In het eerste kwartaal van 2026 werd één critical kwetsbaarheid in een populaire WordPress backup-plugin gemeld waardoor ruim 800.000 sites blootgesteld waren aan remote code execution. Niet de site zelf was het probleem, maar de tool die je had geïnstalleerd om de site te redden. Tegelijk meldt het NCSC dat 58% van de Nederlandse ransomware-slachtoffers geen werkende backup had op het moment van de aanval. Voor MKB-ondernemers met een WordPress-site is dat de nieuwe realiteit: een backup-plugin is geen verzekering meer, het is potentieel zelf je aanvalsroute.
Deze gids legt uit waarom een backup-plugin in 2026 niet meer als enige laag voldoet, hoe een professionele backup-dienst voor WordPress is opgebouwd, en wanneer uitbesteden voor jouw MKB de juiste keuze is.
Wat een WordPress backup-plugin wel en niet doet
De meest gebruikte spelers in WordPress backup-land zijn UpdraftPlus (op meer dan 3 miljoen sites geïnstalleerd), BlogVault (SaaS-aanpak, vanaf 149 dollar per jaar), Solid Backups (voorheen BackupBuddy, vanaf 99 dollar per jaar) en JetBackup for WordPress (gratis starter, Pro vanaf 19,95 dollar per jaar). Ze doen alle vier hetzelfde basiswerk: een gepland archief van je database en je wp-content directory wegschrijven naar een cloud-locatie.
De gratis versie van UpdraftPlus pakt alleen de inhoud van wp-content en de database, niet je wp-config.php of core files. Je krijgt geen exact tijdstip voor de backup-run, alleen “dagelijks” of “wekelijks”. BlogVault draait zijn backups op eigen servers in plaats van op die van jou, wat de belasting van je site wegneemt maar je credentials in een SaaS-omgeving plaatst. Solid Backups geeft je full scheduling control en incremental backups, maar zijn multisite-ondersteuning is beta. JetBackup for WordPress komt uit de hosting-industrie (JetBackup voor Servers wordt door cPanel, rocket.net en hosting.com als backup-laag gebruikt) en biedt ook in de gratis versie scheduling tot uurlijks, meerdere schedules per site en cloud-destinations naar Google Drive, AWS S3, Dropbox, OneDrive en Box. De Pro-versies (vanaf 19,95 dollar per jaar) ontgrendelen custom S3-destinations zodat je een eigen Europese provider kunt aanwijzen, plus premium cloud storage inbegrepen.
Voor een eenvoudige blog of een statische bedrijfssite is een goed geconfigureerde plugin een redelijke ondergrens. Voor een serieuze MKB-site, WooCommerce-shop of klantgerichte omgeving is het niet meer voldoende. Hieronder lees je waarom.
Vier redenen waarom plugin-only backup in 2026 onvoldoende is
1. De plugin zelf is een aanvalsroute
De backup-plugin draait op dezelfde server als je site, met dezelfde rechten als WordPress zelf. Een kwetsbaarheid in die plugin geeft een aanvaller direct toegang tot je hele stack. Het WPvivid-incident van begin 2026 (CVE-2026-1357, severity 9.8) liet 800.000 sites kwetsbaar achter voor remote code execution via een ongeauthenticeerde file upload. BackWPup had in dezelfde periode een local file inclusion-bug. Critical vulnerabilities in backup-plugins zijn geen uitzondering meer, ze zijn een terugkerend patroon.
2. Backup-credentials staan binnen handbereik van ransomware
Bij plugin-based backup zijn de cloud-credentials (Google Drive token, S3 access key, Dropbox-koppeling) opgeslagen in je WordPress-database of in wp-config.php. Een aanvaller met root- of admin-toegang op je site heeft die credentials ook. Moderne ransomware versleutelt eerst je primaire data en sloopt daarna actief je remote backups via dezelfde credentials. Een backup die met dezelfde sleutel kan worden verwijderd als de productie-site is geen backup, het is een vertraagde dump.
3. PHP memory limits laten plugin-backups stilletjes falen
Een plugin draait binnen de PHP-grenzen van je hosting. Op shared hosting met 256 MB memory loopt een backup-job van een site met veel media of een grote WooCommerce-database tegen de limiet, valt halverwege uit en logt dat ergens diep weg. Sites kunnen maandenlang denken dat ze backuppen terwijl er feitelijk niks afgemaakt wordt. Pas op het moment dat je daadwerkelijk moet terugzetten ontdek je dat je laatste complete backup zes maanden oud is.
4. Geen native immutability of object lock
Geen enkele mainstream backup-plugin schrijft standaard naar een immutable storage-target. Dat betekent dat je backups, eenmaal geüpload, technisch nog steeds kunnen worden verwijderd of overschreven. In de moderne 3-2-1-1-0 backup-strategie die we eerder uitwerkten in onze VPS backup-gids, is precies die immutable laag het verschil tussen overleven of niet overleven van een ransomware-incident.
Wat een professionele WordPress backup-dienst doet
Een serieuze backup-dienst voor WordPress werkt niet vanuit de site zelf, maar vanaf de server-laag eronder. Je krijgt vijf zaken die geen plugin alleen kan leveren:
- Een aparte, consistente database-dump. Niet een file-level kopie van een draaiende MySQL, maar een
mysqldumpdie de transactionele consistentie waarborgt. Dat voorkomt corrupte WooCommerce-orders of half-geschreven posts in je backup. - Off-site replicatie naar een ander Europees datacenter. Geen credentials op je WordPress-site, maar server-side keys die alleen bestaan in een aparte beheeromgeving. Een aanvaller op je WordPress-site komt niet bij deze laag.
- Een immutable kopie met S3 Object Lock. Backup-snapshots die voor een vooraf ingestelde periode (bijvoorbeeld 30 dagen) niet kunnen worden gewijzigd of verwijderd, ook niet door iemand met admin-toegang op het opslagaccount.
- Periodieke restore-tests. Een maandelijkse automatische restore naar een schaduw-VPS die controleert of de site daadwerkelijk boot. Plus een kwartaal-disaster recovery oefening waarin we de hele stack vanaf nul opbouwen op basis van de laatste backup.
- Monitoring, alerting en bewijsvoering. Een gefaalde backup-job die je vanaf je telefoon ziet, en een maandelijks rapport dat je aan je AVG-verwerkersregister kunt toevoegen.
Het verschil met een plugin zit niet in welke knoppen je indrukt, maar in waar de logica draait en wie de credentials heeft. Bij een plugin is dat WordPress. Bij een professionele dienst is dat een aparte beheerlaag die niet bereikbaar is via de site zelf.
Plugin, SaaS of managed dienst: wat past bij jouw situatie
De drie typen backup voor WordPress hebben elk hun moment:
- Plugin (UpdraftPlus, Solid Backups, BackWPup, JetBackup for WordPress): prima voor een eenvoudige blog of brochure-site met weinig dynamische data. Volledig in eigen beheer, vraagt wel discipline op patching, monitoring en restore-tests die je zelf moet uitvoeren. Kosten: gratis tot 100 euro per jaar.
- SaaS-backup (BlogVault, ManageWP, Jetpack VaultPress): betere architectuur omdat backup-processing buiten je site draait. Geschikt voor agencies die veel klantensites beheren of voor MKB-sites met budget. Beperking: storage zit bij één leverancier, credentials gaan via een externe SaaS, en immutable storage zit er niet bij. Kosten: 150 tot 500 euro per site per jaar.
- Managed backup-dienst via je hosting-partner: backup als infrastructuur, niet als plugin. Server-niveau, immutable off-site replica in een Europees datacenter, periodieke restore-tests, monitoring en bewijsvoering. Geschikt voor klant-gerichte sites, WooCommerce-shops en sites waar downtime direct geld kost. Kosten: doorgaans onderdeel van een managed hosting-pakket, vanaf 30 tot 80 euro per maand inclusief de hosting zelf.
Voor de duidelijkheid: een managed dienst sluit een plugin niet uit. Een goede setup combineert ze. De plugin doet de comfortabele 1-click restore-functie binnen WordPress, de managed laag eronder vangt de scenario’s op waar de plugin tekortschiet (server-corruptie, ransomware, plugin-CVE).
Vijf signalen dat WordPress backup uitbesteden voor jou de juiste keuze is
- Je weet niet wanneer je laatste succesvolle restore-test was, of je hebt er nog nooit één gedaan.
- Je site draait een WooCommerce-shop of klantportaal, en een uur downtime betekent meer dan een uur omzet.
- Je hebt een ervaring gehad waarbij een backup-plugin een grote site niet kon completen door memory-limits.
- Je moet kunnen aantonen aan klanten of een AVG-audit dat je backup-procedures werken en getest zijn.
- Je hebt geen interne capaciteit voor het maandelijks controleren, testen en bijhouden van je backup-stack.
Eén van deze signalen alleen is geen reden om direct uit te besteden. Maar als drie of meer matchen, is de risicoblootstelling van zelf-beheer waarschijnlijk groter dan de kosten van een managed dienst. We werkten dit eerder uit in onze gids over WordPress herstellen na een hack en in de bredere 3-2-1-1-0 backup-strategie voor VPS.
Concreet: wat krijg je bij PC Patrol
PC Patrol levert WordPress backup als integraal onderdeel van onze managed WordPress onderhoud en managed Cloud VPS diensten. Je krijgt dagelijkse backups op server-niveau, off-site replicatie naar een Europees datacenter, een immutable kopie met S3 Object Lock voor ransomware-bescherming, en maandelijkse automatische restore-tests waarvan je het rapport in je mailbox krijgt. Onze hosting-infrastructuur staat bij een Nederlandse partner met datacenters binnen de EU.
Wil je weten of jouw huidige WordPress backup-setup ransomware-bestendig is? Plan een vrijblijvend gesprek via onze contactpagina. We doen samen een kort risico-overzicht en geven je concreet advies, of dat nu betekent “je huidige plugin volstaat” of “hier zit een serieus gat”.