I version 5.5 af WordPress Core vil det nu være en mulighed, at aktivere auto-opdateringer for individuelle tema og plugins. Hvorfor indbygger WordPress nu denne funktion, hvilke fordele og ulemper er der? Det får du svar på her, samt min professionelle holdning til funktionen og hvad du bør gøre.
Uovervågede auto-opdateringer i WordPress
Denne slags opdateringer kaldes for uovervågede opdateringer og foregår automatisk som standard 2 gange om dagen, eller færre eller flere gange, hvis du har omskrevet reglerne for wp-cron.
WP-cron er WordPress' puls
Wp-cron kan beskrives som din websides puls, der pulserer med en bestemt frekvens. Under hvert "hjerteslag" udfører WordPress Core og de plugins, der er installeret en række funktioner. Og nu bliver en af WordPress cores funktioner altså at undersøge, om der er opdateringer og derpå foretage en automatisk opdatering, uden du som ejer eller webmaster skal foretage dig noget.
Det er måske værd at nævne, at auto-opdateringer har været en ting i WordPress-økosystemet længe. Vitale og større plugins har haft en auto-opdaterings-funktion indbygget, så man er sikret at få de nyeste sikkerhedsopdateringer øjeblikkeligt.
Hvad er formålet med auto-opdateringer i WordPress?
Absolut den største største angrebsvektor for hackere er sårbarheder i forældede og ikke vedligeholdte plugins og tema. WordPress er jo infamøst kendt for at være en usikker platform med masser af sikkerhedshuller. Det er sandt til en vis grad, og i særlig høj grad, hvis man ikke vedligeholder websiden, har forældet software og samtidig har brugt plugins og kode af ringere kvalitet til at begynde med.
WordPress teamet prøver derfor forståeligt nok at skærpe sikkerheden ved at tilføje automatisk opdatering. Spørgsmålet er om det skaber flere problemer end det løser.
Hvad er de potentielle problemer med automatiske opdateringer?
En af funktionerne min virksomhed udfører er som bekendt at vedligeholde WordPress websider, hvorunder opdatering af plugins hører. Derfor vil jeg starte med at lægge på bordet, at jeg bestemt mener, det er en god idé for mange websider at aktivere automatiske opdateringer, så længe man er bevidst om de potentielle faldgruber og stadigvæk tjekker op på websidens sundhed ofte.
Uheldig timing ved auto-opdatering
Når en opdatering finder sted sættes WordPress midlertidig i "maintenance mode". Uden kontrol over hvornår det sker, kan det ramme på et uheldigt tidspunkt, hvor kunder besøger din hjemmeside.
Man kan selvfølgelig aldrig vide med sikkerhed om websiden er helt rømmet for besøgene, men man kan danne sig et overblik med Google Analytics og udføre opdateringer på strategiske tidspunkter, hvilket er den strategi jeg anvender for mine klienter.
Introduktion af uhensigtsmæssig funktionalitet (eller deaktivering af vigtige)
Temaer og plugins, store som små, er i konstant dynamisk udvikling. Om det drejer sig om at tilføje eller fjerne features, eller udvikle på forretningsmodellen (fx. freemium vs premium features).
Når du ikke er tilstede under en opdatering, kan der snige sig uventede ændringer ind. Fx. kan funktionaliteten af et WooCommerce plugin ændre sig (planmæssigt) og afbryde en vigtig funktionalitet af din webshop.
Plugins er generelt gode til at informere om den slags og vejlede i stillingentagen efter en opdatering, men når ingen kigger med bliver informationen overset.
Fejlfinding
Hvis ikke problemet er åbenlys ved første øjekast, bliver det en kamp at fejlfinde et problem. Normalvis ved man, hvad der er opdateret hvornår og derfor er det en smal sag at isolere den kode, der volder problemer. Med automatiske opdateringer, holder man ikke aktivt øje med websiden før og efter en opdatering og derfor bliver det en langhåret affære efter nogen tid at finde frem til fejlen.
Det bliver specielt en træls affære, hvis du som webansvarlig får besked om problemet af en stresset kunde midt i din ferie eller weekend.
Samtidige opdateringer tvinger webserveren i knæ
Det kan ske, at en lang række plugins skal opdateres ved en wp-cron "puls" og webserveren løber tør for ressourcer til at eksekvere processerne. Det er ofte, hvad der sker, hvis du har oplevet at din webside har været utilgængelig et øjeblik med en 503 eller 500 fejl.
Jeg ser det ofte med websider hostet på en af one.com's mere økonomiske planer ved manuelle opdateringer/ændringer, men det kan ske for alle i den rigtige kontekst.
Plugins introducerer bugs, sårbarheder og uventet kode
I samme stil som punktet med uventet funktionalitet, kan plugins gøre nøjagtig som det passer dem under en opdatering. Der kan introduceres data-indsamlings cookies, malware, spam eller lignende disruptive elementer, der i bedste fald bryder med datastyrelsens/GDPR regler og ødelægger brugeroplevelsen af din hjemmeside.
Dog beskriver plugin forfatteren oftest ændringerne i detaljer i opdaterings noterne, der altid bør læses, og introduktion af malware i form af en opdatering er heldigvis en sjældenhed. Det er en af grundene til jeg altid anbefaler at bruge premium software til vigtige funktioner, hvor man højere grad kan stole på den nye kode i en opdatering.
Selv med premium plugins er det en god idé at være informeret om hvad enkelte opdateringer medfører af ændringer.
Kompatibilitetsproblemer ved store opdateringer og "wait and see" strategi
Store opdateringer af plugins og tema med bred berøringsflade kan forvolde inkompatibilitetproblemer, der kræver øjeblikkelig manuel problemløsning.
Her bør man altid være tilstede og sågar måske vælge en "wait and see" strategi. Lad WordPress-økosystemet prøvekøre store opdateringer og rapportere omkring potentielle inkompatibiliteter.
Husk det er kun sikkerhedsopdateringer, der er tidskritiske at få gennemført. Med en konversativ "wait and see" strategi, giver du desudenforfatteren af plugin'et tid til at udføre kvalitetssikring, dvs. udarbejde små fixes til den store opdatering baseret på den feedback der modtages gennem WordPress-økosystemet.
Det betyder at chancen er mindre for, at du løber ind i vanskeligheder ved en opdatering. Igen, timingen af opdateringer er af væsentlig betydning.
Konklusion
Der er potentielle problemer og uforudsete konsekvenser ved opdatering af enhver type af kodebase, specielt når det er automatisk. Af denne årsag er auto-opdateringsfunktionen implementeret som et tilvalg og ikke et fravalg. Du skal altså aktivt tage stilling til om et auto-opdateret WordPress site er risikoen værd.
Er WordPress auto-opdatering det værd for dig?
Hvis alternativet er, at du sjældent opdaterer, er det min holdning at du bør aktivere automatisk opdatering for alle dine plugins og tage hovedpinen, hvis det går galt.
Den bedste strategi er, at gøre det til en rutine at holde øje med din webside, om du bruger auto-opdateringer eller ej. Det er også vigtigt at holde øje med andre vitale livstegn for din webside. Kig ofte under "webstedshelbred", som du finder under værktøjer, men det stopper ikke her.
Specielt de eksterne livstegn, som din WordPress webside ikke kan måle selv, er vigtige. Såsom Google search console (Google's talerør til webmastere), blacklist monitorering og websidens responstid og oppetid.
Outsource vedligeholdelse og sikkerhed
Det er meget arbejde at kunne føle sig tryg med sin websides sundhed og sikkerhed, så hvis det er en overvældende eller tidskrævende opgave for dig, vil min anbefaling være at outsource det til en, der brænder for det. Check Webmaster Service ud eller giv mig et kald, hvis du har brug for afklaring.
