Je klikt op “nu bijwerken” en heel even houd je je adem in. Doet de site het straks nog? Voor veel ondernemers zonder eigen IT’er is dat geen overdreven angst. Een verkeerde plugin-update kan je website in enkele seconden plat leggen, precies op het moment dat je er zelf niet naar kunt kijken.
De reflex is dan om updates maar uit te stellen. Dat is alleen nog gevaarlijker, want juist verouderde software is de belangrijkste manier waarop sites gehackt worden. Zo zit je klem tussen twee risico’s: updaten en iets slopen, of niet updaten en gehackt worden. In dit artikel lees je hoe je WordPress veilig updaten aanpakt, zodat geen van beide je nog wakker houdt.
Waarom een simpele update je hele site kan platleggen
WordPress is geen los product, maar een verzameling onderdelen: de core, je thema en vaak tientallen plugins. Elke plugin is door een andere maker gebouwd. Bij een update kan een van die onderdelen ineens niet meer samenwerken met de rest. Het resultaat ken je misschien: een witte pagina, een kapotte lay-out, of de melding dat er zich een kritieke fout op de site heeft voorgedaan.
Dat gebeurt niet omdat je iets fout deed. Het gebeurt omdat je de update rechtstreeks op je live site draaide, zonder vangnet. Draait het mis, dan staat je website offline terwijl klanten of Google er net langskomen. En hoe langer dat duurt, hoe meer omzet en vindbaarheid je kwijtraakt.
Niet updaten is geen veilig alternatief
Sommige ondernemers besluiten dan maar helemaal niet meer te updaten. “Werkt nu, dus niet aankomen.” Begrijpelijk, maar het is het gevaarlijkste wat je kunt doen. Uit beveiligingsonderzoek van 2025 blijkt dat ongeveer negen op de tien WordPress-kwetsbaarheden in plugins zitten, niet in de kern van WordPress zelf. Elke plugin die je niet bijwerkt, is een deur die op een kier blijft staan.
En die deuren worden razendsnel gevonden. De mediane tijd tussen het openbaar worden van een lek en de eerste aanval erop is ongeveer vijf uur. Geautomatiseerde bots scannen het hele internet af naar sites met een verouderde versie. Je hoeft geen doelwit te zijn; je hoeft alleen kwetsbaar te zijn. Loopt het mis, dan zit je aan een heel ander traject vast dan een mislukte update. Hoe dat eruitziet, lees je in ons noodprotocol voor een gehackte WordPress-site.
De oplossing is dus niet “minder updaten”. De oplossing is updaten met een vangnet, zodat een mislukte update geen ramp meer is.
De drie dingen die een veilige update maken
Bijwerken op een manier die je site niet kan slopen, komt neer op drie zaken. Wie deze op orde heeft, kan op elke update-knop drukken zonder zenuwen.
1. Een staging-omgeving als oefenterrein
Een staging-omgeving is een exacte kopie van je website die niemand ziet. Daar draai je de update eerst. Werkt alles nog, dan zet je de wijziging pas door naar je echte site. Gaat er iets stuk, dan merkt geen enkele bezoeker daar iets van, want het gebeurde op de kopie. Dit ene stapje haalt vrijwel al het risico uit updaten weg, en toch slaat bijna niemand die zelf zijn site beheert het over, omdat het opzetten ervan technisch gedoe is.
2. Een back-up waarvan je weet dat hij werkt
Iedereen zegt “wij maken dagelijks een back-up”. De vraag die telt is: heeft iemand ooit getest of die back-up ook echt terug te zetten is? Een back-up die je nooit hebt teruggezet, is een aanname, geen zekerheid. Pas op het moment dat je hem nodig hebt, ontdek je of het bestand compleet en bruikbaar is. Wil je weten hoe terugzetten zonder downtime werkt, lees dan onze gids over een WordPress-back-up terugzetten in vier methodes.
3. Een terugrolplan voor als het toch misgaat
Zelfs met staging kan er ooit iets glippen. Dan telt hoe snel je terug bent bij de laatste werkende versie. Met een geteste back-up en een vast draaiboek is dat een kwestie van minuten in plaats van een verloren middag. Het verschil tussen paniek en routine zit hem niet in geluk, maar in voorbereiding.
Zelf doen of uitbesteden?
Je kunt dit alledrie zelf inrichten. Een staging-omgeving opzetten, een offsite back-up regelen, elke maand een testterugzetting doen en na elke update alle belangrijke pagina’s nalopen. Technisch kan het. De vraag is of jij daar de tijd, de kennis en de zin voor hebt, elke maand opnieuw.
Voor de meeste ondernemers met een handvol medewerkers is het antwoord nee. Niet omdat ze het niet kunnen, maar omdat het uren kost die beter naar klanten gaan, en omdat één gemiste update alsnog raak kan zijn. Twijfel je of jouw site over dat punt heen is, bekijk dan de 7 signalen dat je WordPress-site het zelf niet meer aankan.
Besteed je het uit, dan verschuift het risico naar iemand die dit dagelijks doet. Bij PC Patrol draaien we risicovolle updates standaard eerst op een staging-omgeving (op de pakketten Uitgebreid en Premium), maken we dagelijks een offsite back-up in een EU-datacenter met dertig dagen bewaartijd, en testen we die back-up elke maand daadwerkelijk terug. Niet omdat het mooi staat in een brochure, maar omdat een ongeteste back-up bewezen onbetrouwbaar is. Gaat er onverhoopt toch iets mis, dan pakken we het op werkdagen binnen vier uur op, en op Premium binnen een uur.
Wat kost het, en wat kost het je nu al?
WordPress-onderhoud uitbesteden bij PC Patrol start op 79 euro per maand, maandelijks opzegbaar en zonder setup-kosten. Je huidige hosting mag je houden, of we verhuizen je site gratis naar onze omgeving.
Zet dat af tegen wat zelf doen kost. Een gemiddelde MKB-site met dertig plugins vraagt al snel vijf tot acht uur beheer per maand. Reken je dat door tegen 60 euro per uur, dan zit je op 300 tot 480 euro aan eigen tijd, nog voordat er iets misgaat. En die ene keer dat een update de boel wél sloopt en je site een dag plat ligt, staat in geen enkel uurtarief. Een volledige berekening vind je in onze eerlijke prijsvergelijking van WordPress-onderhoud.
Er is nog een reden om dit nu op orde te brengen. Met de nieuwe Cyberbeveiligingswet (de Nederlandse invulling van NIS2), die vanaf 15 augustus 2026 geldt, moeten steeds meer bedrijven kunnen aantonen dat hun leveranciers patchmanagement en incidentafhandeling netjes geregeld hebben. Een aantoonbaar, gedocumenteerd updateproces is dan geen luxe meer, maar iets waar je klanten en toezichthouders naar kunnen vragen.
Waar begin je?
Begin klein. Maak vandaag een back-up en probeer die één keer terug te zetten op een testomgeving. Ontdek je dat dat niet lukt of dat je niet weet waar te beginnen, dan weet je meteen hoe stevig je vangnet nu echt is.
Wil je er helemaal niet meer over nadenken, dan is WordPress-onderhoud uitbesteden de kortste route. Dan drukt iemand anders op de update-knop, op een kopie, met een geteste back-up achter de hand, en hoor jij er alleen nog van in het maandrapport.
Veelgestelde vragen over WordPress veilig updaten
Het handigst is een vast ritme, bijvoorbeeld één keer per week op een rustig moment. Beveiligingsupdates van plugins of de core wil je sneller doorvoeren, want een lek wordt vaak al binnen enkele uren aangevallen. Belangrijker dan de frequentie is dat je elke update met een vangnet doet: eerst op staging, met een verse back-up achter de hand.
Ja. Omdat je site uit een core, een thema en vaak tientallen plugins van verschillende makers bestaat, kan één update ervoor zorgen dat onderdelen niet meer samenwerken. Het gevolg is een witte pagina, een kapotte lay-out of de melding “Er heeft zich een kritieke fout voorgedaan”. Draai je de update eerst op een staging-omgeving, dan merkt geen enkele bezoeker daar iets van.
Een staging-omgeving is een exacte kopie van je website die niet publiek zichtbaar is. Daar test je updates, nieuwe plugins of aanpassingen zonder risico. Werkt alles, dan zet je de wijziging pas door naar je live site. Gaat er iets stuk, dan blijft dat beperkt tot de kopie.
Ja, en het liefst een back-up waarvan je weet dat je hem ook echt kunt terugzetten. Een back-up die nooit getest is, is een aanname en geen zekerheid. Met een geteste back-up en een vast terugrolplan is herstel na een mislukte update een kwestie van minuten in plaats van een verloren middag.
Dat kan. Bij PC Patrol draaien we risicovolle updates standaard eerst op een staging-omgeving, maken we dagelijks een geteste offsite back-up en grijpen we in als er iets niet klopt. Dat start op 79 euro per maand, maandelijks opzegbaar en met gratis verhuizing van je site.
WordPress-onderhoud
Nooit meer bang zijn voor de update-knop
Wij draaien elke risicovolle update eerst op staging en testen je back-up maandelijks echt terug. Vanaf 79 euro per maand, maandelijks opzegbaar, en we verhuizen je site gratis mee.