InspectWP Logo
Anleitung

WordPress-Themes sicher aktualisieren

8. Februar 2026 Aktualisiert am 19.04.2026

Dein WordPress-Theme aktuell zu halten ist genauso wichtig wie das Aktualisieren von Plugins. Theme-Schwachstellen können deine gesamte Website für Angriffe öffnen, und veraltete Themes verursachen häufig Kompatibilitätsprobleme mit neueren WordPress-Versionen. Allerdings erfordern Theme-Updates besondere Vorsicht, da sie deine Anpassungen überschreiben können, wenn du Theme-Dateien direkt bearbeitet hast. Dieser Leitfaden führt dich durch den gesamten Prozess des sicheren Aktualisierens von WordPress-Themes, von der Vorbereitung bis zur Überprüfung.

Warum WordPress-Theme-Updates für Sicherheit und Kompatibilität wichtig sind

Dein Theme steuert alles, was Besucher auf deiner Seite sehen: vom Layout über die Typografie bis hin zur Darstellung der Inhalte. Es führt außerdem PHP-Code bei jedem Seitenaufruf aus, was es zu einem potenziellen Ziel für Angreifer macht. Hier ist, warum Aktualität wichtig ist:

  • Patches für Sicherheitslücken: Themes können Schwachstellen wie Cross-Site Scripting (XSS), SQL-Injection, File-Inclusion-Bugs oder unsichere Datei-Upload-Verarbeitung enthalten. Eine einzige ungepatchte Schwachstelle in deinem Theme kann einem Angreifer vollen Zugriff auf deine Seite geben. Theme-Schwachstellen sind besonders gefährlich, weil Themes auf jeder Seite aktiv sind, d. h. der verwundbare Code wird bei jeder Anfrage ausgeführt.
  • WordPress-Core-Kompatibilität: WordPress-Core wird regelmäßig aktualisiert, und jedes große Release kann PHP-Funktionen als veraltet markieren, Template-Hooks ändern oder das Verhalten des Block-Editors modifizieren. Ein veraltetes Theme, das auf entfernte Funktionen angewiesen ist, löst PHP-Warnungen aus, beschädigt Layouts oder rendert Blöcke nicht korrekt.
  • PHP-Versions-Kompatibilität: Hosting-Provider aktualisieren regelmäßig PHP für Performance und Sicherheit. PHP 8.0 und 8.1 führten strenge Typenbehandlung ein, und PHP 8.2 markierte dynamische Properties als veraltet. Älterer Theme-Code, der unter PHP 7.4 problemlos funktionierte, kann unter PHP 8.x Deprecation-Hinweise oder fatale Fehler auslösen. Dein Theme aktuell zu halten stellt sicher, dass es die neueste PHP-Version deines Servers unterstützt.
  • Performance- und Core-Web-Vitals-Verbesserungen: Theme-Entwickler optimieren ihren Code über die Zeit, reduzieren Render-blockierende Ressourcen, verbessern das Lazy Loading von Bildern, fügen native Font-Loading-Strategien hinzu und optimieren die CSS-Auslieferung. Diese Verbesserungen wirken sich direkt auf deinen Largest Contentful Paint (LCP), Cumulative Layout Shift (CLS) und andere Core-Web-Vitals-Metriken aus, die Google als Ranking-Signale verwendet.
  • Block-Editor- und Full-Site-Editing-Unterstützung: WordPress bewegt sich in Richtung Full Site Editing (FSE) mit Block-Themes. Theme-Updates fügen oft Unterstützung für neue Block-Editor-Funktionen wie globale Stile, Template-Parts und benutzerdefinierte Block-Patterns hinzu. Aktuell zu bleiben bedeutet, dass dein Theme die neuesten Bearbeitungsmöglichkeiten nutzt.

Ein WordPress-Child-Theme zum Schutz deiner Anpassungen verwenden

Der wichtigste Schritt, den du vor dem Aktualisieren eines Themes unternehmen kannst, ist sicherzustellen, dass deine Anpassungen in einem Child-Theme leben, nicht in den Parent-Theme-Dateien. Wenn das Parent-Theme aktualisiert wird, wird jede Datei im Parent-Theme-Verzeichnis überschrieben. Wenn du diese Dateien direkt bearbeitet hast, sind deine Änderungen weg.

Ein Child-Theme erbt alle Funktionalität seines Parent-Themes und hält deine Modifikationen in einem separaten Verzeichnis. So richtest du eines ein:

Erstelle ein neues Verzeichnis in wp-content/themes/, benannt nach deinem Child-Theme (z. B. flavor-child). Erstelle darin eine style.css-Datei:

/*
 Theme Name: Flavor Child
 Template: flavor
 Description: Child-Theme für Flavor
 Version: 1.0.0
*/

Die Template-Zeile muss exakt dem Verzeichnisnamen des Parent-Themes entsprechen. Erstelle als nächstes eine functions.php-Datei, um die Styles des Parent-Themes einzubinden:

<?php
add_action('wp_enqueue_scripts', function () {
    wp_enqueue_style(
        'flavor-parent-style',
        get_template_directory_uri() . '/style.css'
    );
}, 5);

Aktiviere das Child-Theme unter Design > Themes. Ab diesem Zeitpunkt sollte jede Template-Datei, die du anpassen möchtest, vom Parent-Theme in das Child-Theme-Verzeichnis kopiert und dort bearbeitet werden. Um beispielsweise den Header anzupassen, kopiere header.php vom Parent-Theme in deinen Child-Theme-Ordner und nimm deine Änderungen in dieser Kopie vor. WordPress verwendet automatisch die Version des Child-Themes statt der des Parent-Themes.

Schritt-für-Schritt-Anleitung zum sicheren Aktualisieren von WordPress-Themes

Befolge diesen Prozess bei jedem Theme-Update, egal ob es ein kleiner Patch oder ein großes Versions-Upgrade ist:

  1. Komplettes Backup deiner gesamten Seite erstellen: Erstelle ein vollständiges Backup deiner Datenbank und aller Dateien. Nutze ein Backup-Plugin wie UpdraftPlus, BlogVault oder die Snapshot-Funktion deines Hosting-Providers. Mit WP-CLI kannst du die Datenbank schnell exportieren: 
    wp db export backup-vor-theme-update.sql
    Sichere auch dein Theme-Verzeichnis separat, für den Fall, dass du später Dateien vergleichen musst: 
    cp -r wp-content/themes/flavor wp-content/themes/flavor-backup
  2. Theme-Changelog lesen: Prüfe die Theme-Seite auf WordPress.org oder die Website des Entwicklers auf den Changelog. Achte auf Erwähnungen von Breaking Changes, entfernten Template-Dateien, geänderten Hooks oder aktualisierten Mindestanforderungen (WordPress-Version, PHP-Version). Große Versionssprünge verdienen besondere Vorsicht.
  3. Geänderte Parent-Theme-Dateien vergleichen: Wenn du das Parent-Theme direkt bearbeitet hast (ohne Child-Theme), musst du vor dem Update genau feststellen, welche Dateien du geändert hast. Nutze ein Diff-Tool oder WP-CLI zum Vergleich: 
    # Theme-Dateien mit der Repository-Version vergleichen
diff -r wp-content/themes/flavor /tmp/flavor-original/
    Dokumentiere jede gefundene Änderung. Du musst diese Änderungen nach dem Update erneut anwenden, idealerweise indem du sie in ein Child-Theme verschiebst.
  4. Update auf einer Staging-Umgebung testen: Klone deine Produktionsseite in eine Staging-Umgebung und wende das Theme-Update dort zuerst an. Prüfe jeden kritischen Bereich: Startseiten-Layout, Blog-Archiv, einzelne Beitragsseiten, benutzerdefinierte Seitenvorlagen, Header und Footer, Navigationsmenüs, Widget-Bereiche, WooCommerce-Produktseiten (falls zutreffend) und mobile Responsivität.
  5. Update auf Produktion anwenden: Gehe zu Design > Themes, klicke auf dein aktives Theme und klicke "Aktualisieren". Mit WP-CLI: 
    wp theme update flavor
  6. Seite gründlich überprüfen: Prüfe nach dem Update Folgendes:
    • Startseite rendert korrekt mit allen Bereichen und Bildern
    • Navigationsmenüs werden auf Desktop und Mobil korrekt angezeigt
    • Blogbeiträge und Archivseiten behalten ihr Layout
    • Benutzerdefinierte Seitenvorlagen funktionieren weiterhin
    • Widgets und Sidebars erscheinen an den richtigen Positionen
    • Formulare, Buttons und interaktive Elemente funktionieren
    • Browser-Konsole zeigt keine neuen JavaScript-Fehler
    • PHP-Error-Log enthält keine neuen Warnungen oder Hinweise

Verlorene Theme-Anpassungen nach einem Update wiederherstellen

Wenn du das Parent-Theme direkt bearbeitet hast und ein Update deine Änderungen überschreibt, keine Panik. Befolge diese Schritte zur Wiederherstellung:

  1. Vorherige Theme-Version aus dem Backup wiederherstellen: Wenn du vor dem Update ein Backup des Theme-Verzeichnisses erstellt hast (wie oben empfohlen), kopiere die alten Theme-Dateien zurück. Wenn du ein vollständiges Seiten-Backup verwendet hast, kannst du nur den Theme-Ordner extrahieren.
  2. Alle angepassten Dateien identifizieren: Vergleiche die wiederhergestellte alte Version mit der originalen (unmodifizierten) Version desselben Releases. Das zeigt dir genau, welche Dateien du geändert hast und was die Änderungen waren. Nutze diff oder ein visuelles Vergleichstool wie Meld oder den integrierten Diff-Viewer von VS Code.
  3. Child-Theme erstellen und Änderungen migrieren: Kopiere für jede angepasste Datei diese vom Parent-Theme in ein neues Child-Theme-Verzeichnis und wende deine Modifikationen dort an. So überschreiben zukünftige Parent-Theme-Updates deine Arbeit nicht.
  4. Parent-Theme erneut aktualisieren: Mit deinen Anpassungen sicher im Child-Theme, aktualisiere das Parent-Theme auf die neueste Version.
  5. Überprüfen, ob alles zusammen funktioniert: Teste deine Seite gründlich. Achte besonders auf Template-Dateien, bei denen das Parent-Theme strukturelle Änderungen vorgenommen hat. Deine Template-Overrides im Child-Theme müssen möglicherweise an neues Markup oder geänderte Hooks im Parent-Theme angepasst werden.

Umgang mit veralteten und aufgegebenen WordPress-Themes

Wenn InspectWP meldet, dass dein Theme veraltet ist, hängt die richtige Reaktion davon ab, wie veraltet es ist und ob es noch gepflegt wird:

  • Letztes Update-Datum auf WordPress.org prüfen: Wenn das Theme seit über zwei Jahren nicht aktualisiert wurde, ist es möglicherweise aufgegeben. Schau dir das Support-Forum an: Wenn der Entwickler aufgehört hat, auf Fragen zu antworten, wird das Theme wahrscheinlich nicht mehr gepflegt.
  • Nach bekannten Sicherheitslücken suchen: Prüfe die WPScan-Schwachstellendatenbank, die Patchstack-Datenbank und das Support-Forum des Themes auf gemeldete Sicherheitsprobleme. Ein aufgegebenes Theme mit bekannten Schwachstellen ist ein ernstes Risiko.
  • Migration zu einem aktiv gepflegten Theme in Betracht ziehen: Wenn dein Theme aufgegeben ist, plane eine Migration zu einem modernen, aktiv gepflegten Theme. Beliebte gut gewartete Optionen sind GeneratePress, Avada, BeTheme, Kadence und Astra Theme. Für Block-Themes eignet sich Twenty Twenty-Five oder Blocksy.
  • Neuestes WordPress-Standard-Theme installiert halten: WordPress liefert Standard-Themes (Twenty Twenty-Five, Twenty Twenty-Four usw.), die als Fallback-Themes dienen. Halte immer mindestens das neueste Standard-Theme installiert. Wenn dein aktives Theme abstürzt oder aufgrund eines fatalen Fehlers automatisch deaktiviert wird, fällt WordPress auf das Standard-Theme zurück, damit deine Seite erreichbar bleibt.
  • Unbenutzte Themes löschen: Genau wie bei Plugins können inaktive Themes in deinem wp-content/themes/-Verzeichnis ausgenutzt werden, wenn sie Schwachstellen enthalten. Behalte nur dein aktives Theme, dessen Parent-Theme (falls du ein Child-Theme nutzt) und das neueste WordPress-Standard-Theme. Lösche alles andere.

Automatische WordPress-Theme-Updates konfigurieren

WordPress 5.5 führte integrierte Auto-Update-Unterstützung für Themes ein. So aktivierst du sie:

  1. Gehe zu Design > Themes.
  2. Klicke auf dein aktives Theme, um die Details zu öffnen.
  3. Klicke auf "Auto-Updates aktivieren".

Um Auto-Updates für alle Themes programmatisch zu aktivieren:

add_filter('auto_update_theme', '__return_true');

Für selektive Auto-Updates kannst du bestimmte Themes ansprechen:

add_filter('auto_update_theme', function ($update, $item) {
    // Nur diese Themes automatisch aktualisieren
    $auto_update_themes = ['flavor', 'flavor-child'];
    return in_array($item->theme, $auto_update_themes, true);
}, 10, 2);

Auto-Updates funktionieren gut für Themes, die häufig kleine Patches erhalten. Für Themes, die große strukturelle Änderungen zwischen Versionen vornehmen (besonders Premium-Themes mit integrierten Page Buildern), sind manuelle Updates mit Staging-Tests sicherer.

Block-Theme-Update-Besonderheiten beim Full Site Editing

Wenn du ein Block-Theme (Full Site Editing) verwendest, funktioniert der Update-Prozess anders, weil deine Design-Anpassungen getrennt von den Theme-Dateien gespeichert werden:

  • Globale Stile werden in der Datenbank gespeichert: Farben, Typografie, Abstände und andere Design-Tokens, die du über den Site-Editor festlegst, werden als Custom Post Type (wp_global_styles) gespeichert, nicht in theme.json. Theme-Updates überschreiben diese Einstellungen nicht.
  • Benutzerdefinierte Templates sind ebenfalls datenbankgespeichert: Wenn du Templates im Site-Editor erstellst oder bearbeitest, speichert WordPress sie in der Datenbank als wp_template- und wp_template_part-Custom-Post-Types. Diese Anpassungen bleiben bei Theme-Updates erhalten.
  • Trotzdem auf Template-Änderungen prüfen: Wenn der Theme-Entwickler neue Templates hinzufügt, bestehende umstrukturiert oder Block-Patterns ändert, übernehmen deine datenbankgespeicherten Anpassungen diese Verbesserungen möglicherweise nicht automatisch. Vergleiche nach dem Update eines Block-Themes deine angepassten Templates mit den neuen Standards (du kannst einzelne Templates im Site-Editor zurücksetzen), um zu sehen, ob das Theme nützliche Änderungen eingeführt hat, die du übernehmen möchtest.
  • Die theme.json-Datei wird überschrieben: Während deine Site-Editor-Anpassungen sicher sind, wird die Basis-theme.json-Datei im Theme-Verzeichnis bei einem Update ersetzt. Wenn du theme.json manuell bearbeitet hast, statt den Site-Editor zu nutzen, gehen diese Änderungen verloren. Best Practice: Verwende die theme.json eines Child-Themes für manuelle JSON-Anpassungen oder nutze die Site-Editor-Oberfläche, die alles in der Datenbank speichert.

WordPress-Theme-Updates mit WP-CLI verwalten

WP-CLI bietet effiziente Befehle zur Verwaltung von Theme-Updates über die Kommandozeile:

# Verfügbare Theme-Updates prüfen
wp theme list --update=available --format=table

# Ein bestimmtes Theme aktualisieren
wp theme update flavor

# Alle Themes aktualisieren
wp theme update --all

# Detaillierte Theme-Informationen abrufen
wp theme get flavor --fields=name,version,status,update

# Theme-Datei-Prüfsummen gegen WordPress.org verifizieren
wp theme verify-checksums flavor

# Theme in einem Befehl installieren und aktivieren
wp theme install flavor --activate

# Alle installierten Themes mit ihrem Status auflisten
wp theme list --format=table

Wie InspectWP dein WordPress-Theme überwacht

InspectWP erkennt dein aktives WordPress-Theme und Child-Theme durch Analyse des Seitenquellcodes und der Stylesheet-Referenzen. Es prüft die installierte Theme-Version gegen das WordPress.org-Repository und markiert Themes, die mit veralteten Versionen laufen. InspectWP identifiziert außerdem, ob du ein Child-Theme verwendest (was für sichere Updates empfohlen wird) und zeigt die Parent-Child-Theme-Beziehung an. Wenn dein Theme aus dem WordPress-Repository entfernt wurde, markiert InspectWP dies als potenzielles Sicherheitsproblem. Mit geplanten automatischen Berichten erhältst du Benachrichtigungen, sobald deine Theme-Version zurückfällt, sodass du Zeit hast, Updates zu planen und zu testen, bevor sie zu einem Sicherheitsrisiko werden.

Vorheriger Artikel

WordPress-Plugins aktuell und sicher halten

Nächster Artikel

Meta Description in WordPress hinzufügen

Verwandte Artikel

Maximale Upload Dateigröße in WordPress erhöhen

WordPress Login URL ändern (/wp-login.php)

WordPress Core Auto Updates konfigurieren (WP_AUTO_UPDATE_CORE)

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren