Je opent je WordPress-dashboard en ziet 42 plugins staan. De helft heeft iemand ooit geïnstalleerd voor een pop-up die je allang niet meer gebruikt. Drie hebben een update klaarstaan sinds vorig jaar. En bij eentje staat er een grijze melding dat hij “mogelijk niet meer wordt onderhouden”.
Het eerlijke antwoord op de vraag hoeveel plugins te veel is: er bestaat geen magisch getal. Wat telt is niet hoeveel je er hebt, maar hoeveel je er hebt die niemand meer bijhoudt. Een site met veertig actief onderhouden plugins is veiliger dan een site met acht plugins waarvan er twee verlaten zijn. In dit artikel lees je hoe je dat verschil ziet, wat plugin-rommel je concreet kost en hoe je opruimt zonder je site te slopen.
Hoeveel plugins zijn te veel?
Een gemiddelde WordPress-installatie draait 20 tot 30 plugins. Dat is dus niet uitzonderlijk en op zichzelf ook geen probleem. Het wordt pas een probleem als je bij een plugin geen van deze drie vragen kunt beantwoorden:
- Waar is deze plugin voor, en welke pagina zou stukgaan als ik hem weghaal?
- Wanneer is hij voor het laatst bijgewerkt door de maker?
- Betaal ik hier nog een licentie voor?
Kun je bij vijf plugins geen antwoord geven, dan heb je te veel plugins. Niet omdat het getal te hoog is, maar omdat je site onderdelen bevat die niemand meer overziet. Dat is de werkbare definitie waar wij mee werken.
Wat plugin-rommel je echt kost
1. Het hackrisico, ook van plugins die je niet gebruikt
Dit is het punt dat de meeste ondernemers verrast. Een gedeactiveerde plugin die nog op je server staat, kan nog steeds misbruikt worden. De bestanden liggen er, en bij bepaalde kwetsbaarheden is het genoeg dat ze bereikbaar zijn. Deactiveren is dus geen opruimen. Verwijderen wel.
De cijfers geven aan hoe groot die stapel is. Patchstack telde in 2025 in totaal 11.334 nieuwe kwetsbaarheden in het WordPress-ecosysteem, 42 procent meer dan het jaar ervoor. Daarvan zat 91 procent in plugins en 9 procent in thema’s. Het onaangenaamste cijfer: bij 46 procent van die kwetsbaarheden had de maker op het moment van openbaarmaking nog geen oplossing uitgebracht.
Dat laatste is precies waarom verlaten plugins gevaarlijk zijn. Bij een verlaten plugin komt die oplossing namelijk nooit. Updaten helpt dan niet meer; alleen weghalen helpt.
2. Snelheid en Core Web Vitals
Elke actieve plugin voegt code toe die bij elk bezoek geladen wordt. Vaak zijn dat extra stylesheets en scripts die op elke pagina meekomen, ook op pagina’s waar de plugin niets doet. Een formulieren-plugin die zijn scripts op je hele site laadt terwijl je één contactformulier hebt, is een klassieker.
Het effect merk je in je laadtijd en daarmee in je vindbaarheid. Bezoekers die op mobiel drie seconden naar een witte pagina kijken, haken af voordat ze je aanbod hebben gezien.
3. Updates die vaker misgaan
Hoe meer losse onderdelen van verschillende makers, hoe groter de kans dat er twee op een dag niet meer samenwerken. Elke plugin die je weghaalt, is een conflict minder dat ooit je site kan platleggen. Hoe je updates draait zonder dat risico, lees je in ons artikel over WordPress veilig updaten met staging en geteste back-ups.
4. Licenties waar je nog voor betaalt
De kostenpost die niemand ziet. Premium plugins kosten al snel 49 tot 99 euro per jaar per stuk. Vier vergeten licenties voor plugins die je niet meer gebruikt, is zo 300 euro per jaar die van je rekening loopt voor niets. In een plugin-audit die wij doen, is dit vaak het eerste wat zichzelf terugverdient.
Zo ruim je op zonder je site te slopen
Ga niet zomaar deactiveren en kijken wat er stukgaat. Dat is precies hoe je op een dinsdagmiddag je contactformulier kwijtraakt. Werk in deze volgorde:
- Maak een verse back-up en test of je die kunt terugzetten. Zonder werkend vangnet begin je niet.
- Maak een lijst van alle plugins met per plugin: waar hij voor is, datum laatste update door de maker, en of er een licentie aan hangt.
- Markeer de verlaten plugins. Is er meer dan een jaar geen update geweest, of staat er een melding dat de plugin niet meer wordt onderhouden, dan gaat hij op de lijst om te vervangen of te verwijderen.
- Zoek eerst een vervanger voor wat je wél nodig hebt. Pas als de vervanger draait, gaat de oude eruit.
- Test op een staging-omgeving, een niet-publieke kopie van je site. Deactiveer daar, loop je belangrijkste pagina’s na (homepage, contact, afrekenen, formulieren) en pas als alles werkt, doe je hetzelfde live.
- Verwijder in plaats van deactiveren, zodat de bestanden echt van je server af zijn.
- Zeg de bijbehorende licenties op en noteer de datum, zodat je volgend jaar niet alsnog een factuur krijgt.
Reken op een halve tot een hele dag voor een site met dertig plugins, inclusief testen. Twijfel je bij een plugin die diep in je thema of je webshop zit, haal hem dan niet zelf weg. Dat is het moment om iemand te bellen.
Zelf doen of laten doen?
De opruiming zelf is te doen. Het probleem is dat het geen eenmalige klus is. Over een jaar staan er weer vijf plugins bij die iemand ooit “even” installeerde, en is er weer eentje verlaten waar niemand een melding van kreeg. Want dat is het venijnige: als een plugin om veiligheidsredenen uit de WordPress-map wordt gehaald, krijg jij daar in je dashboard geen waarschuwing over.
Daarom zit plugin-hygiëne bij PC Patrol standaard in het onderhoud. We doen jaarlijks een audit van alle plugins, waarbij verouderd, onveilig of overbodig eruit gaat, en we scannen dagelijks op malware en bekende kwetsbaarheden via Patchstack en Wordfence. Risicovolle wijzigingen draaien we eerst op staging (op de pakketten Uitgebreid en Premium) en we maken dagelijks een offsite back-up in een EU-datacenter met dertig dagen bewaartijd, die we maandelijks daadwerkelijk terugzetten om te controleren of hij werkt.
WordPress-onderhoud uitbesteden start bij ons op 79 euro per maand, maandelijks opzegbaar en zonder setup-kosten. Je huidige hosting mag je houden. Zet dat af tegen zelf doen: een MKB-site met dertig plugins vraagt al snel 5 tot 8 uur beheer per maand, en tegen 60 euro per uur zit je dan op 300 tot 480 euro aan eigen tijd. De volledige berekening staat in onze eerlijke prijsvergelijking van WordPress-onderhoud.
Er komt nog iets bij. Vanaf 15 augustus 2026 geldt de Cyberbeveiligingswet, de Nederlandse uitwerking van NIS2. Bedrijven die eronder vallen moeten kunnen laten zien hoe hun leveranciers patchmanagement geregeld hebben. Een lijst met veertig plugins waarvan niemand weet wie ze bijhoudt, is dan geen prettig antwoord. Wat de wet precies van je vraagt, lees je in ons artikel over de Cyberbeveiligingswet en het MKB.
Waar begin je vandaag?
Open je plugin-overzicht en tel hoeveel plugins er staan waarvan je niet weet waar ze voor zijn. Dat getal is je echte probleem, niet het totaal. Staat het op meer dan vijf, dan is opruimen geen luxe meer.
Veelgestelde vragen over te veel WordPress-plugins
Er is geen vast maximum. Een gemiddelde WordPress-site draait 20 tot 30 plugins en dat is prima, mits ze allemaal actief onderhouden worden. De betere vraag is: van hoeveel plugins weet je niet meer waar ze voor zijn, wanneer ze voor het laatst zijn bijgewerkt en of je er nog een licentie voor betaalt. Zijn dat er meer dan vijf, dan heb je te veel plugins.
Ja, maar niet allemaal evenveel. Het probleem zit vooral in plugins die op elke pagina hun eigen stylesheets en scripts laden, ook op pagina’s waar ze niets doen. Eén zware plugin kan meer kwaad doen dan tien lichte. Meet daarom je laadtijd voor en na het opruimen in plaats van blind op het aantal te sturen.
Niet automatisch. De bestanden staan nog op je server en kunnen bij bepaalde kwetsbaarheden alsnog misbruikt worden. Gebruik je een plugin niet meer, verwijder hem dan echt in plaats van hem alleen te deactiveren.
Kijk op de pagina van de plugin naar de datum van de laatste update en bij welke WordPress-versie hij getest is. Is er meer dan een jaar niets gebeurd, dan is dat een rood signaal. Let op: wordt een plugin om veiligheidsredenen uit de WordPress-map gehaald, dan krijg je daar in je dashboard geen melding van. Je moet er dus actief naar kijken.
Ja, mits je in de goede volgorde werkt: eerst een geteste back-up, dan de wijziging op een staging-omgeving, daarna je belangrijkste pagina’s nalopen en pas als alles werkt hetzelfde live doen. Zoek bij plugins die je wel nodig hebt eerst een vervanger voordat de oude eruit gaat.
WordPress-onderhoud
Laat ons je plugin-lijst een keer doorlichten
Jaarlijkse plugin-audit, dagelijkse malware-scans en updates die eerst op staging draaien. Vanaf 79 euro per maand, maandelijks opzegbaar, je huidige hosting mag je houden.