WordPress-Fehler & Wartung9 Min. Lesezeit28. Juni 2026
WordPress-Wartung · Tag 2: Updates richtig machen
Kurz gesagt
WordPress-Updates richtig zu machen heißt: nicht blind „Aktualisieren" klicken, sondern vorher ein Backup ziehen, Core, Plugins und Theme in einer Staging-Umgebung testen und danach die Kernfunktionen prüfen. So bekommt man die Sicherheitsvorteile, ohne dass ein Update die Seite bricht.
Willkommen zu Tag 2 unserer Serie WordPress-Wartung & Betrieb. Gestern ging es ums Warum — heute um den größten einzelnen Hebel: Updates. Sie sind gleichzeitig die wichtigste Sicherheitsmaßnahme und die häufigste Ursache dafür, dass eine Seite plötzlich anders aussieht oder gar nicht mehr lädt. Beides ist wahr, und genau deshalb lohnt es sich, Updates nicht dem Zufall zu überlassen.
Warum sind Updates so wichtig — und so gefürchtet?
Die meisten erfolgreichen Angriffe auf WordPress nutzen keine unbekannten Zero-Day-Lücken, sondern bekannte Schwachstellen in veralteten Plugins und Themes. Sobald eine Lücke öffentlich ist und ein Update bereitsteht, beginnt ein Wettlauf: Wer zuerst aktualisiert, ist geschützt; wer wartet, wird zum leichten Ziel für automatisierte Scanner, die das Netz genau nach diesen bekannten Lücken absuchen. Updates zeitnah einzuspielen ist deshalb keine Fleißaufgabe, sondern die wirksamste Einzelmaßnahme überhaupt.
Die Kehrseite: Ein Update kann etwas kaputt machen. Ein Plugin ändert sein Verhalten, ein Theme verträgt sich nicht mehr mit der neuen Core-Version, zwei Erweiterungen geraten sich in die Quere. Das ist der Grund, warum viele Seitenbetreiber Updates aus Angst hinauszögern — und damit das größere Risiko eingehen. Die Lösung ist nicht, seltener zu aktualisieren, sondern es kontrolliert zu tun.
Wie aktualisiert man WordPress ohne Risiko?
Der Kern ist eine einfache Reihenfolge, die den Unterschied zwischen Routine und Roulette ausmacht.
1. Erst das Backup, dann der Klick
Vor jeder Update-Runde gehört ein frisches, vollständiges Backup — Dateien und Datenbank. Es ist die Rückfahrkarte für den Fall, dass etwas schiefgeht. Ein Update ohne vorheriges Backup ist die Wette, dass schon nichts passieren wird; die verliert man selten, aber wenn, dann teuer. Wie verlässliche Backups aussehen, ist das Thema von Tag 3.
2. In Staging testen, nicht live
Der wichtigste Schritt: Updates zuerst in einer Staging-Umgebung einspielen — einer Kopie der Live-Seite, auf der man gefahrlos ausprobieren kann. Dort aktualisiert man, klickt sich durch die wichtigen Seiten, testet Formulare, den Checkout, die Suche, das, worauf es fachlich ankommt. Erst wenn dort alles läuft, geht dasselbe Update live. Viele gute Hoster bieten Staging auf Knopfdruck; wo es das nicht gibt, lohnt sich ein einfacher Klon-Workflow. Der Aufwand klingt größer, als er ist, und er verwandelt „hoffentlich geht nichts kaputt" in „ich habe es gesehen".
3. Nacheinander, nicht alles auf einmal
Wenn viele Updates anstehen, ist die Versuchung groß, alle gleichzeitig einzuspielen. Geht dann etwas schief, weiß niemand, welches Update schuld war. Besser in sinnvollen Gruppen vorgehen: erst der Core, dann die wichtigen funktionalen Plugins einzeln oder in kleinen Blöcken, zwischendurch prüfen. So bleibt die Ursache eines Problems sofort sichtbar.
4. Nach dem Update prüfen
Ein Update ist erst fertig, wenn jemand nachgesehen hat, dass die Seite noch tut, was sie soll. Ein kurzer, immer gleicher Rundgang über die Kernfunktionen reicht: Startseite, ein zentraler Inhaltstyp, das Kontaktformular, bei einem Shop der komplette Kaufweg bis zur Bestätigung. Diese fünf Minuten sind der Unterschied zwischen „aktualisiert" und „hoffentlich noch heil".
Automatische Updates — Segen oder Risiko?
WordPress kann Updates automatisch einspielen, und für Sicherheits-Updates des Core ist das grundsätzlich sinnvoll — sie sind klein, wichtig und selten problematisch. Bei Plugins und Themes ist die Sache differenzierter. Automatische Plugin-Updates nehmen Arbeit ab, aber sie spielen eben auch die seltene brechende Änderung ein, ohne dass jemand danebensteht. Ein pragmatischer Mittelweg: unkritische, stabile Plugins dürfen sich automatisch aktualisieren; alles, was fürs Geschäft zentral ist — der Shop, der Seiten-Builder, zahlungsrelevante Erweiterungen — wird bewusst manuell über Staging aktualisiert. Wo Automatik läuft, gehört ein getestetes Backup und Monitoring zwingend dazu, damit ein Fehlschlag auffällt, bevor Kunden ihn melden.
Was tun mit Plugins, die keine Updates mehr bekommen?
Ein Sonderfall verdient eigene Aufmerksamkeit: verwaiste Plugins, deren Entwickler die Pflege eingestellt hat. Sie bekommen keine Sicherheits-Fixes mehr und werden mit jeder WordPress-Version ein Stück riskanter. Solche Plugins sind auf Dauer nicht haltbar. Der richtige Umgang ist, sie aktiv zu ersetzen — durch eine gepflegte Alternative oder, wenn die Funktion zentral ist, durch eine eigene saubere Lösung. Das ist unbequem, aber es ist die einzige Antwort, die nicht darauf hinausläuft, eine bekannte Lücke offen stehen zu lassen.
So gehst du vor
- Fester Rhythmus statt Zufall. Lege einen regelmäßigen Update-Termin fest — je nach Seite wöchentlich bis monatlich, Sicherheits-Updates sofort.
- Immer die Reihenfolge: Backup → Staging → prüfen → live → erneut prüfen.
- Eins nach dem anderen bei größeren Update-Wellen, damit die Fehlerquelle sichtbar bleibt.
- Verwaiste Plugins ersetzen, nicht dulden.
- Dokumentiere, was du wann aktualisiert hast — im Zweifel weiß man so, ab wann ein Problem auftrat.
Fazit
Updates sind die wirksamste Sicherheitsmaßnahme für WordPress und zugleich die häufigste Bruchstelle — der Widerspruch löst sich durch Methode, nicht durch Mut. Wer vor dem Update ein Backup zieht, in Staging testet, in kleinen Schritten vorgeht und danach prüft, bekommt die Sicherheitsvorteile ohne die bösen Überraschungen. Automatik ist ein nützliches Werkzeug, aber kein Ersatz für Backup und Monitoring. Und verwaiste Plugins löst man, indem man sie ersetzt.
Das war Tag 2. Morgen geht es um das Netz, das all das erst gefahrlos macht: Backups, die im Ernstfall wirklich funktionieren. Alle Folgen findest du in der Serien-Übersicht. Wenn du Updates nicht selbst über Staging fahren willst, übernehmen wir das im Rahmen unserer WordPress-Wartung — inklusive Test und Kontrolle. Fragen? Sprich uns an.