WordPress automatiska uppdateringar är som standard endast påslaget för säkerhetspatchar såsom version 6.6.1 till 6.6.2, men inte för versionsuppdateringar såsom 6.5.X till 6.6.X. Samtidigt finns möjligheten att aktivera automatiska uppdateringar för plugins, tema och WordPress-version. Jag kommer i denna artikel förklara varför jag inte anser att helt automatiska uppdateringar normalt är en bra lösning, samt hur man kan säkerställa att uppdateringar ändå körs återkommande och under kontrollerade former.
Därför behöver WordPress, plugins och tema uppdateras
När ett säkerhetshål i ett känt plugin upptäcks, så kan det utnyttjas av automatiska robotskript som testar tusentals och åter tusentals WordPress webbplatser, i ett försök att göra intrång. Den som utför hackerattacken är alltså ofta en robot snarare än en människa, även om det även förekommer riktade attacker som utförs av människor.
Genom att hålla WordPress, plugins och tema uppdaterat så skyddas webbplatsen bättre, genom att nya versioner tenderar att åtgärda upptäckta säkerhetsbrister. Utöver det så innebär uppdateringar även att din WordPress hemsida utvecklas och hänger med i teknisk utveckling och t.ex. är kompatibel med senaste versionen av PHP.
Jag erbjuder genomgång av WordPress säkerhet eller rensning av hackad WordPress webbplats om så önskas.
Varför jag inte rekommenderar WordPress automatiska uppdateringar
Det kan först se ut som en enkel och säker lösning att aktivera WordPress automatiska uppdateringar för inte bara WordPress utan även plugins och aktuellt tema. Dock är det enligt min erfarenhet inte riktigt sÃ¥ enkelt …
WordPress består av tiotusentals plugins och teman som i sin tur behöver testas för att säkerställa att de fungerar med varandra. När en uppdatering av WordPress, plugins eller tema körs, sår är det enligt min erfarenhet hyfsat vanligt (Grovt uppskattat i 40% av fallen) att något behöver åtgärdas efter uppdateringen. Det kan vara småsaker, eller att saker inte ser likadant ut som innan, att saker slutar fungera eller i värsta fall att webbplatsen helt går ner och behöver felsökas.
Automatiska WordPress uppdateringar innebär alltså att nya versioner installeras automatiskt innan ni hunnit testa dem. Detta kan leda till problem som kommer när du minst vill ha dem, exempelvis under helger eller semestertider. Automatiska uppdateringar kan leda till akuta problem som behöver lösas direkt, samtidigt som du då måste lägga allt annat åt sidan och jaga din WordPress utvecklare på nolltid, eller försöka lösa det själv.
WordPress standardkonfiguration är därför att mindre säkerhetspatchar körs automatiskt medans versionsuppdateringar inte gör det. Inte heller plugins eller tema uppdateras automatiskt som standard.
WordPress garanterar att säkerhetspatchar släpps till senaste versionen av WordPress, exempelvis 6.6.1 till 6.6.2 och en sådan patch körs alltså automatiskt med en standard konfiguration av WordPress. Samtidigt släpps och körs normalt automatiskt patchar för ett antal versioner tillbaka i tiden, exempelvis 6.4.2 till 6.4.3. Därav kan WordPress i sig hållas säkert med en något äldre version, även om WordPress i sin tur behöver uppdateras återkommande.
En plan för återkommande uppdateringar behövs
Genom att ha en plan för återkommande uppdateringar av WordPress, plugins och tema, där uppdateringen sker under kontrollerade former, så kan du säkerställa både funktionalitet och hög säkerhet.
Jag brukar rekommendera mina kunder att teckna ett WordPress serviceavtal med mig, där vi bokar in återkommande uppdateringar t.ex. var 3:e, var 6:e eller var 12:e månad.
Som komplement används Wordfence, dels för antimalware, mjukvarubrandvägg och högre säkerhet, men även för Wordfence förmåga att meddela mig som administratör när kritiska säkerhetshål upptäckts i plugins. Detta innebär att mindre och extra uppdateringar av enskilda plugins kan köras vid behov såsom allvarliga säkerhetshål.
Uppdatera WordPress, plugins och tema under kontrollerade former
För att säkerställa att din webbplats fortsätter att fungera, rekommenderar jag att uppdateringar av WordPress, plugins och tema först körs i en testmiljö, t.ex. under dev.dindomän.se. Där kan du i lugn och ro testa att allt fungerar normalt, samt lösa eventuella fel som uppstår.
Innan uppdatering i produktionsmiljön, bör du alltid se till att det finns en färsk totalbackup av filer och databas. Många webbhotell erbjuder denna tjänst, där nattliga backuper körs och sparas en tid tillbaka.
Personligen tar jag ändå utöver detta alltid även en färsk manuell backup av WordPress webbplatsen. Många gånger har jag haft nytta av och räddats av backuper.
För mindre webbplatser tycker jag att kan du även köra uppdateringar direkt i produktionsmiljön, så länge en färsk backup finns. Skulle allvarliga fel uppstå så återställer du webbplatsen och sätter först då upp en testmiljö och felsöker.
Många webbhotell erbjuder smidiga verktyg i kontrollpanelen för kontot, som att med ett knapptryck duplicera webbplatsen till en subdomän. Glöm dock inte att för kopian, inaktivera kopplingen för plugins kopplade till statistik eller synkningar med affärssystem och liknande, samt blockera indexering i sökmotorer. Slutligen behöver du även radera din utvecklingsversion när arbetet är klart, så att inte den WordPress-installationen glöms av och blir liggandes ouppdaterad.
Testa utskick av e-post i samband med planlagd uppdatering
I kampen mot spam ställs undan för undan mer omfattande tekniska krav och autentisering vid utskick av e-post. Men en uppdatering kan även ställa till det på så sätt att formulär slutar fungera korrekt.
Detta innebär att du i samband med uppdateringar även behöver testa att WordPress skickar e-post korrekt, med fungerande formulär och att mailet faktiskt kommer fram till mottagaradressen.
Jag brukar testa kvalitet på utskick med mail-tester.com och försöker hålla högsta möjliga betyg på utskick från webbplatsen. Då exempelvis med korrekt konfiguration av viktiga DNS-records såsom DKIM, DMARC och SPF, samt kontroll att inte serverns ip är svartlistad.
Många WordPress webbplatser har bristande konfiguration av utskick med formulär som faller i glömska och där du månader eller i värsta fall år senare upptäcker formulär som inte fungerar eller inte når fram till mottagande e-postadress. Detta innebär ju i sin tur missade kunder och förlorade intäkter.
Därför har jag som vana att som en del i mitt serviceavtal för WordPress, även göra stickprov för formulär och vid behov kontrollera kvaliteten på utskick från WordPress.
Hur man aktiverar automatiska uppdateringar i WordPress
Min rekommendation är WordPress standardinställning, dvs att du manuellt initierar versionsuppdateringar av WordPress, plugin och tema. Men om du ändå vill aktivera helt eller delvis automatiska uppdateringar, så kan det göras på två sätt.
1. Via ett plugin, såsom Easy Updates Manager
Det finns lite olika plugins för att hantera uppdateringar i WordPress, men i detta exempel använder vi Easy Updates Manager.
När du installerat pluginet, gå till Admin panel -> Update options
Nu kan du ändra inställningarna och om så önskas aktivera automatiska uppdateringar i WordPress.
2. Automatiska uppdateringar i WordPress utan plugin
Här behöver du ha tillgång till webbplatsens filer, t.ex. via FTP eller via en filhanterare i webbhotellets kontrollpanel. I root-mappen finns filen wp-config.php. Den ska du öppna och redigera. Fortsätt endast om du vet vad du håller på med.
Nedanstående kodsnuttar styr automatiska uppdateringar.
Automatisk uppdatering av WordPress versioner
define( 'WP_AUTO_UPDATE_CORE', true );
Automatisk uppdatering av plugins
add_filter( 'auto_update_plugin', '__return_true' );
Automatisk uppdatering av tema
add_filter( 'auto_update_theme', '__return_true' );
Hur man aktiverar automatiska uppdateringar för enskilda plugins
Även om min rekommendation är att köra uppdateringar under kontrollerade former med totalbackup före och testning efteråt, så kan det finnas fall du automatisk uppdatering för enskilda plugins är lämplig. Det bör i sådana fall enligt mig vara plugins som rör säkerhet eller funktionalitet som inte kan få hela webbplatsen att gå ner vid fel.
För att aktivera automatisk uppdatering för ett specifikt plugin i WordPress, gÃ¥ till Tillägg och i kolumnen till höger tryck ”Aktivera automatiska uppdateringar” för önskat plugin.
Slutsats
Min rekommendation är att hålla WordPress, plugins och tema uppdaterat, men under kontrollerade former där du tar totalbackup av filer och databas innan en uppdatering och att webbplatsen testas efteråt.
Automatiska uppdateringar är visserligen bra för säkerheten, men när du minst önskar det så kan problem uppstå på din webbplats efter en uppdatering. I värsta fall går hela webbplatsen ner eller att allvarliga tekniska problem uppstår på helgen, under semestern eller när du verkligen inte har tid.
Min lösning är serviceavtal för Wordress, där du får kombinationen av återkommande uppdateringar av WordPress och plugins, samt att hög säkerhet.
Vanliga frågor
Är automatiska uppdateringar i WordPress bra?
WordPress standardkonfiguration innebär att säkerhetspatchar för ett antal versioner av WordPress tillbaka i tiden, släpps och installeras automatiskt. Dock är inte versionsuppdateringar automatiska för varken WordPress, plugins eller tema. Anledningen till det är att många föredrar att i lugn och ro kunna testa och utvärdera uppdateringar innan de släpps skarpt. Automatiska uppdateringar kan när de körts orsaka problem eller att webbplatsen går ner.
Ett alternativ till automatiska uppdateringar är en plan för återkommande uppdateringar under kontrollerade former, där totalbackup tas före och webbplatsen testas efter uppdateringen. Genom att hålla koll på kända säkerhetsluckor t.ex. via ett säkerhetsplugin såsom Wordfence, så kan du som administratör få reda på när extra uppdateringar bör köras mellan intervall för planerade uppdateringar.
Hur ofta bör man uppdatera WordPress, plugins och tema?
WordPress, plugins och tema bör hållas uppdaterat. Detta eftersom hackare tenderar att utnyttja kända svagheter i icke uppdaterade versioner.
Automatiska uppdateringar ger visserligen hög säkerhet, men innebär att uppdateringar körs utan att testas, vilket i sin tur kan ställa till problem när som helst. Genom att teckna ett WordPress serviceavtal för återkommande uppdateringar av WordPress och plugins under kontrollerade former, säkerställer du både att webbplatsen fortsätter fungera och hög säkerhet.