WordPress onderhoud: zelf doen of uitbesteden? Een eerlijke afweging

WordPress is gebouwd om laagdrempelig te zijn — en dat is ook precies waar het risico zit. Een site online houden is technisch eenvoudig; een site veilig, snel en stabiel houden gedurende een paar jaar is een ander verhaal. Hieronder een eerlijke afweging tussen zelf doen en uitbesteden, op basis van wat we in onze praktijk dagelijks zien gebeuren. We zijn niet uit op een verkooppraatje: in een paar scenario's adviseren we expliciet om het zelf te blijven doen, omdat een onderhoudspakket dan simpelweg geen toegevoegde waarde heeft.

Wat moet er structureel gebeuren?

Voordat je de vraag 'zelf of uitbesteden' kunt beantwoorden, moet helder zijn wat structureel onderhoud eigenlijk inhoudt. Hier de minimale checklist die je nodig hebt — wij hanteren deze ook intern op klant-sites.

WordPress core + plugin + theme updates

Wekelijks checken op nieuwe updates. We verdelen ze in twee categorieën: security-updates draaien we direct (vaak binnen 24 uur na release), feature-updates gaan eerst 1-2 weken bakken op staging voordat ze naar productie mogen. Major version updates zoals WP 6.x naar 7.x krijgen extra testtijd, want die kunnen plugin-compatibility breken. Premium plugins pinnen we expliciet op een geteste versie en we lezen de changelog vóór elke update — een regel die makkelijk klinkt totdat een builder-update je hele layout sloopt op een dinsdagochtend.

Security monitoring

Realtime monitoring op login-pogingen, file-changes en bekende malware-signatures is geen luxe meer. We werken zelf met combinaties van Wordfence, Sucuri en Patchstack — welke stack hangt af van de hosting en het risicoprofiel. Daarnaast de basics die op zeker de helft van de sites die we overnemen ontbreken: 2FA op admin-accounts, IP-blocking op herhaaldelijk falende logins, en wachtwoorden die niet uit 2019 stammen. Bij verdacht gedrag duiken we in access.log en error.log — niet glamoureus werk, wel het verschil tussen een gestopt incident en een full breach.

Dagelijkse backups + retentie

Volledige backup van files én database, elke dag, off-site opgeslagen op een andere infrastructuur dan je productie-server (S3, Backblaze B2, Google Cloud Storage). Retentie minimaal 30 dagen, idealiter 90, zodat je een hack die pas na 2 weken ontdekt wordt nog kunt terugdraaien. En het belangrijkste, en het meest verzaakte: elk kwartaal een echte restore-test. Een backup die je nooit hebt teruggezet is geen backup — dat is een aanname die op het verkeerde moment kapot gaat.

Performance + uptime

Maandelijks een Lighthouse-rapport en Core Web Vitals-meting (LCP, INP, CLS) in CrUX. Uptime-monitoring via UptimeRobot of Better Stack, met alerts naar telefoon of Slack zodra de site downgaat. Een paar keer per jaar database-optimalisatie: opschonen van revisions, expired transients en orphan postmeta — een wp_options-tabel van 200MB is geen zeldzaamheid en remt elke pagina-load. Na elke deploy check je je CDN-config: cache niet purgen na een release is een klassieke valkuil.

SSL + DNS renewals

SSL-certificaten regelen zichzelf meestal via Let's Encrypt en je hostingpartij, maar 'meestal' is niet 'altijd' — controleer dat auto-renewal écht draait. Domein-renewals zijn de stille killer: een vergeten verlenging betekent dat je domein binnen 30 dagen vrijvalt en in het ergste geval door een squatter wordt opgepikt. DNS-records, vooral de mail-records SPF, DKIM en DMARC, verdienen periodieke audit: één gewiste regel breekt je hele zakelijke e-mail zonder dat iemand meteen door heeft waarom inkomende reacties wegblijven.

Wat kost zelf doen je echt?

De optische kosten zijn nul: je doet het zelf. De werkelijke kosten zijn tijd en risico. Hieronder een realistische rekening voor een gemiddelde MKB-site.

De tijd-rekening per maand

WordPress + plugin updates inclusief staging-test: 1-2 uur. Backup-controle plus een restore-test (1x per kwartaal uitgemiddeld): 0,5 uur per maand. Security-monitoring en log-checks: 0,5-1 uur. Performance-check en database-cleanup: 0,5 uur. Daarbovenop reken je gemiddeld 1 uur per maand voor incident-werk — kleine plugin-conflicten, een rebuild van de cache, een rare 500-error die in de log opduikt. Bij elkaar: 3,5 tot 5 uur per maand bij een gemiddelde site.

Tegen een intern uurtarief van € 50 tot € 75 (niet wat je een freelancer rekent — dit is wat jouw tijd in klantwerk had kunnen opleveren) zit je op € 175 tot € 375 per maand aan opportunity cost. Plus de cognitieve last: WordPress onderhoud zit in je hoofd, ook in weken dat je het niet doet.

De risico-rekening

Eén serieus security-incident kost gemiddeld € 2.000 tot € 8.000: data-restore, malware-cleanup, eventueel Google-delisting aanvragen, plus de reputatie-schade richting klanten die de waarschuwing in hun browser zagen. Een site die 24 uur offline staat tijdens piekuren betekent omzet-verlies of klanten die nooit meer terugkomen. Een verkeerd uitgevoerde restore — bijvoorbeeld van een te oude backup — vernietigt dagen of weken aan content, orders of formulier-leads. Reken op één serieus incident per 2-3 jaar als je matig onderhoud doet; bij goed onderhoud verschuift dat richting één per 5-7 jaar.

Wat kost uitbesteden?

Onze onderhoudspakketten beginnen vanaf € 20 per maand voor het basispakket (updates, dagelijkse backups, security-monitoring en 30 minuten kleine wijzigingen per maand). Het pro-pakket op € 49 voegt maandrapportage, 90 minuten wijzigingen, performance-checks en priority response toe. Voor e-commerce en business-critical sites bieden we een e-commerce-pakket vanaf € 79 met Pro-tijden, checkout-monitoring, plug-in-compatibiliteitsbewaking en prioriteit bij issues. De actuele opbouw en wat exact in elk pakket zit staat op onze pagina onderhoud en support — we tonen daar transparant wat je krijgt zonder kleine lettertjes.

Vergelijk dat met de DIY-rekening: zelfs het basispakket bespaart bij een gemiddelde tijdrekening al ruim € 150 per maand aan opportunity cost. Plus dat het risico verschuift naar een partij die dit dagelijks doet — wij hebben de tools, de logs, en de reflexen om incidents kleiner te houden dan je in je eentje ooit kunt.

Beslisboom: wanneer wel/niet uitbesteden?

Drie scenario's die we in de praktijk constant tegenkomen, met onze eerlijke aanbeveling per situatie.

Scenario 1: eenmanszaak, simpele site, zelf-technisch

Je hebt WordPress zelf opgezet, een plugin updaten is geen mysterie en je hebt een vast halfuurtje per week beschikbaar. In dit scenario hoef je niet uit te besteden. Investeer in een degelijke backup-tool (UpdraftPlus Premium of all-inkl. via je host), zet Wordfence Free aan en plan een vaste 'WordPress-tijd' in je agenda. 1-2 uur per maand is dan werkbaar. Uitbesteden alleen voor specifieke klussen: een restore na incident, een migratie, of een grote major-upgrade die je niet zelf wilt riskeren.

Scenario 2: MKB met productieve site, niet-technisch

De site speelt een rol in je commercie (leads, contactformulieren, vindbaarheid) maar je hebt geen technische achtergrond. Hier is uitbesteden zinvol: je tijd is letterlijk geld waard in je eigenlijke vak, en de risico's worden onbeheersbaar zonder structuur. Een basis- of pro-pakket (€ 20 tot € 49 per maand) is bijna altijd genoeg. Belangrijk: kies een partij met heldere maandrapportage, een vast aanspreekpunt en een SLA zwart op wit. Geen mooie woorden over 'we zorgen ervoor'.

Scenario 3: e-commerce of business-critical site

WooCommerce-shop, leden-platform, boekingssysteem — alles waar downtime direct omzet kost. Hier is uitbesteden niet optioneel. Reken voor een gemiddelde MKB-webshop met € 300 tot € 600 omzet per piekuur dat één dag downtime al € 2.500 tot € 5.000 kost — een veelvoud van een heel jaar premium-onderhoud. Kies pro of e-commerce (vanaf € 79 per maand), met checkout-monitoring, plug-in-compatibiliteitsbewaking en prioriteit bij issues. Bij dit risicoprofiel is bezuinigen op onderhoud geen besparing maar gokken.

Wat gaat er mis bij DIY

Drie patronen uit onze eigen incident-tickets, geanonimiseerd. Niet om DIY zwart te maken — onze scenario-1-aanbeveling staat — maar om te laten zien wat structureel mis kan gaan zonder de juiste discipline.

Voorbeeld 1: de plugin-conflict-cascade

Klant (loodgietersbedrijf, regio Noord-Holland) deed zelf updates op vrijdagmiddag, zonder staging. Een update van een form-builder brak de compatibility met een SEO-plugin. White screen of death. Klant ging het weekend in op vakantie en ontdekte het pas maandagochtend — 60 uur volledig offline. Geschat verlies: 20 tot 25 leads gemist op de drukste week van het kwartaal. Onze rescue: 4 uur werk om naar de juiste versie te reverten en de update-volgorde aan te passen. Voorkombaar geweest met een staging-omgeving van € 5 per maand.

Voorbeeld 2: de vergeten backup

Webshop (regio Amsterdam) had backups bewust uit-geconfigureerd om disk-quota te besparen — een advies dat ze ooit van een goedkope hoster hadden gekregen. Een theme-update brak de checkout-pagina. Geen backup om naar terug te draaien. Hele checkout opnieuw bouwen en product-data migreren: 12 uur werk aan onze kant, plus 3 dagen zonder werkende shop tijdens de campagne-periode. Eindafrekening: € 1.200 in ons werk plus naar schatting € 4.000 misgelopen omzet. Voorkombaar geweest met dagelijkse off-site backups voor € 3-5 per maand.

Voorbeeld 3: onbeheerde plugin werd malware

Een dienstverlener gebruikte een review-plugin die sinds 2022 niet meer door de developer was geüpdatet — een abandoned plugin. Een bekend security-issue werd uitgebuit en de site werd geïnjecteerd met spam-redirects naar gok-sites. Google plaatste de site op de blacklist. Restore, malware-cleanup, plugin-vervanging plus Google-aanvraag voor delisting: 8 uur werk, en daarnaast twee weken voordat de organische rankings zich herstelden. Voorkombaar geweest met een halfjaarlijkse plugin-audit en een security-monitor die abandoned plugins flagt.

Hoe wij onderhoud opzetten

Voor de transparantie: zo ziet onze maandelijkse ritme eruit bij een klant op een onderhoudspakket. In de eerste week draaien we de updates op staging, testen we de kritieke flows (formulier-submit, checkout, login) en pushen pas dan naar productie. Tweede week is security-audit: log-analyse, failed-login-rapport, scan op file-changes. Derde week is performance: Lighthouse, Core Web Vitals, database-cleanup waar nodig. Vierde week schrijven we het maandrapport.

Onze tooling: WP-CLI en ManageWP voor batch-operations over meerdere klant-sites, een eigen monitoring-dashboard voor uptime en error-rates, en een ticketsysteem waar elke actie wordt vastgelegd. Het maandrapport ontvangt de klant in heldere taal — wat is er gedaan, wat hebben we gevonden, wat raden we aan voor de komende maand. Geen jargon voor de show. Bij critical incidents reageren we binnen 2 uur op werkdagen en binnen 4 uur in het weekend, vastgelegd in het pakket-overzicht, niet in de kleine letters.

Conclusie

Zelf doen of uitbesteden is geen ideologische vraag — het is een berekening van tijd, risicoprofiel en wat je site voor je business betekent. Voor de zelf-technische eenmanszaak met een visitekaartje-site is DIY prima, mits je discipline hebt. Voor de niet-technische MKB'er met een productieve site is uitbesteden bijna altijd goedkoper én rustiger. Voor business-critical en e-commerce is uitbesteden niet meer een optie maar een vanzelfsprekendheid.

Twijfel je in welk scenario jouw situatie valt? We doen een vrijblijvende site-audit waarin we letterlijk laten zien wat er op je site speelt — verlopen plugins, performance-issues, ontbrekende backups, security-gaten. Geen verkooppraat: als de uitkomst is dat je het prima zelf kunt blijven doen, zeggen we dat. Bekijk de actuele pakketten op onze onderhoud en support-pagina of neem direct contact op via het contactformulier.