Das Update für Dein CMS liegt seit drei Wochen im Backend bereit. Du hast den Hinweis gesehen, kurz überlegt und wieder geschlossen, weil gerade kein guter Moment war. Diese Szene gehört zum Alltag vieler kleiner Webseiten und ist der Punkt, an dem aus einer Routinearbeit ein Sicherheitsproblem wird.
Hektik braucht es deswegen nicht. Niemand muss nachts aus dem Bett, um auf den Aktualisieren-Knopf zu drücken. Eine ruhige Reihenfolge reicht: was zeitnah passieren sollte, was Geduld verträgt und wie Du Dich aus der Reaktion in die Vorsorge bewegst.
Was ein CMS-Update wirklich tut
Ein Update bündelt drei sehr unterschiedliche Arbeiten in einem Paket. Wer die Ebenen kennt, kann besser einschätzen, wie dringlich der nächste Klick ist.
- Sicherheits-Patches: Bekannte Lücken werden geschlossen, oft kurz nachdem sie öffentlich beschrieben wurden. Diese Patches sind zeitkritisch.
- Funktions-Verbesserungen: Neue Möglichkeiten im Backend, leichtere Bedienung, sauberere Editor-Oberflächen. Angenehm, aber selten dringend.
- Kompatibilität: Anpassungen an aktuelle PHP-Versionen, Browser oder Plugin-Schnittstellen. Wichtig, wenn Dein Hoster eine neue PHP-Version ankündigt.
Diese drei Ebenen liegen in jedem Update-Hinweis irgendwo verborgen, sind im Changelog aber meist gemischt aufgelistet. Lies kurz quer: Steht „security fix" oder „CVE-Nummer" drin, gehört der Patch in die zeitnahe Kategorie. Alles andere kann warten.
Die drei Eskalationsstufen, wenn Du wartest
Eine ungepatchte Sicherheitslücke entwickelt sich in vorhersehbaren Schritten weiter. Du kannst Dir das wie ein Lichtsignal vorstellen, das von Grün über Gelb auf Rot wechselt. Jede Stufe verkürzt die Reaktionszeit.
Stufe eins: Der Hersteller patcht. In diesem Moment ist die Lücke bekannt, eine Lösung existiert, aber nicht jede Webseite hat sie eingespielt. Das Risiko ist abstrakt, eingrenzbar, beherrschbar.
Stufe zwei: Die Lücke landet auf öffentlichen Schwachstellen-Listen (CVE-Datenbanken, Sicherheits-Blogs). Jetzt weiß jeder, wo der Fehler steckt. Wer noch nicht aktualisiert hat, steht mit einer dokumentierten Schwäche im Netz.
Stufe drei: Automatisierte Bots durchsuchen das Netz nach genau dieser Lücke. Sie testen tausende Domains pro Stunde, völlig anonym. Wenn Deine Webseite passt, wird sie übernommen, meist für SPAM-Versand, Phishing-Hosting oder Krypto-Mining. Ein erfolgreicher Angriff bleibt oft Wochen unbemerkt, weil die Bots keine Spuren hinterlassen wollen.
Der Sprung von Stufe eins auf Stufe drei dauert bei kritischen Lücken inzwischen wenige Tage. Das ist der Grund, warum Sicherheits-Patches keine „nächste-Woche"-Aufgabe sind.
Ein ruhiger Update-Rhythmus
Wer einmal weiß, was wann dringlich ist, kann sich einen Rhythmus zurechtlegen. Drei Faustregeln reichen für die meisten Webseiten.
- Sicherheits-Patches: innerhalb weniger Tage einspielen, idealerweise binnen 72 Stunden. Bei kritischen Lücken (CVE Score über 8) schneller.
- Funktions-Updates: einmal im Monat als Block. Du nimmst Dir eine ruhige halbe Stunde, prüfst die Changelogs, spielst ein.
- Major-Versionen (Sprünge wie WordPress 6 auf 7, TYPO3 v12 auf v13): mit Vorlauf planen, Test-Umgebung wenn möglich, Backup zwingend. Diese Updates ändern oft Datenstrukturen.
Die wichtigste Frage ist die nach der Verantwortung: wer kümmert sich konkret? Bei einer eigenen Installation ohne Wartungsvertrag liegt die Verantwortung bei Dir. Ein guter Hoster nimmt Dir bei managed Hosting einen Teil dieser Arbeit ab. Sicherheits-Patches laufen dort oft automatisch, Funktions-Updates bleiben Deine Entscheidung. Klär vor dem Hosting-Vertrag, was wirklich enthalten ist.
Automatische Updates sind ein Sonderfall. WordPress bietet sie für Core und Plugins an, sie lösen das Sicherheits-Problem teilweise und verschärfen ein anderes: Es läuft kein Backup vorher. Wenn ein Auto-Update ein Plugin bricht, steht Deine Seite ohne Rollback-Pfad da. Wer Auto-Updates nutzt, sollte sich auf aktuelle Backups verlassen können.
Dieser Rhythmus passt in eine regelmäßige Pflege-Routine. Neben Backup-Checks, Link-Kontrolle und Inhalts-Pflege ist das Update-Fenster ein wiederkehrender Termin, kein Sondereinsatz.
Was beim Update schiefgehen kann
Updates laufen meistens ohne Drama durch. Wenn doch etwas hakt, sind es fast immer dieselben drei Szenarien. Für jedes davon gibt es einen Vorbereitungs-Schritt.
Plugin-Konflikt. Ein Plugin oder eine Extension ist mit der neuen CMS-Version inkompatibel. Symptom: weiße Seite, Backend funktioniert noch, Frontend nicht. Vorbereitung: Plugin-Liste durchsehen, Inkompatibilitäten im Changelog suchen.
Template-Bruch. Eine Funktion, auf die Dein individuelles Template aufbaut, hat sich geändert. Symptom: Layout-Verschiebungen, fehlende Elemente. Vorbereitung: bei größeren Updates immer Test-Lauf in einer Staging-Umgebung.
Datenbank-Migration hängt. Bei Major-Versionen schreibt das CMS Tabellen um. Wenn der Vorgang abbricht, ist die Datenbank in einem Zwischenzustand. Vorbereitung: aktuelles Backup zwingend, am besten direkt vor dem Update gezogen.
Der Rollback-Pfad ist immer derselbe: Dateien zurück aus dem Backup, Datenbank zurück aus dem Dump, Update später noch einmal mit den Korrekturen versuchen. Ein aktuelles Backup griffbereit macht aus einem Update-Drama eine Viertelstunde Aufräumen.
Wer kümmert sich konkret darum
Die Frage „wer macht das eigentlich" wird oft zu spät gestellt. Drei typische Konstellationen lassen sich nüchtern beschreiben.
Du selbst, weil Du Deine Webseite kennst und die Backend-Klicks verstehst: Dann brauchst Du den Rhythmus aus dem vorherigen Abschnitt und einen Kalender-Eintrag, der Dich monatlich erinnert.
Dein Webseiten-Dienstleister im Rahmen eines Wartungsvertrags: Dann steht im Vertrag, was abgedeckt ist. Lies nach, ob Sicherheits-Patches innerhalb von 72 Stunden zugesagt sind oder „im Rahmen der monatlichen Wartung". Das sind sehr unterschiedliche Versprechen.
Dein Hoster bei managed Hosting: Praktisch für Core und gängige Plugins, weniger praktisch bei individuellen Erweiterungen. Frag konkret nach, welche Komponenten der Hoster wartet und welche bei Dir bleiben.
Die ehrliche Antwort ist oft eine Mischung aus den drei Varianten. Wichtig ist, dass die Antwort existiert, bevor der erste Vorfall sie erzwingt.
Fazit — Hygiene statt Notfallthema
Updates sind keine Sicherheits-Notfälle, sondern ganz gewöhnliche Webseiten-Pflege. Wer den Rhythmus einmal eingestellt hat, gewinnt drei Dinge auf einmal: weniger akute Risiken, planbare Wartungs-Fenster und einen klaren Kopf, wenn der nächste Hinweis im Backend auftaucht.
Der strategische Hebel liegt in der Regelmäßigkeit, nicht in besserer Technik. Sicherheits-Patches zeitnah, Funktions-Updates monatlich, Major-Versionen mit Backup und Vorlauf. Drei Sätze, die Deine Webseite ruhig durch das Jahr tragen.