WordPress: Automatisches Update auf eine Major-Version verhindern
Aufgrund einer von Stefan ausgelösten Diskussion in Mastodon hier ein Beitrag, wie man verhindern kann, dass automatisch eine WordPress-Instanz auf eine Major-Version upgedatet wird. In der Regel warte ich bei „wichtigen“ WordPress-Instanzen oder auch bei Instanzen von Kunden ein paar Tage, bis ich bei einem Update auf eine neue Major-Version umstelle. In einigen Fällen ist das aber heute auch bei mir bei WordPress 6.3 automatisch passiert.
Im vorliegenden Fall hatte jemand in Mastodon geschrieben, dass er es nicht so prickelnd findet, dass einige Instanzen automatisch auf eine Major-Version upgedatet wurden.
Was sind Major- und Minor-Versionen von WordPress?
Die Nummerierung jeder WordPress-Version besteht mindestens aus einer Zahl, gefolgt von einem Punkt und einer weiteren Zahl, wie zum Beispiel 3.7, 3.8, 4.0, 4.9, 5.0 – so werden Major-Versionen in WordPress nummeriert. Für die Kennzeichnung von Minor-Versionen werden ein zweiter Punkt sowie eine weitere Zahl angehängt: 3.7.1, 3.7.3, 3.8.8, 4.9.9 usw.
https://de.wordpress.org/2018/12/die-aktualisierung-von-major-und-minor-versionen-in-wordpress/
Minor-Updates werden in der Regel automatisch ausgeführt, wenn das nicht durch einen Filter, einen Eintrag (Setzen einer Konstante) in der wp-config.php oder durch ein entsprechendes Plugin verhindert wird.
Einstellungen in der wp-config.php
Um automatische Updates für Hauptversionen oder Entwicklungszwecke zu aktivieren, kann man die Konstante WP_AUTO_UPDATE_CORE in der wp-config.php entsprechend einstellen.
- true – Entwicklungs-, kleinere und wichtige Aktualisierungen sind alle aktiviert
- false – Entwicklungs-, kleinere und wichtige Aktualisierungen sind deaktiviert
- ‚minor‘ – Kleinere Updates sind aktiviert, Entwicklung und wichtige Updates sind deaktiviert
Einstellungen unter WordPress-Aktualisierungen
Unter WordPress-Aktualisierungen kann man allerdings auch ohne Eingriff in die wp-config.php wahlweise dafür sorgen, dass Hauptversionen (major) zugelassen sind. Das funktioniert im Grunde wie ein Lichtschalter:
- Diese Website wird automatisch mit jeder neuen Version von WordPress auf den aktuellsten Stand gebracht – Link:
Wechsle auf automatische Aktualisierungen nur für Wartungs- und Sicherheits-Updates. - Diese Website wird ausschließlich mit Wartungs- und Sicherheits-Updates von WordPress automatisch auf dem neuesten Stand gehalten – Link:
Automatische Aktualisierungen für alle zukünftigen Versionen von WordPress aktivieren.
Einstellungen in der Datenbank
Die Einstellungen werden in der Tabelle wp_options der Datenbank gespeichert. Über .../wp-admin/options.php kann man sich das auch ansehen und ggfs. auch dort direkt ändern. Das ist allerdings in der Regel nicht empfehlenswert, weil bei einer falschen Eintragung im schlimmsten Fall die WordPress-Instanz nicht mehr funktioniert und erst repariert werden muss.
Und hier der Eintrag in der Datenbank, wo dieser Eintrag mit einem Update bei Major-Versionen eingeschaltet ist:
Fazit
Über die Einstellung unter Aktualisierung kann man dafür sorgen, dass Major-Updates nicht automatisch ausgeführt werden. Interessant war in dem Fall, dass dieser Eintrag nicht bei allen WordPress-Instanzen identisch war. Aufschluss gibt ein Passus in dem folgenden Beitrag, auf den mich Thomas hingewiesen hat (danke 🙂 ) :
Starting WordPress 5.6, the default value of
https://wordpress.org/documentation/article/configuring-automatic-background-updates/WP_AUTO_UPDATE_COREfor new WordPress installations istrue. For new website, the default value ofWP_AUTO_UPDATE_COREisminor.
Links und Quellen
- Einstellungen in der
wp-config.php: https://wordpress.org/documentation/article/configuring-automatic-background-updates/#constant-to-configure-core-updates - Die Aktualisierung von Major- und Minor-Versionen in WordPress
https://de.wordpress.org/2018/12/die-aktualisierung-von-major-und-minor-versionen-in-wordpress/ - de:Automatische Hintergrund Updates einstellen
https://codex.wordpress.org/de:Automatische_Hintergrund_Updates_einstellen
Weitere Beiträge zum Thema
- Gestaltung von Headings (Überschriften) bei Block Themes
- Shrinked Header bei Twenty Twenty-Four
- Cover Block in WordPress 6.5
- WordPress: All-in-One WP Migration, Backup-Migration und Duplicator
- GeneratePress und theme.json: Mehr Einstellungsmöglichkeiten bei den Blöcken
Wir freuen uns über eine Kontaktaufnahme
Was hältst du davon?
Wir hoffen, dieser Beitrag hat dir gefallen und wir würden uns über einen Kommentar freuen. Auch über Erweiterungen, Korrekturen, Hinweise oder sonstige Anmerkungen freuen wir uns sehr.
- Auf der folgenden Seite findest du weitere interessante Beiträge sortiert nach Kategorien und Schlagwörter.
- Wenn du über unsere neuesten Beiträge informiert werden möchtest, kannst du dich gerne bei unserem Newsletter anmelden.
Beitrags-Kategorien
Allgemein (104) Anleitung (67) Block-Editor (44) CSS (10) Full Site Editing (32) Keine Anzeige (1) Plugins (28) Short News (1) Theme (21) Tipps (69) Veranstaltungen (3) WordPress (112)
Ich war auch sehr überrascht, als ich heute Morgen die Mail zu einer aktualisierten neuen WordPress-Installation bekommen hatte. Mir war nicht bewusst, dass ich dort den entsprechenden Eintrag in der `wp-config.php` geschrieben hatte. Aber anscheinend ist diese Option für alle neuen Installationen automatisch gesetzt. Den „Umschalt-Link“ habe ich dann erst entdeckt.
Ja, mir war das bis zur Diskussion auf Mastodon auch nicht bekannt. Wieder was gelernt. 😊
Ja, mit verschiedenen defaults pre/post 5.6 die dann auch noch im UI, per Filter und wp-config.php konfiguriert werden können ist das mittlerweile schon recht komplex.
Und so automatische Updates sind immer ein heikles Thema weil es sich schnell wie ein invasiver Eingriff von außen anfühlt. Erinnere mich da an ein ähnliches Thema aus 2015: https://kraftner.com/en/blog/expectations-and-reality-the-importance-of-documentation/
Und die ganzen Auto-Update Mechaniken sind noch deutlich vielschichtiger. Ich will auch gar nicht erst davon anfangen dass es mit Konstanten wie DISALLOW_FILE_MODS und/oder wenn WordPress die Verwendung von Git entdeckt noch deutlich komplexer wird.
Ich bin da auch schon mal noch viel viel tiefer in die Abgründe des Auto-Updaters hinabgestiegen und habe für meinen Use Case ein Plugin geschrieben. In der Readme habe ich mir da auch ganz ausführlich notiert was da auf technischer Ebene genau wie abläuft. Könnte in dem Kontext evtl. auch interessant sein: https://github.com/kraftner/kraftner-wp-updates
danke für die umfangreiche Erläuterung und die Links. 👍
Also, ich lasse immer updaten. Ich hatte auch keine Probleme. Updates halte ich außerdem auch für wichtig.
Lorenzo
Danke für den Kommentar.
Du hast natürlich vollkommen recht: Es ist außerordentlich wichtig, WordPress, Plugins und Themes zu aktualisieren.
Allerdings möchte ich gerne den Zeitpunkt selbst bestimmen.
Daher möchte ich persönlich verhindern, dass wegen der Einstellung in diesem Fall ein Update von WordPress automatisch ausgeführt wird.
Bei „wichtigen“ Websites warte ich in der Regel immer ein paar Tage bis zu 2 Wochen bevor ich das Update durchführe, nachdem ich das Update auf einer Staging-Seite getestet habe und mir sicher sein kann, dass das Update im jeweiligen Fall funktioniert.
Ja, das kann ich natürlich auch verstehen. Wie machst du es, wenn es akute Sicherheitslöcher gibt?
Lorenzo
Informationen kann man z. B. über Wordfence erhalten: https://www.wordfence.com/blog/2023/08/wordfence-intelligence-weekly-wordpress-vulnerability-report-july-31-2023-to-august-6-2023/.
Außerdem habe ich in der REgel das Plugin NinjaFirewall installiert, das in dem Fall warnt, wenn eine Sicherheitslücke gefixt wurde: https://de.wordpress.org/plugins/ninjafirewall/