Content Management System updaten
Sie verwenden für Ihren Internet-Auftritt ein Content Management System (CMS) wie z. B. Drupal, WordPress, Joomla oder Typo3? Falls ja: Wann haben Sie Ihr System zuletzt geupdated?
Besteht der eigene Internet-Auftritt nur aus ein paar statischen HTML-Seiten, die auf dem Server liegen, haben Sie das Problem nicht (dafür andere). Setzen Sie aber ein CMS ein, werden Sie hin und wieder mit Updates konfrontiert. D. h. das CMS-Programm wurde weiterentwickelt und jetzt stehen Sie vor der Frage, ob Sie diese Weiterentwicklung verwenden möchte oder nicht.
Besonders die sog. Sicherheitsupdates, die bekannte Sicherheitslücken schließen, sollten Sie unbedingt einspielen! Sonst kann es z. B. passieren, dass Sie eines Tages Links auf Ihrer Kanzlei-Homepage entdecken, die dort gar nicht hingehören. So schon erlebt mit einem veralteten Joomla, als Google die Seite eines Kollegen aus dem Index nahm wegen versteckter Links zu Online-Pokerseiten und Schlimmerem.
Je nachdem, welches System Sie verwenden, ist so ein Update unterschiedlich komplex. Das reicht von einem einfachen Mausklick bis hin zu mehrstündigen komplizierten Operationen auf dem Server.
Tipp: Machen Sie vor jedem (!) Update ein Backup, also eine Kopie Ihres kompletten Systems! So können Sie notfalls Ihr System wiederherstellen, falls doch einmal etwas schief geht.
Beispiel Drupal 6
Für ralfzosel.de verwende ich Drupal Version 6. Am vergangenen Wochenende habe ich mich mal wieder um die Updates gekümmert. Sowohl der Drupal-Kern war veraltet, als auch zahlreiche Module. Ich habe es diesmal so gemacht, dass ich das bestehende System kopiert und mir parallel zur laufenden Installation ein Testsystem eingerichtet habe. Dort habe ich dann zunächst den Kern geupdated (das ist immer etwas aufwändiger) und dann alle veralteten Module auf einmal. Nachdem das ganze noch immer einen stabilen Eindruck machte, habe ich das Testsystem zum neuen Produktivsystem deklariert.
Migration nach Drupal 7?
Schon seit dem Frühjahr ist Drupal 7 auf dem Markt und dort wurde auch der Update-Mechanismus wesentlich vereinfacht. Ähnlich wie z. B. bei WordPress kann man jetzt veraltete Module einfach per Mausklick updaten. Jedenfalls theoretisch – in der Praxis bin ich auf Probleme gestoßen, siehe hier.
So eine Migration von Drupal 6 nach Drupal 7 ist eine Wissenschaft für sich – jedenfalls, wenn man das erste Mal vor dieser Herausforderung steht. Einen Eindruck davon vermittelt diese Anleitung.
Never change a running system. Kann ich nicht einfach auf die Migration verzichten?
Kann man schon. Aber spätestens, wenn in ein oder zwei Jahren Drupal 8 herauskommt, wird die 6’er Version nicht mehr gepflegt, so dass man dann auch keine Security Updates mehr bekommt.
Ich werde mich also weiter um die Migration bemühen und berichte hier von meinen Erfahrungen.
Fazit
Aus Sicherheitsgründen sollte man sein Content Management System stets aktuell halten. Der Aufwand hierfür ist überschaubar. Kompliziert wird es bei einem Versionssprung (z. B. von Drupal 6 auf Drupal 7). Verzichtet man dann auf die Migration, wird man früher oder später abgehängt und bekommt keine Sicherheitsupdates mehr.
Wie halten Sie es mit den Updates? Welche Erfahrungen haben Sie mit Ihrem CMS gemacht?
Letztes Wochenende konnte ich das angekündigte Update endlich über die Bühne bringen, siehe http://ralfzosel.de/blog/update-auf-drupal-7
Ich bin sehr sehr zwievgespalten bei diesem Thema. Die Migration von dp6 zu dp7 ist nicht ganz trivial. Wir haben diese bereits mehrmals erfolgreich durchgeführt, aber bei Datenbankgrößen >1GB (ohne Tabellen_User, acesslog, watchdog, saerch_index) gibt es immer wieder convert-Fehler, die nicht so einfach auszubügeln sind und viel Zeit in Anspruch nehmen. Es sei gründlich überlegt bis wann ein update auf eine neue Version Sinn macht. Innerhalb der Versionen 6.* oder 7.* sind die updates einfach zu gestalten.
Fazit: man ist gezwungen am Puls der Zeit zu bleiben und auf neue Versionen zu gehen. Wir hoffen das sich der Migrations-Prozess von dp7 auf dp8 deutlich einfacher gestaltet. Bis zu einer kritischen Datenmenge ist das bereits bei dp6 ->dp7 möglich. Aber einer kritischen Größe sind Kenntnis von sql und ssh fast zwingend erforderlich.
Dass auch andere als „nur“ Sicherheitsprobleme auftreten können, zeigt dieser Beitrag.