Zurück zu den Artikeln
E-Commerce

Magento Updates: Unsere Empfehlungen

Magento-Shopbetreiber fragen sich immer wieder: Hohes Risiko oder hoher Wartungsaufwand? Eine Einschätzung zu Updates und Sicherheit von Magento 2.

Besonders lesenwert für

CEO
CTO
CMO
Creator

Hintergrund

Mit der Veröffentlichung von Magento 2 im Jahr 2015 wurde Entwicklern und Händlern nicht nur eine völlig neue Codebasis vorgestellt, sondern auch eine neue Art der Zusammenarbeit mit Magento, von strengen Richtlinien für den Zugang zum Magento-Marktplatz für Entwickler von Erweiterungen bis hin zur Arbeit mit Versionsupdates anstelle von reinen Sicherheitspatches für Systemintegratoren. Letzteres wurde von der Magento-Community häufig kommentiert, wobei behauptet wurde, dass Magento 2-Shops anfälliger seien als Magento 1-Shops, und der Ruf nach reinen Sicherheitspatches wurde mit der Zeit immer lauter.

Mit der Veröffentlichung von Magento 2.3.3 am 8. Oktober 2019 reagierte Magento auf diesen Bedarf mit der Einführung reiner Sicherheitspatches für Magento 2. Wurde dadurch die Sicherheit von Magento 2-Shops verbessert, oder sind Händler (und ihre Kunden) weiterhin gefährdet? Sieht die Community Sicherheit als eine kostspielige Notwendigkeit oder als eher unterlegen im Vergleich zu coolen neuen Funktionen?

Unsere E-Commerce-Spezialisten haben einen genaueren Blick auf dieses Thema geworfen, um Ihnen einen praktischen Überblick zu verschaffen.

Die Magento Release Policy unterscheidet folgende Vorgehensweisen: MAJOR (der grosse Versionssprung im 2015), MINOR (grössere Update ca. einmal pro Jahr), PATCH (nur sinnvoll bei Bedarf), SECURITY (absolut empfehlenswert) und weitere (z.B. Hotfix). Schauen wir uns da mal etwas genauer an.

MINOR Releases

Magento sagt zu diesen Veröffentlichungen:

  • Empfohlen einmal im Jahr
  • Brechende Änderungen sind möglich
  • Modulversionen können variieren
  • MINOR-Releases können neue Funktionen enthalten, die während des Upgrades zusätzliche Arbeit von Partnern erfordern können, um die Kompatibilität zu gewährleisten
  • MINOR-Releases können Korrekturen für Sicherheits- und Konformitätsprobleme enthalten

Unsere Einschätzung dazu:

  • «Minor» sind eigentlich «grosse» Releases
  • Zu vergleichen mit einem Wechsel von Windows 7 zu Windows 10
  • Neue MINOR-Versionen über vorherige MINOR-Versionen installieren ist möglich
  • Aber eine Neuinstallation empfehlenswert
  • Extension-Updates sind notwendig
  • Einige Anpassungen und Tests sind ebenfalls notwendig.

PATCH Releases

Magento sagt dazu:

  • Werden jedes Quartal veröffentlicht
  • Neuere Versionen enthalten voll funktionsfähige Korrekturen und Verbesserungen
  • Änderungen, die Erweiterungen oder Code-Kompatibilität beeinträchtigen könnten, werden vermieden
  • In Ausnahmefällen können fehlerhafte Änderungen oder zusätzliche Patches oder Hotfixes veröffentlicht werden.
  • PATCHES können neue Funktionen enthalten, solange nicht erwartet wird, dass sie Code brechen

Wir sind der Meinung:

  • Nicht unbedingt notwendig, wenn die darin enthaltenen Funktionsverbesserungen bzw. Fehlerbehebungen nicht benötigt werden
  • Theoretisch sollten breaking changes selten sein
  • Dennoch gab es diese bereits und es ist nicht sichergestellt, dass es nicht auch Inkompatibilitäten zu installierten Drittanbieter-Extensions und Individualanpassungen gibt.

SECURITY Releases

Magento sagt dazu:

  • Sicherheitsversionen bieten Korrekturen für Schwachstellen, die in früheren vierteljährlichen Patch-Veröffentlichungen identifiziert wurden
  • Sie können zeitkritische Sicherheitskorrekturen installieren, ohne die Hunderte von funktionalen Korrekturen und Verbesserungen anzuwenden, die eine vollständige vierteljährliche Patch-Version enthält
  • Diese Versionen können auch Hotfixes enthalten
  • NEU: Separate Hotfixes2

Unsere Einschätzung:

  • Sie sind quasi «notwendig»
  • Sollten relativ einfach zu installieren sein
  • Allerdings scheint das nicht immer zuzutreffen - Komplikationen möglich
  • Generell sollten SECURITY-Updates zeitnah eingespielt werden
  • Nur innerhalb derselben MINOR-Version sinnvoll/möglich.

Wichtige Hinweise

Im Prinzip lassen sich nur schwer Voraussagen treffen, denn Magento hat bisher immer wieder seine Pläne geändert. Das zeigt sich in der Lebensdauer der bisher veröffentlichten MINOR-Versionen. Es gibt bis dato keine langfristige Strategie, die über viele Jahre hinweg gleich geblieben ist. Daher gilt nach wie vor die Einstellung: «Änderungen vorbehalten». Gemäss Magento sollten jedoch die aktuellen Strategieanpassungen zu mehr Planungs- und Investitionssicherheit führen.

Core vs. Extensions

Die oben genannten Aussagen gelten primär für Magento Core. Da auch Extensions von Drittanbietern eingesetzt werden, sind durchaus abweichende Release Policies und Zyklen möglich. Sowohl Magento Core, als auch Extensions sollten gleichzeitig aktualisiert werden, ansonsten könnten Fehler durch Inkompatibilitäten entstehen. Als Vergleich hilft: Magento Core entspricht Windows und die Extensions entsprechen den Programmen für Windows.

Update-Strategien

«Keine Updates»-Strategie

Das Risiko steigt mit der Zeit seit dem letzten MINOR- / SECURITY-Update. Die Frage ist: Wie viel kostet es mich, wenn ich gehackt werde (was durchaus automatisiert passieren kann)

  • Umsatzverlust durch Ausfallzeit
  • Reputationsschaden (bei Kunden, bei Google, …)
  • Allenfalls Schadenersatz

Andererseits kostet auch jedes (MINOR-)Update. Es besteht also wie immer eine Risiko-/Kosten-Abwägung. Vorerst aufschieben und dafür ein Budget einplanen ist durchaus möglich. Allenfalls ist zu prüfen, ob der Einsatz einer Web Application Firewall oder weitergehende Schutzmassnahmen zunächst günstiger sind und das Risiko minimieren können.

MINOR-Updates ja, aber wann?

Immer sofort, wenn sie erscheinen? Oder erst später? Hier gilt es, den Release-Zyklus zu beachten: Gemäss Magento wird die letzte MINOR-Version noch maximal 18 Monate nach Veröffentlichung einer neuen MINOR-Version unterstützt und Magento plant, alle 12 Monate eine neue MINOR-Version zu veröffentlichen, Das bedeutet, die Lebensdauer einer MINOR-Version beträgt ca. 2.5 Jahre. Aber neue MINOR-Versionen können noch vermehrt Fehler enthalten. Es lohnt sich, den ersten PATCH «2.x.1» abzuwarten, statt gleich auf «2.x.0» zu setzen. Dann sollte man aber auch nicht mehr lange zögern, denn ansonsten steht in nicht allzu ferner Zukunft die nächste neue MINOR-Version an.

Was ist mit Extensions?

Bei MINOR-Updates müssen auch Extensions aktualisiert werden. Bei PATCH-Updates sollten sie ebenfalls aktualisiert werden. Bei SECURITY-Updates müssen sie in der Regel nicht aktualisiert werden. Aber hier gilt: Auch Extensions könnten Sicherheitslücken haben. Daher empfiehlt es sich, regelmässig die Changelogs aller installierten Extensions zu prüfen (oder prüfen zu lassen) und allfällige Extension-Security-Updates auch zu installieren (Risiko versus Aufwand ist je nach Extension unterschiedlich).

E-Commerce

Warum zählt Magento zu den E-Commerce-Marktführern?

In der Welt der E-Commerce-Web-Entwicklung gibt es eine Reihe von verschiedenen Lösungen, die Sie verwenden können, um Ihre Website zu erstellen. Magento ist jedoch aus mehreren Gründen über die Jahre hinweg ein Branchen-Favorit geblieben.
E-Commerce

Magento imagine 2018 Team Recap

Unsere E-Commerce-Profis waren Ende April an der weltweit grössten Magento-Konferenz in Las Vegas. Hier ist eine kurze Zusammenfassung.
E-Commerce
Corporative Websites

Open-Source vs. Lizenz-Software

Unternehmen, die eine Content Management Software (CMS) oder eine E-Commerce-Lösung benötigen, haben die Wahl zwischen zwei Möglichkeiten: Kommerzielle Lizenzprodukte oder Open-Source-Software. Wir zeigen die Vor- und Nachteile auf.

Fazit

Neu ist Magento auf einem guten Weg zu mehr Planungs- und Investitionssicherheit. MINOR-Updates (neue Funktionen, Breaking changes) sind sehr empfehlenswert, aber auch mit einigem Aufwand verbunden und müssen voraussichtlich alle 2.5 Jahre durchgeführt werden, am besten mit Erscheinen der 1. PATCH-Version einer neuen MINOR-Version. PATCH-Updates (Optimierungen, Bug fixes) sind optional und nur relevant, wenn die Änderungen für den eigenen Shop nützlich sind. SECURITY-Updates sind praktisch «notwendig» und im Normalfall mit deutlich weniger Aufwand verbunden (im Vergleich zu PATCH- und MINOR-Updates).

Als Teil der Magento-Entwickler-Community sind wir seit Jahren ganz nah am Puls und unterstützen Sie gerne bei der Einschätzung, ob Handlungsbedarf besteht, und nehmen für Sie auch die Umsetzung vor.

Diesen Artikel teilen

Gefällt Ihnen unser Artikel? Teilen Sie ihn, um ihn noch weiteren Personen zugänglich zu machen. Vielen Dank!

Passende Artikel

Analyse
E-Commerce
Technology Trends

ChatGPT Shopping - Analyse und Handlungsempfehlungen

In der Ära des digitalen Handels hat OpenAI mit der Einführung von ChatGPT Shopping eine bahnbrechende Funktion realisiert, die das Einkaufserlebnis neu definiert. Dieser Artikel liefert Erkenntnisse aus einer Analyse und konkrete Handlungsempfehlungen.
E-Commerce

Wie ChatGPT die SEO-Strategie für Online-Shops optimiert

Die Konkurrenz unter Online-Shops ist enorm. Eine der grössten Herausforderungen für Online-Händler ist es, ihre Produkte in den Suchmaschinen sichtbar zu machen. Hier kommt ChatGPT ins Spiel – ein leistungsstarkes Tool, das nicht nur Zeit spart, sondern auch die Effektivität von SEO-Strategien erheblich steigern kann.
Analyse
E-Commerce

Pagespeed-Optimierung

Es gibt einen direkten Zusammenhang zwischen Pagespeed und Umsatz, da eine Verzögerung von nur 100 Millisekunden die Conversion Rate um sieben Prozent sinken lassen kann. Warum Pagespeed-Optimierung wichtig ist, verraten wir in diesem Artikel.