Sicherheitsupdate Drupal 6.25

Deine Argumentation von wegen was sage ich dem Kunden, wenn was schief geht, ist so nicht stimmig und sicher kein Argument, dafür Updates n i c h t durchzuführen.
"wenn eine Seite sehr gut bzw. Stabil läuft und keine Fehler auftreten dann mache ich kein Update"
Umgekehrt wird ein Schuh draus: Damit die Seite gut und stabil läuft, mache ich regelmäßig Updates.

Das wäre so, wie wenn ein Arzt sagen würde, ich nehme Dir kein Blut für den Gesundheitscheck ab, es könnte ja mit der Nadel was schief gehen.
Oder ich gebe Dir keine Medikamente, die könnten ja Nebenwirkungen haben.
Da muß man im Einzelfall Schwere der Krankheit mit den Nebenwirkungen in Relation setzen.

In dem Fall vom Oktober http://www.drupalcenter.de/node/51927 (siehe auch zusätzlichen Link unten), wäre der Schaden bei Nichtdurchführung des Updates oder Einspielen des Patches mit Sichheit größer gewesen, als das Risiko, dabei was zu vermasseln.

Pauschal kann man nicht sagen, wie oft man ein Update machen soll.
Dazu hilft ein Blick in den Statusbericht, aus dem hervor geht, ob es sich um ein Sicherheitsupdate handelt oder nur eine neue Version.

Natürlich ist das ein unhandliches Thema, vor allem, weil ja bei jedem einzelnen Modul auch die Gefahr besteht, daß nach dem Update irgendwas nicht mehr passt.
Jedes Update ist also eine individuelle Angelegenheit, wenn viele unterschiedliche Module installiert sind.

Um Probleme möglichst niedrig zu halten, helfen die üblichen Fragen:
- Bin ich der Aufgabe gewachsen?
- Habe ich vorher ein Backup gemacht?
- Habe ich einen Testplan?
- Zahlt der Kunde genug, damit ich das Update und den anschließenden Test sauber und in der nötigen Zeit durchführen kann?
Bei komplexen Installationen kann es nicht schaden, ein Testsystem zu haben.
- Kommen die Updates der Module mit der aktuellen PHP-Version klar?

Der Aufwand ist im Vorfeld sehr schwierig zu schätzen.
Ich vereinbare mit dem Kunden einen Von-Bis-Preis und weise vorher darauf hin, daß es im Worstcase auch mal mehr werden kann.
Gleichzeitig informiere ich ihn über ein evt. Risiko bei Verzicht auf das Update.

Wenn er das Risiko tragen möchte, daß die Seite gehackt wird, weil ihm ein regelmäßiges Update zu teuer ist, dann akzeptiere ich das und plädiere wenigstens für ein regelmäßiges Backup.
Wenn allerdings sehr sicherheits-relevante Themen auf der Website gespeichert werden (z.B. persönliche Daten vorgehalten), dann kann es auch sein, daß ich die weitere Pflege komplett ablehne.

Zu den beiden Versionen kann ich nichts sagen.

"dass man was übersieht und von Google und Co in die Wüste geschickt wird".
Wie meinst Du das?
Vorher schickt Dich vermutlich der Kunde in die Wüste, wenn was nicht mehr funktioniert...;-)
Wenn alle Pfade verhauen sind, dann ist Google in der Tat beleidigt, also das Global Redirect Modul im Auge behalten, wenn es installiert und viel verwendet wird.
Damit gab's schon Ärger beim Update.