Automatische WordPress-Updates wurden mit WordPress 3.7 (2013) eingeführt und mit WordPress 5.5 (August 2020) auf Plugins und Themes erweitert. Sie installieren Minor-Core-, Plugin-, Theme- und Übersetzungsupdates ohne manuelles Eingreifen. Du kannst sie global über die Konstante WP_AUTO_UPDATE_CORE in der wp-config.php, granular über die Filter auto_update_plugin und auto_update_theme in der functions.php oder pro Element im WordPress-Admin unter Plugins und Design » Themes deaktivieren.
Soll ich automatische Updates 2026 deaktivieren?
Für die meisten Seiten lautet die Antwort nein. Automatische Minor-Updates schließen bekannte Sicherheitslücken innerhalb weniger Stunden nach Release und haben seit 2013 eine sehr zuverlässige Erfolgsbilanz. Deaktiviere sie nur, wenn du einen kontrollierten Deployment-Prozess, eine Staging-Umgebung mit automatisierten Tests oder Kompatibilitätsrisiken mit eigenem Code hast.
- Aktiviert lassen wenn: Single-Site-WordPress, kein Custom-Code, kein Staging-Workflow.
- Deaktivieren erwägen wenn: kritisches E-Commerce, custom-codierte Plugins/Themes, regulierte Branche (Finanz, Gesundheit), oder eigene Staging-→Produktiv-Pipeline.
Welche Update-Typen kann ich steuern?
- Core-Major (z. B. 6.4 → 6.5) — standardmäßig deaktiviert, Opt-in.
- Core-Minor (z. B. 6.5.1 → 6.5.2) — seit WP 3.7 standardmäßig aktiviert.
- Core-Nightlies — nur Opt-in.
- Plugin-Auto-Updates — Opt-in pro Plugin seit WP 5.5.
- Theme-Auto-Updates — Opt-in pro Theme seit WP 5.5.
- Übersetzungen — standardmäßig aktiviert.
Methode 1: Über wp-config.php deaktivieren (empfohlen)
Bearbeite die wp-config.php im WordPress-Stammverzeichnis und füge oberhalb der Zeile /* That's all, stop editing! */ eine der folgenden Zeilen ein:
// ALLE Updates (Core, Plugins, Themes, Übersetzungen) deaktivieren
define( 'AUTOMATIC_UPDATER_DISABLED', true );
// ODER: Nur Core-Auto-Updates deaktivieren (Plugins/Themes/Translations bleiben aktiv)
define( 'WP_AUTO_UPDATE_CORE', false );
// ODER: Nur Minor- und Sicherheitsupdates erlauben (Standard seit WP 3.7)
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
// ODER: Auch Major-Versionen automatisch installieren
define( 'WP_AUTO_UPDATE_CORE', true );Konstanten in der wp-config.php überschreiben jede UI-Einstellung und jeden Filter — daher der sicherste Ort, um die Policy auf Produktivsystemen zu erzwingen.
Methode 2: Plugin- und Theme-Auto-Updates über functions.php deaktivieren
In der functions.php deines Child Themes oder einem eigenen mu-plugin ergänzen:
// Alle Plugin-Auto-Updates deaktivieren
add_filter( 'auto_update_plugin', '__return_false' );
// Alle Theme-Auto-Updates deaktivieren
add_filter( 'auto_update_theme', '__return_false' );
// Übersetzungs-Auto-Updates deaktivieren
add_filter( 'auto_update_translation', '__return_false' );Methode 3: Pro Plugin oder Theme im Admin-UI deaktivieren
Seit WordPress 5.5 hat jedes Plugin und Theme einen eigenen Schalter:
- Plugins: WP-Admin » Plugins → Spalte "Automatische Updates" → Auto-Updates deaktivieren klicken.
- Themes: WP-Admin » Design » Themes → Theme öffnen → Auto-Updates deaktivieren.
Warum laufen meine Auto-Updates still ins Leere?
Wenn Updates aktiviert sind, aber nichts passiert, prüfe:
- Dateirechte: WordPress braucht Schreibrechte auf
wp-content/und das Stammverzeichnis. - WP-Cron: Auto-Updates laufen über die Cron-Events
wp_version_check,wp_update_plugins,wp_update_themes. Ein blockierter WP-Cron killt sie. - DISALLOW_FILE_MODS: Ist diese Konstante in der
wp-config.phpauftruegesetzt, sind alle Updates deaktiviert. - Maintenance-Datei: Eine zurückgelassene
.maintenance-Datei blockiert zukünftige Updates.
Was prüft InspectWP?
InspectWP erkennt die WordPress-Core-Version sowie installierte Plugin- und Theme-Versionen und markiert veraltete oder aus dem WordPress.org-Repository entfernte Plugins. Erstelle nach dem Deaktivieren der Auto-Updates regelmäßig einen Report, um sicherzustellen, dass kritische Sicherheitsreleases manuell nachgezogen werden.