Eu manejo o PHP da mesma forma que ligo todo o resto: Atualize o ambiente de desenvolvimento (um clone de produção VMWare) primeiro, teste de regressão e, em seguida, promova-o para produção usando os mesmos modelos de implantação que usamos para o VMWare anfitriões. (Se você estiver usando gerenciadores de pacotes para fazer suas atualizações, você usaria os mesmos pacotes).
Como uma camada extra de isolamento, nosso ambiente de produção é composto de hosts redundantes emparelhados, e um host é retirado da rotação de produção para sua atualização e testado completamente antes de passarmos para o host para atualizar seu parceiro.
Como regra geral, as atualizações de segurança são aplicadas assim que as atualizações de correções de bugs não-seguras / não críticas são aplicadas trimestralmente para minimizar o tempo de inatividade.