WordPress Update 2026: Core, Themes & Plugins sicher aktualisieren

Warum WordPress regelmäßig updaten

WordPress treibt 2026 mehr als 43 Prozent aller Websites weltweit an. Diese Reichweite macht das CMS zum Lieblingsziel für automatisierte Angriffe. Studien von Sucuri und Wordfence zeigen seit Jahren das gleiche Muster: rund 60 Prozent aller gehackten WordPress-Sites liefen zum Zeitpunkt des Angriffs auf veralteten Core-, Theme- oder Plugin-Versionen. Updates schließen exakt jene Sicherheitslücken, die Bots in Massen scannen.

Neben Security bringen Updates zweitens Performance-Gewinne. Jeder neue Core-Release optimiert Datenbank-Abfragen, reduziert PHP-Overhead und nutzt neue Browser-Features wie native Lazy-Loading oder WebP-Auslieferung. Drittens sichert ein aktuelles WordPress die Kompatibilität mit modernen PHP-Versionen. PHP 8.3 ist 2026 Standard, PHP 8.4 wird ausgerollt. Wer auf altem WordPress sitzt und gleichzeitig PHP updatet, riskiert sofortige Komplett-Ausfälle. Viertens bleibt nur ein aktuelles System mit aktuellen Plugins überhaupt kompatibel zu neuen Browsern, Zahlungsdienstleistern und DSGVO-Anforderungen.

Ein konkreter Fall aus 2025 illustriert die Folgen: die LiteSpeed-Cache-Schwachstelle CVE-2024-44000 erlaubte unauthentifizierten Angreifern Konto-Übernahmen. Patch war binnen 48 Stunden verfügbar. Sites, die ihn nicht innerhalb von zwei Wochen einspielten, wurden in Wellen kompromittiert. Bei Werbeagentur Luppert läuft daher auf jeder Kundensite ein 24-Stunden-Update-Fenster für Security-Releases.

Was beim Update kaputtgehen kann

Updates verlaufen in 95 Prozent der Fälle reibungslos. Die restlichen 5 Prozent sorgen aber zuverlässig für Schweißausbrüche, weil sie die Seite komplett lahmlegen können. Der Klassiker ist der White Screen of Death (WSOD): nach dem Update lädt das Frontend nur noch eine weiße Seite, das Backend zeigt einen PHP-Fehler oder ebenfalls Weiß. Ursache ist meist ein Plugin oder Theme, das mit der neuen WordPress- oder PHP-Version inkompatibel ist und einen Fatal Error wirft.

Zweite Gefahr sind Plugin-Konflikte. Plugin A und Plugin B funktionieren beide einzeln, aber ihre neuen Versionen kollidieren plötzlich, etwa weil beide denselben Hook in einer geänderten Reihenfolge nutzen. Drittens kann ein Theme-Update Anpassungen überschreiben, die nicht in einem Child-Theme liegen. Wer im Parent-Theme editiert hat, verliert mit dem Update alle Änderungen. Viertens treten Datenbank-Fehler auf, wenn ein Plugin sein Datenbank-Schema während des Updates migriert und der PHP-Speicher mitten im Prozess ausgeht. Resultat: halb migrierte Tabellen und seltsame Fehlermeldungen.

Fünftens hängen Updates manchmal komplett. Das WordPress-Frontend zeigt dann den berüchtigten Hinweis „Briefly unavailable for scheduled maintenance. Check back in a minute“. Die Seite ist dauerhaft offline, weil das Wartungsmodus-Flag nicht zurückgesetzt wurde. Sechstens gibt es Speicher-Probleme: PHP-Memory-Limit zu niedrig, das Update bricht ab. All diese Pannen sind beherrschbar, vorausgesetzt ein aktuelles Backup existiert.

Pflicht: Backup vor jedem Update

Ohne Backup kein Update. Diese Regel ist 2026 nicht verhandelbar. Drei Backup-Wege funktionieren zuverlässig und decken praktisch alle Szenarien ab.

Erstens UpdraftPlus. Das Plugin ist Marktführer mit über 3 Millionen aktiven Installationen. Free-Version reicht für die meisten KMU-Sites: vollständiges Backup von Datenbank und Dateien, Ablage in Google Drive, Dropbox, Amazon S3 oder direkt aufs Hoster-FTP. Setup-Zeit unter 10 Minuten. Premium-Version ab 70 USD pro Jahr bringt inkrementelle Backups und Multisite-Support.

Zweitens BackWPup. Stabile Alternative, ebenfalls mit Free-Version. Stärken liegen bei großen Sites mit komplexen Backup-Plänen — etwa wöchentlich volles Backup auf S3, täglich Datenbank-Backup auf FTP. Setup ist etwas komplexer, dafür sehr flexibel.

Drittens das Hoster-Backup. Jeder seriöse Hoster (All-Inkl, IONOS, Raidboxes, Kinsta, SiteGround) bietet 2026 tägliche Backups inklusive. Vor einem manuellen Update reicht ein Klick im Hoster-Dashboard auf „Backup jetzt erstellen“. Vorteil: läuft außerhalb von WordPress, scheitert also nicht, wenn WordPress selbst kaputtgeht.

Pflicht-Workflow vor jedem Update: Backup auslösen, warten bis der Hoster oder das Plugin „erfolgreich“ meldet, Backup-Datei testweise herunterladen und prüfen, dass sie nicht 0 KB groß ist. Erst dann das Update starten. Wer regelmäßig größere Updates fährt, sollte zusätzlich einen Restore-Test machen — also das Backup auf eine Staging-Umgebung zurückspielen und prüfen, ob die Site dort startet. Backups ohne Restore-Test sind oft wertlos.

Update-Reihenfolge: Plugins zuerst oder Core zuerst

Die Reihenfolge der Updates entscheidet oft, ob am Ende alles läuft. Best Practice 2026 nach Erfahrung von Wartungs-Agenturen und WordPress-Core-Entwicklern:

Schritt 1: Backup. Schritt 2: Plugins aktualisieren — einzeln, nicht alle auf einmal. Nach jedem Plugin-Update Frontend kurz prüfen. Schritt 3: Themes aktualisieren (sofern kein Child-Theme die Anpassungen schützt — sonst Vorsicht). Schritt 4: WordPress-Core aktualisieren. Schritt 5: Vollständiger Smoke-Test im Frontend.

Begründung: Plugin-Entwickler veröffentlichen ihre Updates meist kurz vor oder direkt nach einem neuen Core-Release, damit Kompatibilität gegeben ist. Updatet man zuerst den Core, läuft die Site einen Moment mit veralteten Plugins gegen ein neues WordPress — höheres Risiko für Fatal Errors. Updatet man die Plugins zuerst, sind sie meist schon auf den kommenden Core vorbereitet.

Ausnahme: Security-Releases im Core (z. B. 6.5.3 statt 6.5.0). Solche Patches sollten sofort eingespielt werden, ohne auf Plugin-Updates zu warten. Die Wahrscheinlichkeit, dass ein Security-Patch ein Plugin bricht, ist sehr niedrig — die Wahrscheinlichkeit eines Angriffs auf eine ungepatchte Lücke dagegen sehr hoch.

Empfohlene Update-Frequenz 2026: Plugins wöchentlich prüfen und updaten, Themes monatlich, Core sofort bei jedem Security-Release und ansonsten innerhalb von 7 Tagen nach Veröffentlichung. Wer mehrere Sites betreut, automatisiert die Übersicht mit ManageWP, MainWP oder InfiniteWP.

Methode 1: Manuelles Update aus dem WP-Dashboard

Das WP-Admin-Dashboard ist der einfachste Weg für 90 Prozent aller Updates. Voraussetzung: Admin-Account und schreibender FTP-Zugriff auf den Hoster (die meisten Hoster richten das automatisch ein).

Schritt-für-Schritt:

1. Einloggen im WP-Admin unter /wp-admin.
2. Backup auslösen (UpdraftPlus → „Sichern Sie jetzt“).
3. „Dashboard → Aktualisierungen“ öffnen. Hier listet WordPress alle anstehenden Updates: Core, Themes, Plugins, Übersetzungen.
4. Plugins zuerst: Häkchen vor allen Plugins setzen, „Plugins aktualisieren“ klicken. Bei vielen Updates besser in Gruppen von 5 bis 10 — so lässt sich der Übeltäter bei Problemen schneller finden.
5. Themes: nur updaten, wenn Anpassungen via Child-Theme abgesichert sind.
6. Core zuletzt: auf „Jetzt aktualisieren“ klicken. WordPress lädt die neue Version, ersetzt die Core-Dateien, aktualisiert die Datenbank-Struktur. Dauert je nach Hosting 30 bis 90 Sekunden.
7. Während des Updates erscheint kurz die Wartungsseite. Nach Abschluss erscheint die Willkommen-Seite des neuen Core-Releases.
8. Frontend in einem privaten Browser-Fenster aufrufen und kurz prüfen.

Das Dashboard-Update ist anfängerfreundlich, hat aber zwei Schwachstellen: bei FTP-Problemen wird WordPress nach den FTP-Daten fragen (Hoster-spezifisch lästig), und bei sehr großen Plugin-Listen kann das Browser-Fenster timeouten. Für solche Fälle eignet sich WP-CLI besser.

Methode 2: Automatische Updates

WordPress unterstützt seit Version 5.5 automatische Background-Updates für Core, Themes und Plugins. 2026 ist die Funktion ausgereift und bei richtiger Konfiguration ein riesiger Zeitsparer.

Variante A: Auto-Updates per wp-config.php-Konstanten. In die wp-config.php vor der Zeile „That’s all, stop editing!“ einfügen:

define('WP_AUTO_UPDATE_CORE', true); — aktiviert volle Core-Auto-Updates (Major und Minor).
define('WP_AUTO_UPDATE_CORE', 'minor'); — nur Security- und Minor-Patches automatisch, Major-Releases manuell. Empfohlene Einstellung für Production-Sites 2026.

Variante B: Auto-Updates im Dashboard. Seit WordPress 5.5 zeigt jede Plugin- und Theme-Liste eine Spalte „Automatische Updates aktivieren“. Mit einem Klick pro Plugin lässt sich die Auto-Update-Funktion einzeln steuern. Vorteil: granular, ohne Code.

Variante C: Easy Updates Manager. Das gleichnamige Plugin (kostenlose Version reicht) bringt eine zentrale Oberfläche für alle Auto-Update-Einstellungen, plus Log und Benachrichtigung per E-Mail bei jedem Auto-Update. Empfehlung für nicht-technische Site-Betreiber.

Vor- und Nachteile. Vorteile: Security-Patches landen automatisch, kein manuelles Einspielen nötig, Zeitersparnis bei vielen Sites. Nachteile: ein Auto-Update kann nachts unbemerkt die Site zerschießen. Daher Pflicht: täglich automatisches Backup vorher (UpdraftPlus oder Hoster), Uptime-Monitor wie UptimeRobot, der innerhalb von 5 Minuten Bescheid gibt, wenn die Site offline ist.

Empfehlung für KMU-Sites 2026: Core-Minor-Updates automatisch, Plugin-Updates automatisch nur für etablierte Plugins (Yoast, WP Rocket, WooCommerce-Core), kritische E-Commerce-Plugins lieber manuell mit Staging-Test.

Methode 3: Update auf Staging-Umgebung erst testen

Für jede E-Commerce-Site, jede komplexe Membership-Plattform und jede Site mit individuellem Custom-Code gilt 2026: kein Live-Update ohne Staging-Test vorab. Drei Wege bieten sich an.

Weg 1: Hoster-Staging. Raidboxes, Kinsta, SiteGround und WP Engine bieten Ein-Klick-Staging. Die Live-Site wird auf einen Staging-Server geklont (Subdomain wie staging.meineseite.de), Updates laufen dort, nach erfolgreichem Test wird per Klick auf Live gepusht. Komfortabel, kostet aber meist Hoster-Tarife ab 30 EUR pro Monat.

Weg 2: LocalWP-Workflow. Die Live-Site mit All-in-One WP Migration als ZIP exportieren, in Local by Flywheel importieren, alle Updates lokal einspielen, Smoke-Test machen, dann auf der Live-Site die gleichen Updates manuell wiederholen. Kostenlos, aber zeitaufwendig. Gut geeignet für Major-Updates wie der Sprung von WordPress 6 auf eine neue Major-Version.

Weg 3: WP Stagecoach oder WP Staging Plugin. Plugin erstellt direkt auf der Live-Server-Umgebung eine Klon-Site unter einer Sub-Directory wie /staging. Updates dort testen, nach Freigabe per Push auf Live übertragen. WP Staging Free reicht für einfache Sites, Pro ab 89 EUR pro Jahr für Multisite und große Stores.

Workflow auf Staging: Updates installieren, Frontend komplett durchklicken (Homepage, Produktseiten, Kontaktformular, Checkout, Login, ggf. Membership-Bereich), Backend prüfen (Editor, Customizer, Gutenberg-Blöcke), Lighthouse oder PageSpeed testen, Browser-Console auf JavaScript-Errors prüfen. Erst nach grünem Licht das gleiche Update auf Live wiederholen.

Methode 4: WP-CLI Updates für Profis

WP-CLI ist 2026 das Profi-Werkzeug für WordPress-Administration aus der Kommandozeile. Updates laufen damit in Sekunden, ohne Klickerei im Browser, ohne FTP-Dialoge, ohne Timeouts.

Voraussetzung: SSH-Zugriff auf den Server und WP-CLI installiert. Die meisten seriösen Hoster (Raidboxes, Kinsta, SiteGround, All-Inkl Premium) bringen WP-CLI 2026 vorinstalliert mit.

Die wichtigsten Befehle:

wp core check-update — prüft, ob ein neuer Core verfügbar ist.
wp core update — aktualisiert WordPress-Core auf die neueste Version.
wp core update-db — führt die Datenbank-Migration nach einem Core-Update aus.
wp plugin list --update=available — listet alle Plugins mit verfügbarem Update.
wp plugin update --all — aktualisiert alle Plugins in einem Rutsch.
wp plugin update yoast-seo wordfence — aktualisiert nur die genannten Plugins.
wp theme update --all — aktualisiert alle Themes.
wp language core update — holt die aktuellen Übersetzungen.

Best-Practice-Sequenz für ein komplettes Update via WP-CLI:

wp db export backup.sql — Datenbank-Backup vor dem Update.
wp plugin update --all — alle Plugins.
wp theme update --all — alle Themes.
wp core update — Core.
wp core update-db — DB-Migration.
wp cache flush — Cache leeren.

Alles in unter 60 Sekunden, scriptbar, automatisierbar via Cronjob. Werbeagentur Luppert nutzt WP-CLI für die Update-Routinen aller Wartungs-Kunden — Stundensatz für solche Pflege-Sessions liegt bei 70 €/h, im Wartungspaket ab 29,99 €/Monat enthalten.

Nach dem Update: Was prüfen

Ein Update ist erst abgeschlossen, wenn der Smoke-Test grün ist. Folgende Punkte gehören in die Post-Update-Checkliste 2026.

Frontend-Smoke-Test. Startseite, eine Unterseite, Kontaktformular einmal absenden, ein Bild im Lightbox-Modus öffnen, bei E-Commerce einen Test-Checkout durchspielen. Alles in einem privaten Browser-Fenster, damit kein gecachter Stand das Bild verfälscht.

Plugin-Status. Im Backend unter „Plugins“ prüfen, ob alle aktiv geblieben sind. Manche inkompatible Plugins werden vom Core automatisch deaktiviert. Liste mit Notice am Kopf der Seite.

Speed-Check. Lighthouse oder PageSpeed Insights laufen lassen. Vergleich zur vorherigen Messung. Sollten Werte plötzlich um mehr als 10 Punkte gefallen sein, ist meist ein Caching-Plugin in einen inkonsistenten Zustand geraten — Cache leeren und nochmal messen.

Browser-Console. Entwicklertools öffnen, Tab „Konsole“. JavaScript-Errors deuten oft auf veraltete Plugin-Scripts oder kollidierende jQuery-Versionen hin. Auch Mixed-Content-Warnungen (HTTP-Ressourcen auf HTTPS-Site) tauchen hier auf.

Theme-Customizer. Unter „Design → Customizer“ prüfen, ob alle Anpassungen noch sichtbar sind. Bei einem fehlenden Child-Theme können Updates Anpassungen geschluckt haben.

Server-Error-Log. Im Hoster-Backend das PHP-Error-Log prüfen. Fatal Errors oder Notices, die nach dem Update neu auftauchen, sind Frühwarnsignale für später aufpoppende Bugs.

WooCommerce-Spezifika. Bei E-Commerce zusätzlich „WooCommerce → Status → Tools“ laufen lassen, „Datenbank-Update“ antippen, Permalinks neu speichern unter „Einstellungen → Permalinks“. Zahlungs-Gateway mit einem Test-Order prüfen.

Häufige Probleme + Fixes

Problem 1: Update hängt auf „Briefly unavailable for scheduled maintenance“. WordPress hat während des Updates die Datei .maintenance im Web-Root angelegt und beim Crash nicht entfernt. Fix: per FTP oder Hoster-File-Manager ins Root-Verzeichnis, Datei .maintenance löschen. Die Site läuft sofort wieder.

Problem 2: White Screen of Death nach Plugin-Update. Per FTP in /wp-content/plugins/ wechseln, den Ordner des verdächtigen Plugins umbenennen (z. B. „pluginname“ zu „pluginname_off“). WordPress deaktiviert das Plugin automatisch und die Site lädt wieder. Danach Plugin entweder durch eine ältere Version ersetzen oder beim Plugin-Autor melden.

Problem 3: Update bricht mit Fatal Error wegen Memory-Limit ab. In wp-config.php einfügen: define('WP_MEMORY_LIMIT', '512M');. Damit erhöht WordPress das PHP-Memory-Limit. Bei sehr großen Sites notfalls 1024M, wenn der Hoster mitspielt.

Problem 4: WordPress fragt nach FTP-Daten beim Update. Ursache sind falsche Dateirechte. In wp-config.php einfügen: define('FS_METHOD', 'direct');. Damit umgeht WordPress den FTP-Weg. Voraussetzung: PHP läuft als gleicher User, dem die Dateien gehören.

Problem 5: Datenbank-Fehler nach Core-Update. Die Datenbank-Migration ist nicht vollständig durchgelaufen. Aufrufen: https://meineseite.de/wp-admin/upgrade.php. Dort den Button „WordPress-Datenbank aktualisieren“ klicken. WordPress führt die fehlende Migration manuell aus.

Problem 6: Theme-Anpassungen verschwunden. Anpassungen waren im Parent-Theme statt im Child-Theme. Backup zurückspielen, Anpassungen aus dem Backup in ein neu angelegtes Child-Theme kopieren, dann das Update erneut starten.

Problem 7: 500 Internal Server Error. Meist eine korrupte .htaccess. Per FTP umbenennen zu .htaccess_old, im Backend unter „Einstellungen → Permalinks“ einmal speichern — WordPress legt eine frische .htaccess an.

Problem 8: Plugin-Updates schlagen mit „Could not create directory“ fehl. Schreibrechte fehlen. Per SSH oder Hoster-Panel: chmod 755 für /wp-content/plugins/. Falls nicht ausreichend, chown auf den Web-User setzen. Bei Verständnisproblemen den Hoster-Support anfragen.

Häufige Fragen 2026

Kostenloses Angebot
☎ Jetzt anrufen