Automatische Core-Updates in Joomla

Mit der Veröffentlichung von Joomla 5.4 und Joomla 6.0 am 14. Oktober 2025 führt das Joomla-Projekt eine bedeutende Neuerung ein: automatische Updates für das Core-System. Diese Funktion ermöglicht es, Joomla-Installationen zuverlässig und ohne manuelle Eingriffe aktuell zu halten – ein wichtiger Schritt zur Verbesserung der Sicherheit und Wartbarkeit von Joomla-Websites.

Zunächst einmal: Warum überhaupt?

Man könnte sich fragen, warum diese Funktion überhaupt eingeführt wurde. Joomla existiert seit 20 Jahren ohne sie – wozu also der Aufwand?

Nun, zum einen: Die Nutzer haben danach gefragt – automatische Updates gehören zu den meistgewünschten Funktionen und stellen eine wertvolle Erweiterung von Joomlas Funktionsumfang dar.

Noch wichtiger ist jedoch das dahinterliegende Problem: Immer wenn eine neue Joomla-Version eine Sicherheitslücke schließt, beginnen potenzielle Angreifer damit, den Code der neuen Version zu analysieren, um herauszufinden, wo genau die Schwachstelle lag. Sobald sie das verstanden haben, entwickeln sie automatisierte Skripte, um möglichst viele Seiten anzugreifen.

Diese Analyse, das Erkennen der Lücke und die Entwicklung des Angriffs-Skripts benötigen zwar Zeit – aber wenn eine Website in diesem Zeitfenster nicht aktualisiert wird, besteht ein hohes Risiko, dass sie kompromittiert wird. Und Hacker sind schnell: Bei kritischen, leicht ausnutzbaren Lücken reden wir über ein Zeitfenster von 10–12 Stunden – zu wenig für viele Seitenbetreiber, um rechtzeitig ein manuelles Update durchzuführen.

Hier setzen automatische Updates an: Das Joomla-Projekt kann Sicherheitsupdates jetzt aktiv ausrollen, damit Websites rechtzeitig geschützt sind.

Automatische Updates – Fernsteuerung einer bestehenden Funktion

Im Kern basiert das neue Feature auf vorhandener Funktionalität: Joomla kann neue Updates erkennen, herunterladen, entpacken und bei Bedarf Update-Skripte ausführen. Bisher war das nur über den Login ins Backend möglich und erforderte aktive Benutzereingaben. Neu ist nun, dass diese Schritte über einen zentralen Server auf joomla.org angestoßen werden können. Die Website registriert sich dabei und gibt einen Schlüssel weiter. Mit diesem Schlüssel kann der Update-Server den Zustand der Seite prüfen und die Update-Prozesse aktivieren.

Wichtig ist: Die Updates werden nicht „hochgeladen“ oder direkt auf der Seite installiert – der zentrale Server kann keine Dateien auf die Seite übertragen. Stattdessen werden die bereits vorhandenen Funktionen auf der Seite selbst aktiviert. Das ist ein wesentliches Element des Sicherheitskonzepts: Selbst im Falle eines Missbrauchs der Infrastruktur würde im schlimmsten Fall lediglich ein ohnehin fälliges Update angestoßen.

Voraussetzungen und Einschränkungen

Die automatische Update-Funktion ist standardmäßig bei Neuinstallationen aktiviert. Beim Update von älteren Versionen auf 5.4 oder 6.0 bleibt sie zunächst deaktiviert und muss vom Administrator manuell eingeschaltet werden. Damit automatische Updates funktionieren, müssen einige Bedingungen erfüllt sein:

Die Seite muss öffentlich im Internet erreichbar sein, darf also nicht auf einem lokalen Rechner oder in einem Intranet laufen. Der Standard-Update-Server muss aktiviert sein, und die Stabilitätseinstellung auf „Stable“ stehen. Die Joomla-Version muss mindestens 5.4 betragen. Außerdem müssen PHP-Version, Datenbank, Betriebssystem und Erweiterungen kompatibel sein. Zusätzlich wird dringend empfohlen, ein vollständiges Backup-Konzept einzurichten.

Technischer Hintergrund

Die Steuerung der Updates auf der jeweiligen Seite erfolgt über das Webservice-System von Joomla. Für die Komponente com_joomlaupdate wurden neue Endpunkte hinzugefügt. Die Infrastruktur auf joomla.org basiert auf einer eigenen Anwendung, die selbstverständlich ebenfalls quelloffen ist.

Die Herausforderungen

Die eigentliche Umsetzung der automatischen Updates war technisch gar nicht so schwierig. Die größere Herausforderung lag in der Konzeption eines sicheren Verfahrens zur Update-Erkennung. Vom ersten Konzept bis zur finalen Umsetzung sind deshalb fünf Jahre vergangen – eine lange Zeit, aber mit einem positiven Ergebnis.

Fazit

Mit der Einführung automatischer Updates ab Joomla 5.4 und 6.0 verbessert das Projekt die Sicherheit, Wartbarkeit und Benutzerfreundlichkeit der Plattform erheblich. Besonders für Administratoren, die auf eine stets aktuelle Joomla-Installation ohne manuellen Pflegeaufwand setzen, bietet diese Neuerung großen Mehrwert.

Danke!

Ein besonderer Dank geht an Harald Leithner, Benjamin Trenkle und Robert Deutz für die Entwicklung der Funktion, an Richard Fath und Heiko Lübbe für das Testen und Mergen sowie an Brian Teeman für sprachliche Korrekturen.