentlich kinderleicht wäre, scheitern viele regelmäßig daran. Der Grund ist ganz einfach: WordPress schlägt vor jeder Sicherung vor, dass ein Backup der Datenbank und der hochgeladenen Files durchgeführt werden sollte. Und hier kriegen viele kalte Füsse, verzichten lieber auf das Update und setzen ihre Webseite damit unnötigen Gefahren aus.
[UPDATE 29.2.2016]
Als ich diesen Artikel verfasst habe, kannte ich ein Plugin noch nicht, das die gesamte unten beschriebene Prozedur deutlich vereinfacht: Den Easy Update Manager. Aber so ist das mal bei allen Webthemen: Man weiß nie alles, täglich gibt es etwas Neues. ;) Seitdem ich dieses Plugin kenne, nutze ich es und mache mit UpdraftPlus regelmäßige Backups. Letzteres ist sehr wichtig, denn sollte ein Mal ein automatisiertes Update die Installation zerstören, kann ich sie mit UpdraftPlus in wenigen Sekunden wieder herstellen.
Den alten Text lasse ich aber trotzdem noch hier, er hat ja auch andere, interessante Infos.
[/UPDATE]
Der Verzicht auf das Update kann ins Auge gehen. Mehr dazu unten. Vorerst ein Mal eine Anleitung zum manuellen Update in wenigen Schritten: Ein Klick auf das Bild vergrößert es und illustriert die drei beschriebenen Punkte. 
1) Den Adminbereich aufrufen: Den Adminbereich erreichen Sie bei jeder WordPress-Installtion auf die gleiche Art: www.pfad/zur/webseite und dann noch ein wp-admin hinten dranhängen. Bei meiner Hauptseite wäre das z. B. www.gruenkraft.design/wp-admin und bei dem Blog hier wäre es www.gruenkraft.design/webdesignblog/wp-admin. Wer das macht landet bei einer Eingabemaske mit zwei Feldern: Name und Passwort. Beides sollten Sie haben, falls nicht, fragen Sie einfach mich oder Ihren Webmaster (bei Seiten, die ich nicht gemacht habe).
2) Mit der Eingabe der beiden korrekten Informationen kommt man in einen Bereich, der Adminbereich heisst. Der Name sagt, dass hier die gesamten administrativen Tätigkeiten rund um WordPress erfolgen. Links in diesem Adminbereich gibt es ein senkrechtes Menü (derzeit ist es meistens auf einem schwarzem Hintergrund, vor einigen Jahren war es vor einem hellen.) Wenn einem in diesem Bereich orangene Kreise mit kleinen Zahlen auffallen, dann gibt es meistens etwas zu tun. Entweder müssen Kommentare bearbeitet werden (Dies hat aber keine Auswirkungen auf die Sicherheit.) oder es gibt etwas zum Updaten (DIES IST WICHTIG!).
3) Falls es etwas zum Updaten gibt, dann sollte man einfach im Menü zum Punkt Aktualisierungen gehen, er befindet sich ziemlich weit oben im Menü. Dann sucht man dort die Bereiche, die aktualisiert werden sollen und drückt auf den Knopf “Aktualisieren”. Kinderleicht, nicht war?
Trotzdem gibt es ein Miniproblem bei dem Ganzen Procedere. Denn gäbe es das nicht, könnte ich mir den Artikel ersparen. ;) Das Problem ist folgender Textschnipsel, der zu lesen ist: “Important: before updating, please back up your database and files. For help with updates, visit the Updating WordPress Codex page.” Der Text kann natürlich auch auf deutsch sein, falls das deutsche Sprachpaket aktiviert wurde. Sinngemäß heißt es dann: “Achtung: Vor jedem Update sichere bitte die Datenbank und die gesamte Installation.” Wow. Für Laien ist das das Killerkriterium. :(
Macht man das nicht und drückt einfach trotzdem auf Update, dann ist in 99% aller Fälle trotzdem alles OK. Manchmal kann es aber vorkommen, dass nicht alles OK ist und das das Update etwas Wichtiges zerstört. Die Rekonstruktion der Seite wird dann eher teuer. :(
OK, soweit mal die Fakten. Jetzt zur oben angekündigten Geschichte: Vor einiger Zeit hatte ich einen Kunden mit drei Webseiten. Der Kunde hat seine Plugins nicht gewartet und eines Tages hat er sich ein Virus eingefangen, dass ziemlich hartnäckig war. Es hat alle drei Installationen auf dem Webspace infiziert, nach der Entfernung des Virus musste alles neu aufgesetzt werden. Das war teuer!
Da ich ziemlich viel zu tun habe und nicht gerne Webseiten, die bereits fertiggestellt wurden, nochmals baue, und ich überdies mit meinen Kunden in solchen Fällen heftigst mitleide, rate ich allen DRINGEND regelmäßige Updates und Backups zu machen!
Hier mein Tipp für die Backups:
Das Plugin “UpdraftPlus” kann so konfiguriert werden, dass es regelmäßig Backups der gesamten Installation (Ordner und Datenbank) anlegt. Die Backups können automatisiert auf fremden Webspace (z. B. Dropbox) hochgeladen werden. So ist sichergestellt, dass im Falle eines Angriffs auf jeden Fall ein nicht manipuliertes Backup zur Verfügung steht. Wer auf diese Art geschützt ist, kann ohne Bedenken die entsprechenden Update-Buttons drücken, denn UpdraftPlus kann mit wenigen Handgriffen die zerstörten Daten wieder herstellen.