WordPress onderhoud uitbesteden: 8 vragen om de juiste partner te kiezen in 2026

De WordPress onderhoudsmarkt is in 2026 een gemengd toneel. Aan de bovenkant zitten specialisten die updates op staging draaien, dagelijkse backups testen en binnen het uur reageren bij een incident. Aan de onderkant zitten partijen die voor 39 euro per maand een geautomatiseerd update-scriptje verkopen onder dezelfde noemer. Het verschil zie je pas terug op het moment dat er iets misgaat, en dan is het te laat om alsnog over te stappen.

Deze gids geeft je acht concrete vragen die je elke potentiële onderhoudspartner zou moeten stellen voordat je een handtekening zet. Per vraag staat erbij wat een goed antwoord is, wat een slecht antwoord is, en waarom het ertoe doet. Aan het eind heb je een werkbare checklist om aanbieders te vergelijken op feiten in plaats van op verkooptaal.

Vraag 1: Hoe vaak draaien jullie updates en welke garantie krijg ik bij een mislukte update?

Updates zijn de meest voorkomende taak in een onderhoudscontract, en tegelijk de plek waar het vaakst iets stukgaat. Een goede partner draait WordPress core, thema en plugins minstens maandelijks bij, en bij kritieke kwetsbaarheden binnen een paar uur na publicatie. Belangrijker dan de frequentie is wat er gebeurt als een update iets sloopt.

Goed antwoord: “Wij draaien updates op een staging-clone, voeren visuele regressietests uit, en zetten alleen door als alles werkt. Gaat er iets fout in productie, dan rollen we direct terug naar de pre-update-staat met een snapshot. Bij zero-day-kwetsbaarheden patchen we binnen vier uur na publicatie.”

Slecht antwoord: “Wij draaien updates automatisch elke nacht.” Of “Bij een probleem kun je ons bellen, dan zoeken we het op.” Zonder staging en zonder rollback ben je het levende staging-platform. Onze ervaring met dit soort setups beschrijven we in onze blog over WordPress backup terugzetten zonder downtime.

Vraag 2: Werk je standaard met een staging-omgeving voor risicovolle wijzigingen?

Staging is in 2026 geen luxe meer. Het is de minimumvereiste voor elke serieuze onderhoudspartij. Het is de plek waar updates, plugin-installaties en theme-aanpassingen eerst worden getest voordat de productiesite ze ziet. Vraag of staging standaard in je pakket zit of dat het een meerprijs is, en hoe lang het duurt om een verse staging-clone te maken.

Goed antwoord: “Je krijgt een vaste staging-URL die we op aanvraag of automatisch synchroniseren met productie. Wij draaien daar updates en geven jou een visuele preview voordat we naar productie pushen.”

Slecht antwoord: “Staging zit niet standaard in dit pakket, maar je kunt het bijbestellen.” Of erger: “Wat is een staging-omgeving?” Bij PC Patrol zit staging vanaf het Uitgebreid-pakket standaard inbegrepen, en wordt het bij elke major update verplicht gebruikt. Werk je vooral met klantdata, dan is een geanonimiseerde staging-database bovendien een AVG-vereiste.

Vraag 3: Hoe vaak maak je backups, hoe lang bewaar je ze, en test je ze actief?

Bijna elke onderhoudspartij belooft “dagelijkse backups”. Dat is niet wat er toe doet. Wat er toe doet is of die backups: op een fysiek andere locatie staan dan je site, lang genoeg worden bewaard om een infectie die je twee weken niet hebt opgemerkt nog terug te kunnen vinden, en regelmatig daadwerkelijk getest worden op een testserver. Een ongeteste backup is geen backup; het is een bestand op een schijf.

Goed antwoord: “Dagelijkse offsite backups in een Nederlands datacenter, 30 dagen retentie, en elke maand een restore-test op een testserver. Bij elke test krijg je in het maandrapport te zien wanneer de laatste succesvolle test was.”

Slecht antwoord: “Wij maken dagelijks backups, en je kunt ze terugvragen als je ze nodig hebt.” Geen retentie genoemd, geen restore-tests, geen offsite-claim. Dat is geen backup-strategie maar een knop in een control panel. Onze gids over WordPress backup terugzetten in 2026 laat zien waarom de restore-test minstens zo belangrijk is als de backup zelf.

Vraag 4: Welke security-stack draait proactief en hoe snel patch je zero-days?

WordPress-kwetsbaarheden worden in 2026 vaak binnen 24 uur na publicatie actief misbruikt door geautomatiseerde scanners. Een onderhoudscontract zonder serieuze security-laag is daarmee een doekje voor het bloeden. Vraag concreet welke tools draaien, hoe vaak ze scannen, en wat het noodprotocol is als er iets gevonden wordt.

Goed antwoord: “Dagelijkse malware-scans via Patchstack en Wordfence, een Web Application Firewall die geautomatiseerde aanvallen filtert, zero-day patches binnen vier uur na publicatie, en een vast incident-protocol als er een infectie wordt gevonden.”

Slecht antwoord: “Wij hebben Wordfence Free draaien op je site.” Een gratis plugin zonder serverside-scanning, zonder zero-day-respons en zonder WAF is geen security-stack. Voor context over wat een echt noodprotocol inhoudt, zie onze blog over het noodprotocol bij een gehackte WordPress site.

Vraag 5: Wat is je reactietijd bij een incident, en wie pakt het buiten kantooruren op?

“24/7 monitoring” is een marketingterm zonder concrete SLA. Wat ertoe doet is hoeveel tijd er zit tussen jouw belletje en iemand die daadwerkelijk aan je site werkt, en wat er gebeurt als die belletje om 22.00 ’s avonds of zaterdagochtend komt. Sommige aanbieders monitoren wel proactief, maar reageren alleen op werkdagen tijdens kantooruren. Voor een brochuresite kan dat prima, voor een webshop in piekseizoen is dat te krap.

Goed antwoord: “Op werkdagen tussen 9:00 en 18:00 reageren we binnen vier uur op een incident-melding. Op het Premium-pakket geldt een 24/7 SLA met reactie binnen één uur, ook buiten kantooruren.” Plus: een eerlijk antwoord op wat er niet onder valt, bijvoorbeeld feestdagen of weekenden bij het basispakket.

Slecht antwoord: “Wij zijn altijd bereikbaar.” Of “Onze gemiddelde reactietijd is vrij snel.” Geen concreet getal, geen schriftelijke SLA, geen onderscheid tussen kantooruren en daarbuiten. Bij PC Patrol staat de reactietijd zwart op wit in het contract, met expliciete kantooruur- en buiten-kantooruur-clausules.

Vraag 6: Wat valt buiten het pakket en hoe wordt extra werk gefactureerd?

De grootste verrassing in onderhoudscontracten zijn de losse facturen achteraf. Een goedkoop maandbedrag dat oploopt tot tien keer zoveel door “meerwerk” voor wat in jouw beleving onder onderhoud zou moeten vallen. Vraag dus expliciet wat er WEL en NIET in zit, en bij welk uurtarief extra werk wordt afgerekend.

Goed antwoord: “Binnen het pakket: updates, backups, security, monitoring en reactie bij incidenten. Buiten het pakket: design-aanpassingen, nieuwe features, contentwerk en herontwerp; die rekenen we tegen 95 euro per uur in blokken van vijftien minuten, na schriftelijke akkoord. Bij Premium-pakketten zit een uur ‘flex’ per maand om kleine wijzigingen direct op te pakken.” Een concrete grens dus, en een transparant tarief.

Slecht antwoord: “Wij rekenen ad hoc af voor wat erbuiten valt.” Zonder concrete uurtarief of grens loop je het risico op een rekening die hoger is dan je maandbudget. De rationale erachter werken we verder uit in onze gids over WordPress onderhoud kosten in 2026 met rekenvoorbeeld voor MKB en webbureaus.

Vraag 7: Krijg ik elke maand een rapportage van wat je hebt gedaan?

Onderhoud is een dienst die je niet ziet als hij goed werkt. Dat is precies de reden waarom transparante maandelijkse rapportage cruciaal is. Zonder rapportage weet je niet of er daadwerkelijk iets is gedaan, en of het geld dat je betaalt wordt verdiend. Bij sommige aanbieders krijg je per kwartaal een vage e-mail dat “alles in orde is”; bij anderen een concreet log van wat er is uitgevoerd.

Goed antwoord: “Elke maand stuurt onze beheerder een rapport met: aantal uitgevoerde updates, succesvol terug te zetten backup-test van die maand, malware-scans en bevindingen, performance-meting (TTFB, LCP, INP), en advies bij plugins die opvolging vragen. Bovenop dat staat alles in ons klantportaal in real time.”

Slecht antwoord: “We melden ons als er iets is.” Dat is een black box. Voor zakelijk WordPress is dat in 2026 onder de standaard. Onze maandrapportage volgt de checklist uit onze blog over wat WordPress beheer eigenlijk inhoudt.

Vraag 8: Wat is de opzegtermijn en kan ik maandelijks overstappen?

Hier zit een grote scheidslijn in de markt. Sommige aanbieders verplichten een jaarcontract met automatische verlenging, andere werken maandelijks opzegbaar zonder boete. Voor jou als klant maakt dat het verschil tussen vasthouden aan een partij die niet bevalt, of vrijuit kunnen overstappen als het tegenvalt. Een aanbieder die werkelijk gelooft in zijn dienst durft maandelijks opzegbaar te zijn.

Goed antwoord: “Maandelijks opzegbaar, geen setup-kosten, geen automatische jaarverlenging. Je hoeft alleen dertig dagen voor het einde van de maand op te zeggen, en wij verzorgen kosteloos de overdracht naar je nieuwe partij.”

Slecht antwoord: “Eerste jaar minimaal, daarna verlengt het stilzwijgend met twaalf maanden.” Dat is de standaard van de oude telecom-industrie en zou in 2026 voor digitale diensten niet meer normaal moeten zijn.

Drie rode vlaggen die geen vraag vereisen

Naast de acht vragen zijn er drie signalen die je los van de antwoorden zou moeten meewegen. Een onderhoudspartij waarbij minstens één van deze drie speelt, is in onze ervaring vaker een teleurstelling dan een aanwinst.

• Geen Nederlandstalige support. Een buitenlands callcenter dat alleen Engelse tickets verwerkt, betekent dat technische nuances verloren gaan en dat je bij een crisis afhankelijk bent van een tijdzone. Voor MKB-WordPress in Nederland is een Nederlandse helpdesk die je technisch begrijpt geen luxe; het is een minimum-vereiste.
• Onduidelijke datalocatie. Onder de AVG moet je weten waar je persoonsgegevens fysiek staan en wie er bij kan. Een aanbieder die vaag is over de datacenterlocatie of CDN-knooppunten geeft je geen werkbare basis voor je verwerkersovereenkomst. Voor context: Cloud Act en Europese websites.
• Geen referenties of testimonials van vergelijkbare klanten. Iedereen heeft een paar logo’s op de site. Vraag specifiek naar referenties van MKB-bedrijven uit jouw branche of met een vergelijkbare site-omvang, en check ze daadwerkelijk. Een aanbieder zonder dergelijke referenties is ofwel net begonnen, ofwel een partij waar mensen liever niet over praten.

Hoe je de antwoorden vergelijkt

Stuur de acht vragen schriftelijk naar je shortlist van drie tot vijf aanbieders. Schriftelijk, niet telefonisch: dan dwing je iedereen tot dezelfde formuleringen en kun je later teruglezen wat er beloofd is. Sluit altijd af met de vraag of de antwoorden in het contract worden opgenomen. Wie zegt “ja” en wie dat niet wil zwart op wit zetten, dat is doorgaans dezelfde scheidslijn als tussen goede en zwakke aanbieders.

Maak een eenvoudige tabel met de acht vragen op de rij en de aanbieders in de kolommen. Geef voor elk antwoord een groen, geel of rood vinkje. Eén rode vlek per aanbieder is acceptabel; twee of meer is een signaal om die kandidaat van de shortlist te halen. Voor de meeste MKB-sites is de winst van een paar dagen vergelijken oneindig veel groter dan de schade van een verkeerd contract dat je een jaar moet uitzitten.

Veelgestelde vragen over een WordPress onderhoudspartner kiezen

Hoeveel partners moet ik op mijn shortlist hebben staan?

Drie tot vijf is in de praktijk genoeg. Minder en je hebt geen vergelijkingsmateriaal, meer en je verzandt in offertes lezen. Selecteer ze vooraf op locatie (NL of EU), grootte (vergelijkbaar met jouw site) en specialisatie (puur WordPress of bredere host).

Maakt het uit of mijn onderhoudspartner ook mijn hosting doet?

Niet per se, maar het scheelt schakels. Als hosting en onderhoud bij verschillende partijen liggen, wijst iedereen bij een incident vaak naar de ander. Bij één partij is er geen ontsnappingsroute. Onze blog over wat managed webhosting eigenlijk inhoudt legt uit waar de scheidslijn tussen beide diensten ligt.

Wat kost een goede onderhoudspartner in 2026?

Tussen 79 en 399 euro per maand voor een MKB-site, afhankelijk van wat erin zit. Een uitgebreid pakket met staging, dagelijkse offsite backups, malware-scans en performance-monitoring zit doorgaans rond de 150 tot 250 euro. Premium met 24/7 SLA loopt op naar 400 euro of meer.

Hoe lang duurt het om over te stappen naar een nieuwe partner?

Voor een standaard WordPress-site is een overstap binnen één werkdag rond, mits de nieuwe partij gratis migratie biedt. Het meeste werk zit in DNS-instellingen, e-mailroutering en het overdragen van toegangsgegevens. Plan dit een week van tevoren in en laat de oude omgeving nog 14 dagen warm staan voor het geval er teruggerold moet worden.

Wat als ik over een paar maanden niet tevreden ben?

Bij een aanbieder met maandelijks opzegbaar contract zeg je gewoon dertig dagen voor het einde van de maand op en stap je over. Geen boete, geen gedoe. Daarom is vraag 8 over de opzegtermijn niet voor de prijs maar voor je vrijheid om bij te sturen als de partner niet voldoet.

Tot slot: vragen zijn een vorm van risicobeheer

Een onderhoudspartner kies je niet voor één maand. Je kiest hem voor de jaren dat je site bedrijfsmatig moet blijven werken, ook in periodes waarin jij even niet kunt of wil meekijken. De acht vragen hierboven zijn geen marketing-checklist; het zijn de minimum-toetsen die je achteraf niet meer kunt doen als de partner al een paar maanden actief is en de eerste problemen zich aandienen. Een aanbieder die hier transparant op antwoordt, is doorgaans een aanbieder die je over twee jaar ook nog wil houden.