
Inhalt
Technische Betreuung von WordPress
Der Webdesigner und seine Kunden kennen die Situation: Nach vollbrachter Arbeit und dem Launch oder Relaunch der Website stellt sich die Frage, wer künftig die Verantwortung für die technische Wartung übernimmt. Grundsätzlich sollte dieser Bereich getrennt von der inhaltlichen, also redaktionellen Betreuung einer Website betrachtet werden. Inhalte lassen sich nach einer Schulung häufig gut selbst pflegen; technische Wartung betrifft dagegen den zuverlässigen und sicheren Betrieb des Systems. Ich biete meinen Kunden dafür in der Regel einen Wartungsvertrag an, in dessen Rahmen ich mich um die technischen Belange rund um die Website kümmere. Dazu gehören insbesondere Updates von WordPress, Themes und Plugins, regelmäßige Backups, die Kontrolle der Serverumgebung, Sicherheitsaspekte und die Behebung technischer Probleme.
Das Content Management System WordPress ist hierbei gegenüber anderen Systemen vergleichsweise einfach zu handhaben. Was aber auf den ersten Blick fast schon trivial wirkt, besitzt Tücken im Detail. Updates können Inkompatibilitäten auslösen, Plugins können veralten, Backups müssen im Ernstfall auch wiederherstellbar sein, und Änderungen an PHP-Versionen oder SSL-Zertifikaten können Auswirkungen auf die Website haben. Der folgende Ratgeber richtet sich an alle, die sich die Wartung der eigenen Website zutrauen oder sich erstmals in die Situation begeben, eine WordPress-Website technisch zu betreuen.
Backup
Backups sollten regelmäßig und zusätzlich vor größeren Änderungen erstellt werden – etwa vor umfangreichen Updates, Plugin-Installationen, Theme-Anpassungen oder größeren inhaltlichen Änderungen. Eine vollständige WordPress-Sicherung besteht dabei aus zwei Teilen: den Dateien der Website und der Datenbank. In den Dateien liegen unter anderem WordPress, Themes, Plugins und hochgeladene Medien; in der Datenbank befinden sich Beiträge, Seiten, Kommentare, Einstellungen und viele Plugin-Daten.
Für einfache Websites kann ein Backup-Plugin wie UpdraftPlus, das ich gerne einsetze, eine praktikable Lösung sein. Es bringt bereits in der kostenlosen Variante wichtige grundlegende Funktionen mit. Nach einmaliger Einrichtung kann der Backup-Prozess durch einen einfachen Klick gestartet werden. Dabei werden Dateien und die Datenbank gesichert und je nach Einrichtung automatisch lokal oder an externen Speicherorten abgelegt. Möglich ist auch der anschließende manuelle Download. Entscheidend ist aber, dass die Sicherungen regelmäßig erstellt, zuverlässig gespeichert und bei Bedarf wiederhergestellt werden können. Ein Backup-Konzept ist erst dann vollständig, wenn die Wiederherstellung zumindest gelegentlich getestet wurde.
Backups sollten nicht ausschließlich auf demselben Server liegen wie die Website. Das hilft zwar bei kleineren Fehlern oder missglückten Updates, schützt aber nur begrenzt vor größeren Problemen wie Serverausfällen, gehackten Websites oder Datenverlust beim Hoster. Sinnvoll ist deshalb mindestens eine zusätzliche externe Sicherung, etwa in einem geeigneten Cloudspeicher, auf einem lokalen Rechner oder über eine Backup-Lösung des Hosters. Zwar sind Totalverluste bei einem Hoster äußerst selten, aber nicht ausgeschlossen, wie der Brand beim Serverzentrum des französischen Anbieters OVH schmerzlich bewies. Dadurch kam es zu umfangreichem Datenverlust.
Updates
Strategien
Nach dem Backup folgen die Updates: Plugins, Themes und WordPress selbst. Sie helfen dabei, Fehler zu beheben, Sicherheitslücken zu schließen und die Kompatibilität mit aktuellen WordPress-, PHP- und Browser-Versionen zu erhalten. Gerade weit verbreitete Systeme wie WordPress sind ein attraktives Ziel für automatisierte Angriffe, die gezielt nach bekannten Schwachstellen in veralteten WordPress-Versionen, Themes oder Plugins suchen.
Updates sollten deshalb nicht beliebig lange aufgeschoben werden. Gleichzeitig ist es sinnvoll, sie kontrolliert durchzuführen: Zuerst ein vollständiges Backup erstellen, dann die verfügbaren Updates prüfen, anschließend aktualisieren und die Website danach testen. Als praktische Faustregel ist es meist sinnvoll, Themes und Plugins vor dem WordPress-Core zu aktualisieren, wenn dafür bereits aktuelle Versionen vorliegen. Bei der Einhaltung der Reihenfolge kann man daher die Wahrscheinlichkeit unliebsamer Effekte wie Inkompatibilitäten minimieren.
Themes
Unter Design > Themes finden wir im WordPress-Backend die installierten Themes. Denkt bitte daran, auch nicht aktive Themes zu aktualisieren, sofern ihr sie nicht deinstalliert habt. Nicht benötigte Themes sollte man aus Sicherheits- und Übersichtsgründen möglichst entfernen. Ein aktuelles Standard-Theme als Fallback kann allerdings sinnvoll sein. Bei Theme-Updates ist es wichtig, zwischen klassischen Themes und Block-Themes zu unterscheiden. Klassische Themes arbeiten vor allem mit PHP-Templates, CSS, JavaScript und häufig dem Customizer. Wer Dateien eines Parent-Themes direkt verändert hat, riskiert, dass diese Änderungen beim nächsten Theme-Update überschrieben werden. Für solche Anpassungen ist ein Child-Theme der klassische Weg: Es erlaubt Änderungen am Design oder an Templates, ohne das eigentliche Parent-Theme direkt zu bearbeiten.
Block-Themes werden stärker über den Website-Editor, Templates, Template-Teile und globale Stile angepasst. Diese Änderungen liegen in der Regel nicht direkt im Theme-Verzeichnis und werden durch ein normales Theme-Update meist nicht einfach überschrieben. Trotzdem können Updates Auswirkungen haben, wenn sich zum Beispiel Blockstrukturen, CSS-Klassen oder die HTML-Struktur ändern. Anpassungen, die über den Customizer oder das Feld Zusätzliches CSS vorgenommen wurden, bleiben bei normalen Theme-Updates dagegen in der Regel erhalten. Dennoch kann eigenes CSS nach einem Update anders greifen, wenn das Theme seine Struktur oder Klassennamen verändert. Deshalb sollte die Website nach einem Theme-Update immer geprüft werden, unabhängig von der Art des Themes.
Plugins
Plugin-Updates können in WordPress automatisiert und in der Übersicht der Plugins einzeln verwaltet werden. Was zunächst als Erleichterung erscheint, sollte man jedoch mit Augenmaß nutzen. Automatische Updates können sinnvoll sein, wenn es sich um einfache, unkritische Plugins handelt und ein aktuelles Backup vorhanden ist. Bei komplexen oder geschäftskritischen Erweiterungen – etwa Shops, Formularen, Buchungssystemen, Mehrsprachigkeit, Membership-Funktionen, Page-Buildern, Caching oder SEO – empfiehlt sich dagegen meist ein kontrolliertes manuelles Update. Der Grund ist einfach: Kommt es nach einem automatischen Update zu Inkompatibilitäten, bemerkt man den Fehler unter Umständen erst spät und kann ihn schwerer einem bestimmten Update zuordnen. Die Suche nach der Ursache wird dann zu einem zermürbenden Erlebnis. Besonders bei umfangreicheren Websites ist es sinnvoll, wichtige Plugins einzeln zu aktualisieren und anschließend die zentralen Funktionen der Website zu testen.
Hilfreich sind die Informationen, die WordPress in der Plugin-Übersicht und in den Plugin-Details anzeigt: aktuelle Version, letztes Update, benötigte WordPress-Version und die Angabe, bis zu welcher WordPress-Version das Plugin getestet wurde. Letzteres sollte man nicht zu wörtlich nehmen, denn viele Plugins funktionieren auch mit neueren WordPress-Versionen. Sie ist aber ein nützlicher Hinweis darauf, ob ein Plugin aktiv gepflegt wird. Zur Wartung gehört außerdem, regelmäßig aufzuräumen. Nicht benötigte Erweiterungen sollten nicht nur deaktiviert, sondern gelöscht werden. Bei lange nicht aktualisierten oder offensichtlich aufgegebenen Plugins sollte man prüfen, ob es bessere Alternativen gibt. Bei Premium-Versionen ist zusätzlich wichtig, dass die Lizenz aktiv bleibt, damit Sicherheits- und Funktionsupdates weiterhin eingespielt werden können.
WordPress-Core
Kleinere Wartungs- und Sicherheitsupdates, die Minor Updates des WordPress-Cores, werden bei den meisten Installationen automatisch im Hintergrund eingespielt. Das ist grundsätzlich sinnvoll, weil solche Updates Fehler beheben und Sicherheitslücken schließen, ohne dass dafür jedes Mal ein größerer Eingriff nötig ist. Trotzdem schadet ein prüfender Blick auf die Website nach einem automatischen Update nicht.
Anders zu betrachten sind größere Versionssprünge, also sogenannte Major Updates wie von der WordPress-Version 6.8 auf 6.9. Sie bringen neue Funktionen, Änderungen an der Benutzeroberfläche oder technische Anpassungen mit sich. Solche Updates können Auswirkungen auf Themes, Plugins oder individuelle Anpassungen haben. Deshalb würde ich bei betreuten Websites nicht blind auf automatische Major-Updates setzen (die Einstellung ist zu finden unter Dashboard > Aktualisierungen), sondern sie bewusst planen: Backup erstellen, Plugin- und Theme-Kompatibilität prüfen, Update durchführen und die Website anschließend testen. Die Sicherheit leidet bei gut gewarteten Websites nicht darunter, wenn ihr euch einige Wochen Zeit lasst, bis die meisten Anbieter ihre Plugins angepasst haben. Die einzelnen Major-Versionen von WordPress werden unabhängig voneinander mit Sicherheitsupdates versorgt.
Das Gesagte ist noch relevanter für Versionssprünge bei WordPress wie die jüngste Weiterentwicklung von 6.x auf 7.0, die offiziell ein Major Release darstellt. Ein Update sollte hier erst nach einer Beobachtungsphase der einschlägigen WordPress-Foren mit entsprechenden Update-Erfahrungen erfolgen. Alternativ oder ergänzend bietet sich ein Test in einer Staging-Umgebung an, bevor das Update auf der produktiven Website durchgeführt wird. Nicht angepasste Plugins oder Themes könnten hier Probleme erzeugen, die im Worst-Case-Szenario zum Ausfall der ganzen Website führen können. Zudem ist die Chance groß, dass mit der Version 7.1 einige Kinderkrankheiten behoben sein werden.
Die Verwaltung des Servers
Zu all diesen technischen Maßnahmen, die sich unmittelbar auf WordPress beziehen, kommen weitere Aufgaben, die den Server und das Hosting betreffen. Auch sie können direkte Auswirkungen auf die Website haben. Besonders wichtig sind dabei PHP-Version, Datenbank, SSL-Zertifikate, Backups beim Hoster und gegebenenfalls die E-Mail-Umgebung. So sollte in regelmäßigen Abständen die PHP-Version geprüft und aktualisiert werden. WordPress empfiehlt aktuell PHP 8.3 oder höher. Das ist nicht nur sicherheitsrelevant, sondern steigert auch die Performance der Website. Behält man dies nicht im Auge, kann es eines Tages zu der Situation kommen, dass Plugins oder gar WordPress selbst die Funktion versagen. Wie das Update vonstattengeht, ist bei jedem Hoster etwas anders geregelt. Meine Empfehlung ist der Einsatz einer stets aktuellen PHP-Version, aber nicht zwingend der allerneuesten Version unmittelbar nach Veröffentlichung, um Inkompatibilitäten zu vermeiden.
Daneben spielt auch die Datenbankversion eine Rolle. Empfohlen werden aktuell MariaDB 10.6 oder höher bzw. MySQL 8.0 oder höher. Bei manchen Hostern kann es auch notwendig sein, regelmäßig – meist jährlich – die SSL-Zertifikate zu erneuern. Verpasst man diesen Zeitpunkt, so werden die Browser euren Besuchern eine unsichere Website melden und den Zugang erschweren oder verwehren. In vielen Fällen kann man allerdings eine automatische Verlängerung des Zertifikats einstellen. Es empfiehlt sich daher eine rechtzeitige Überprüfung der üblichen Vorgehensweise für die Erneuerung der Zertifikate beim Hoster.
Wie wir sehen, sind mit der technischen Wartung einer Website auf Grundlage eines WordPress-Systems zahlreiche Vorgänge verbunden, die ein wenig Know-how erfordern. Dabei kann es stets zu Komplikationen kommen, deren Handhabung mit etwas Erfahrung zu bewältigen ist. Der Webdesigner oder die Agentur, der bzw. die Wartungsverträge anbietet, kalkuliert diese speziellen Fälle in aller Regel in seine Angebote mit ein. Wer bei mir eine solche Wartung bucht, der erhält ein Rundum-Sorglos-Paket, das auch die Verwaltung des Mail-Servers oder kleine Hilfestellungen bei Problemen auf redaktioneller und inhaltlicher Ebene der Website einschließt.



Lieber Damian,
das ist eine sehr gute Zusammenfassung des Themas … gerade beim der Backup-Thematik möchte ich aber anmerken, dass ein automatisches, externes Backup meiner Meinung nach Pflicht ist… zu schnell ist eine Website inklusive Backups gehackt, der Hoster geht offline (OVH) usw.
Da zahlen sich die paar Euro in eine gute, automatische Backup-Lösung auf jeden Fall aus.
Sonnige Grüße aus Wien,
Michael
Danke für dein Feedback, Michael. Hinsichtlich des Backups ging es mir darum, aufzuzeigen, welche einfachen und guten Mittel WordPress selbst zur Verfügung stellt. Ich möchte meinen Kunden immer die Wahl lassen, ob sie sich die technische Betreuung doch selbst zutrauen. Und da soll es doch so kompakt wie möglich sein, zumal die Größe der Projekte, die ich für Kunden umsetzten, es auch zulassen, auf manuelle Sicherungen zu setzen.
Ich würde mich aber freuen, wenn du meinen Artikel hier in einem Kommentar mit Empfehlungen für externe automatische Backup-Lösungen ergänzt.