Website onderhoud: wat het is en waarom je er niet omheen kunt
Wat valt er onder website onderhoud, wat kost het en wanneer besteed je het uit? Alles wat je moet weten over WordPress-onderhoud.
Introductie
WordPress wordt gebruikt op 43% van alle websites wereldwijd. Dat maakt het populair en tegelijk het meest aangevallen CMS ter wereld, simpelweg omdat automatische aanvalstools het meest rendement halen uit bekende kwetsbaarheden op veelgebruikte platforms.
Website onderhoud is de periodieke activiteit die jouw site veilig, snel en vindbaar houdt. Het verschilt van hosting (de server waarop je site draait), technisch beheer (de infrastructuur operationeel houden, zoals serverinstellingen en DNS) en support (de helpdesk bij acute problemen). Dit artikel gaat over onderhoud: wat het inhoudt, wat het kost, en of je het zelf kunt doen.
Flowpress verzorgt WordPress-onderhoud voor MKB en stichtingen. Wil je weten wat dat voor jouw site betekent? Neem vrijblijvend contact op.
In dit artikel lees je:
- Wat er misgaat zonder regelmatig website onderhoud
- Welke zes componenten goed onderhoud omvat
- Wat de AVG van jou vereist
- Hoe onderhoud je SEO-positie beschermt
- Wat het kost en of uitbesteden verstandig is
Wat er misgaat zonder regelmatig website onderhoud
Zonder onderhoud veroudert een WordPress-site sneller dan je denkt. Plugins krijgen geen updates, de database raakt opgeblazen en beveiliging loopt achter. De meeste problemen zijn vermijdbaar, maar je merkt ze pas als ze al een tijdje spelen.
Beveiligingsrisico
In 2024 werden 7.966 nieuwe beveiligingslekken ontdekt in het WordPress-ecosysteem. 55% van alle gehackte WordPress-sites werd binnengedrongen via verouderde plugins. De aanvallen zijn vrijwel altijd geautomatiseerd: bots scannen het internet op bekende lekken in specifieke plugin-versies. Als jouw site die versie nog draait, word je aangevallen.
Een verlopen plugin, een verouderde WordPress-versie of een vergeten beheerderaccount dat al jaren op hetzelfde wachtwoord staat zijn de meest voorkomende ingang. Die risico’s verdwijnen met regelmatig onderhoud.
Beschikbaarheid en prestaties
Verouderde PHP-versies of niet-compatibele WordPress-kernversies kunnen je site onbruikbaar maken na een automatische serverupgrade van je hostingpartner. Dat overkomt je doorgaans op het onhandige moment.
Zonder prestatieonderhoud (database-optimalisatie, caching, ongebruikte plugins verwijderen) wordt een site langzaam trager. Core Web Vitals zijn meer dan een SEO-vinkje; een snelle, stabiele website verlaagt de drempel voor bezoekers direct, wat leidt tot een lagere bounce rate en een significant hogere conversie
Vindbaarheid
Google markeert gehackte sites als onveilig, waarna bezoekers een waarschuwing zien. Herstel van SEO-posities na een hack duurt gemiddeld drie tot zes maanden. Daarnaast kan een trage site bezoekers kosten, ook zonder dat je site offline gaat.
Wat valt er onder website onderhoud: de 6 vaste componenten
Onderhoud is geen vage activiteit. Het bestaat uit zes concrete componenten. Een pakket dat er een of twee overslaat, is geen volledig onderhoud.
1. WordPress core updates
WordPress brengt regelmatig updates uit die beveiligingslekken dichten, bugs oplossen en prestaties verbeteren. Kleine updates (5.x.1 naar 5.x.2) worden vaak automatisch doorgevoerd. Grote versie-updates (5.x naar 6.x) vereisen handmatige controle.
2. Plugin- en thema-updates
55% van alle hacks verloopt via verouderde plugins. Elke plugin die je niet bijhoudt, is een potentieel toegangspunt.
Een plugin met 120.000+ installaties bleek een lek te bevatten dat complete serverovername mogelijk maakte. Dat soort lekken worden actief uitgebuit binnen 24 uur na publicatie.
3. Back-ups
Back-ups zijn je laatste redmiddel. Ze zijn alleen nuttig als ze voldoen aan drie eisen: dagelijks uitgevoerd, extern opgeslagen (niet op dezelfde server als je site) en minimaal een keer per kwartaal getest op herstelbaarheid.
Een back-up die je niet kunt terugzetten, is geen back-up. Tools als UpdraftPlus maken automatische back-ups naar Dropbox, Google Drive of Amazon S3.
4. Beveiligingsmonitoring
Actieve monitoring betekent dat je weet wanneer er iets misgaat, niet pas drie maanden later. Dat omvat dagelijkse malwarescans, inlogbescherming (tweefactorauthenticatie, login-limiet), een webapplicatiefirewall en controle op de geldigheid van je SSL-certificaat.
Volgens het IBM Cost of a Data Breach Report bedraagt de gemiddelde tijd tussen een hack en de ontdekking ervan 197 dagen. Actieve monitoring verkort die periode dramatisch.
5. Prestatie- en beschikbaarheidsmonitoring
Uptime monitoring via tools als WP Umbrella controleert elke minuut of je site bereikbaar is. Bij uitval krijg je direct een melding.
Periodieke laadtijdmeting via Google PageSpeed Insights of GTmetrix laat zien of je site langzamer wordt. Database-optimalisatie verwijdert opgeblazen logs en tijdelijke gegevens.
6. Stagingomgeving
Een stagingomgeving is een identieke kopie van je live site waarop updates en aanpassingen veilig worden getest. Hoewel het voor de meeste sites overkill is om elke update eerst op een staging site te proberen is het essentieel voor websites met veel verkeer en omzet. Wat wel voor iedere site onmisbaar is: maak een backup voordat je een update doet. Die kun je bij een mislukte backup binnen enkele minuten terugzetten.
Professionele onderhoudspakketten dekken alle zes componenten. Een pakket dat alleen updates doet zonder back-ups of monitoring is geen volledig onderhoud.
Website onderhoud en AVG: wat je wettelijk verplicht bent
De maximale AVG-boete is €20 miljoen, of 4% van de wereldwijde jaaromzet. Je website kan de trigger zijn.
Drie AVG-verplichtingen zijn direct verbonden aan website onderhoud.
1. SSL-certificaat
Als je via je website persoonsgegevens verzamelt, via een contactformulier, nieuwsbriefinschrijving of webshop, dan ben je verplicht die verbinding te beveiligen met SSL. Een verlopen SSL-certificaat levert een browserwaarschuwing op en vormt tegelijk een AVG-overtreding. SSL-beheer is onderdeel van periodiek onderhoud: geldigheid controleren, op tijd verlengen, configuratie actueel houden.
2. Datalek melden binnen 72 uur
Bij een datalek ben je verplicht dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Dat vereist dat je weet dat er een lek is. Zonder actieve beveiligingsmonitoring ontdek je een hack gemiddeld 197 dagen later. Op dat moment is de meldplicht al 196 dagen verstreken.
3. Verwerkersovereenkomst
Als je website onderhoud uitbesteedt, verwerkt dat bedrijf persoonsgegevens namens jou. De AVG verplicht je dan een verwerkersovereenkomst af te sluiten. Zonder die overeenkomst is de gegevensverwerking niet rechtmatig, ook al is het onderhoud verder uitstekend.
Goed onderhoud is AVG-compliance in de praktijk brengen, geen apart traject. Vraag bij elke aanbieder expliciet of een verwerkersovereenkomst standaard deel uitmaakt van het pakket.
Website onderhoud en SEO: hoe onderhoud je vindbaarheid beschermt
Je kunt duizenden euro’s aan SEO investeren en het allemaal tenietdoen met een niet-bijgewerkte plugin. Dat klinkt dramatisch, maar het is geen overdrijving.
Core Web Vitals
Core Web Vitals meten de laadtijd, visuele stabiliteit en interactiviteit van je website. Door zaken als caching te optimaliseren en onnodige plugins te verwijderen, verbeter je deze scores direct. Onderzoek van Google toont aan dat een goede score de kans dat bezoekers afhaken met 24% vermindert, wat de weg vrijmaakt voor aanzienlijk hogere conversies. Structureel onderhoud van je CWV beschermt zo niet alleen je posities in Google, maar ook je directe omzet.
Beveiliging en indexering
Google detecteert gehackte sites en markeert ze als onveilig. Bezoekers krijgen een waarschuwing voordat ze je site bezoeken, en Google degradeert je in de zoekresultaten.
Het Nederlandse voorbeeld spreekt boekdelen: 47.000 spampagina’s geïnjecteerd via een verouderd plugin, rankings vernietigd, herstel drie tot zes maanden na schoonmaak. Elke maand dat je een verouderde plugin laat staan, vergroot het aanvalsoppervlak.
Uptime en crawlbudget
Google’s crawlers bezoeken je site regelmatig. Als je site te vaak offline is, indexeert Google je content minder effectief. Regelmatige downtime vreet aan je crawlbudget. Uptime monitoring zorgt dat je direct actie kunt ondernemen bij problemen, voordat Google het registreert.
Website onderhoud is het fundament waarop elke andere SEO-investering rust. Zonder dat fundament is de rest weggegooid geld.
Website onderhoud zelf doen of uitbesteden: eerlijke vergelijking
Voor een doorsnee WordPress-site zijn de kerntaken, plugin-updates controleren, back-ups verifiëren en de site checken, in 20 tot 45 minuten per maand te doen. Dat is uitvoerbaar als je weet wat je doet en er een vast ritme van maakt.
Het wordt complexer als er iets misgaat. Een update die conflicteert met een thema, een plugin die kapot gaat of een gehackte site vergt een ander kennisniveau dan de reguliere onderhoudstaken.
| Aspect | Zelf doen | Uitbesteden |
|---|---|---|
| Maandelijkse kosten | ~€0 direct | €30-€80/maand |
| Tijdsinvestering | 20-45 min/maand (normaal) | 0 uur |
| Benodigde kennis | Basis voor routine, hoog bij problemen | Geen |
| Reactietijd bij hack | Uren tot dagen | Minuten tot uren |
| Stagingomgeving | Zelf opzetten | Vaak inbegrepen |
| Probleemoplossing | Op eigen kracht | Inbegrepen |
Wanneer zelf doen reëel is
- Je hebt een technische achtergrond en weet wat je doet
- Je site is eenvoudig en genereert geen directe omzet
- Je houdt consequent een onderhoudsritme aan
- Je hebt toegang tot een stagingomgeving voor het testen van updates
Wanneer uitbesteden verstandiger is
- Je site genereert directe omzet of leads waarbij uitval direct geld kost
- Je hebt geen technische kennis van WordPress-beheer
- Je wilt problemen proactief laten signaleren in plaats van reactief oplossen
- Je wilt AVG-compliance geregeld hebben inclusief verwerkersovereenkomst
Een hybride model is ook mogelijk: een professional op retainer voor noodgevallen en kwartaalaudits, terwijl je zelf de routine-updates doet. Dat werkt als je de basiskennis hebt maar zekerheid wilt bij problemen.
Rode vlaggen bij aanbieders
- Geen verwerkersovereenkomst in het pakket
- Geen stagingomgeving voor het testen van updates
- Back-ups worden alleen op dezelfde server opgeslagen
- Geen rapportage over wat er gedaan is
Website onderhoud kosten: wat kost een onderhoudspakket in 2026
Website onderhoud kost in Nederland tussen de €30 en €300 per maand, afhankelijk van wat er inbegrepen is. De prijs zegt weinig zonder te weten wat je ervoor krijgt.
| Pakket | Prijs per maand | Wat inbegrepen |
|---|---|---|
| Basis | €30-€60 | Updates + back-ups |
| Standaard | €60-€120 | Updates + back-ups + monitoring + rapportage |
| Premium | €120-€250 | Alles + staging + SLA + prioriteitsupport |
| Enterprise | €250+ | Maatwerk SLA, dedicated beheer |
Wat de prijs beïnvloedt
De prijs van een onderhoudspakket hangt af van de complexiteit van je site (webshop versus brochuresite), de SLA-responstijd, of hosting inbegrepen is, of content-aanpassingen inbegrepen zijn en of er een verwerkersovereenkomst bij zit.
Let op bij goedkope pakketten
- Onder €30 per maand is een volledig pakket vrijwel nooit mogelijk
- Controleer altijd of back-ups extern worden opgeslagen
- Vraag specifiek naar de stagingomgeving
- Vraag naar de gegarandeerde responstijd bij een beveiligingsincident
De benchmark: een professioneel onderhoudspakket van €500 per jaar staat tegenover gemiddelde hackkosten van €270.000 voor Nederlands MKB. De risicoberekening spreekt voor zich.
Onderhoudsstatus check: beoordeel je eigen website in 10 minuten
Je hebt geen technische kennis nodig om te controleren of je site risico loopt. Met zeven vragen weet je waar je staat.
1. Is je WordPress-versie actueel? Ga naar wp-admin, klik op Dashboard en vervolgens Updates. Een rode melding betekent dat er een update beschikbaar is.
2. Zijn je plugins up-to-date? Op dezelfde pagina zie je openstaande plugin-updates. Drie of meer openstaande updates betekent verhoogd risico.
3. Is je SSL-certificaat geldig? Kijk in je browser naar het slotje in de adresbalk. Geen slotje, of een waarschuwing, is een probleem. Verloopt het certificaat binnen 30 dagen? Onderneem direct actie.
4. Is er een recente back-up aanwezig? Vraag dit na bij je hostingpartner. Als de back-up op dezelfde server staat als je site, is dat onvoldoende.
5. Geeft je site een browserwaarschuwing? Open je site in incognitomodus. Een rode waarschuwingspagina betekent dat Google je site al als onveilig heeft gemarkeerd.
6. Is de laadtijd acceptabel? Test je site via Google PageSpeed Insights. Een score onder 50 op mobiel kost je bezoekers en rankings.
7. Wanneer was de laatste update? Als je het antwoord niet weet, is het te lang geleden.
Score:
- 7 van 7: je site is op niveau
- 4 tot 6: er is verbetering nodig
- Minder dan 4: onderneem direct actie
Veelgestelde vragen over website onderhoud
Hoe vaak moet je een WordPress-site updaten?
WordPress-core en plugins moet je bijhouden zodra er updates beschikbaar zijn. In de praktijk betekent dat wekelijkse controle voor plugins en directe actie bij beveiligingsupdates. Grote WordPress-versie-updates test je eerst op een stagingomgeving voordat je ze live doorzet. Beveiligingslekken worden binnen 24 uur na publicatie actief uitgebuit, dus wachten vergroot het aanvalsoppervlak exponentieel.
Wat is het verschil tussen website onderhoud en website beheer?
Website beheer richt zich op de technische infrastructuur: serverinstellingen, DNS, e-mailconfiguratie en de stabiliteit van de hostingomgeving. Website onderhoud richt zich op de WordPress-installatie zelf: updates, back-ups, beveiligingsmonitoring en prestatiebeheer. Beide zijn noodzakelijk, maar het zijn aparte disciplines. Vraag bij elke aanbieder expliciet wat er onder elk onderdeel valt.
Kan ik mijn WordPress-site zelf onderhouden zonder technische kennis?
Basistaken zoals plugin-updates uitvoeren zijn ook zonder technische kennis te doen. Volledig onderhoud omvat ook het opzetten van een stagingomgeving, het configureren van externe back-ups, het interpreteren van beveiligingsscans en het herstellen van een gehackte site. Zonder technische achtergrond mis je de signalen die ertoe doen, met grotere gevolgen dan wanneer je het had uitbesteed.
Wat kost website onderhoud gemiddeld per maand?
Een volledig onderhoudspakket kost in Nederland tussen de €60 en €120 per maand voor de meeste MKB-sites. Basispakketten beginnen rond de €30, maar dekken zelden alle zes componenten. Premium pakketten met SLA en prioriteitsupport zitten tussen de €120 en €250. Goedkoper dan €30 per maand betekent vrijwel altijd dat cruciale onderdelen ontbreken, zoals externe back-ups of actieve beveiligingsmonitoring.
Valt SSL-certificaat onder website onderhoud?
Ja. SSL-beheer hoort standaard bij website onderhoud: geldigheid controleren, tijdig verlengen en de configuratie actueel houden. Een verlopen SSL-certificaat geeft bezoekers een browserwaarschuwing, beschadigt je reputatie en vormt een AVG-overtreding als je persoonsgegevens verwerkt. Vraag bij je onderhoudspakket expliciet of SSL-beheer inbegrepen is.
Hoe snel wordt een niet-onderhouden WordPress-site gehackt?
Er is geen vaste tijdlijn, maar de risicofactoren zijn duidelijk. Sites met drie of meer verouderde plugins lopen aanzienlijk meer kans op een succesvolle aanval. Met 65.000 aanvallen per uur op WordPress-sites wereldwijd en geautomatiseerde scantools die bekende lekken in minuten detecteren, is een niet-onderhouden site een kwestie van tijd. Volgens het IBM Cost of a Data Breach Report is de gemiddelde tijd tussen een hack en de ontdekking ervan 197 dagen.