WordPress ist das zahlenmäßig am häufigsten eingesetzte CMS. Damit bietet die Plattform jedoch auch die größte Angriffsfläche für Cyberkriminelle. Generell wird empfohlen, verfügbare Updates sofort einzuspielen. In der Praxis ist dies nicht immer umsetzbar. Eine normale WordPress-Website kann mehrere Dutzend Plugins umfassen. Für jedes davon gilt: bei Updates kann etwas schief gehen. Dann droht im schlimmsten Fall der berüchtigte „white screen of death“ – die Site ist nicht mehr erreichbar.
Um die Erreichbarkeit einer WordPress-Website sicherzustellen, geht man als Admin proaktiv vor. Essenziell ist dabei vor allem eine solide Backup-Strategie. Geht beim Update etwas katastrophal schief, spielt man ein Backup ein und stellt den Ausgangszustand wieder her. So sollte man:
- Automatische Backups auf dem Hosting-Level nutzen.
- Vor dem Einspielen jeglicher Updates ein Backup anlegen.
- Bei komplexen Sites die Updates zunächst im WordPress-Staging Site testen.
Anstatt Updates für jedes Plugin einzeln einzuspielen, bietet es sich an, einen Patch Day festzulegen: das ist ein fester Tag pro Woche oder Monat, an dem sämtliche verfügbare Updates eingespielt werden. Der Dienstag hat sich als Standard für Patch-Days etabliert.
Das WordPress-Core System zeigt normalerweise ein stabiles Update-Verhalten. Für optimalen Schutz vor aktuellen Bedrohungen sollte man automatische Sicherheitsupdates aktivieren. Größere Versionsupdates spielt man besser manuell ein. Einfache Themes stellen beim Update für gewöhnlich ein niedriges Risiko für Komplikationen dar. Am besten entfernt man nicht genutzte Themes, um die Angriffsfläche zu minimieren.
Beim Updaten von WordPress-Plugins ist generell Vorsicht geboten. Hier liegt ein hohes Risiko für Komplikationen vor. Bei allen Plugins, welche tief in das System eingreifen, macht sich eine Prise Paranoia bezahlt. Dazu gehören beispielsweise Plugins für Caching, Sicherheit, Mehrsprachigkeit, Online-Shop-Funktionalität, und Page-Builder. Updates an diesen sollte man immer zunächst auf einer Staging-Site testen.