Beheer 7 min leestijd

WordPress onderhoud checklist: dit moet je maandelijks doen

Voorkom hacks, downtime en zoekverkeer-verlies met deze maandelijkse WordPress onderhoud checklist. 10 stappen die elke site-eigenaar in 2026 moet volgen.

Illustratie van een WordPress onderhoud checklist met beveiligings- en update-iconen

Een WordPress-website is geen afbouwproject. Het is een levend systeem dat continu onderhoud nodig heeft. Toch behandelen veel site-eigenaren hun WordPress-installatie alsof het klaar is zodra de site live staat. De gevolgen: trage laadtijden, beveiligingslekken, gebroken links en dalend zoekverkeer. Deze WordPress onderhoud checklist geeft je een concrete, maandelijkse routine waarmee je je site veilig, snel en vindbaar houdt in 2026.

Elke stap hieronder legt uit wat je moet doen, waarom het ertoe doet en wat er gebeurt als je het overslaat. Verwaarlozing op een enkel punt is vervelend. Verwaarlozing op meerdere punten tegelijk is een recept voor een gehackte, onvindbare website. Wie dit liever uit handen geeft, kan terecht bij een managed hosting-omgeving voor WordPress waar alle updates, backups en beveiligingsmonitoring worden overgenomen.

1. Core-, thema- en plugin-updates uitvoeren

WordPress, je thema en je plugins ontvangen voortdurend updates. Dat zijn geen cosmetische aanpassingen: het overgrote deel zijn beveiligingspatches. Uit recente cijfers blijkt dat er wekelijks gemiddeld 333 nieuwe kwetsbaarheden worden ontdekt in het WordPress-ecosysteem. Tegelijkertijd geeft 52% van de ontwikkelaars aan dat ze nooit actief patchen.

Wat je moet doen

  • Maak eerst een backup (zie stap 2).
  • Update WordPress core naar de nieuwste versie.
  • Update alle plugins en thema's.
  • Verwijder plugins en thema's die je niet meer gebruikt.
  • Test de site na elke update op functionele fouten.

Waarom uitstel gevaarlijk is

Kwetsbaarheden worden publiek zodra een patch verschijnt. Hackers scannen automatisch op sites die de update nog niet hebben uitgevoerd. Hoe langer je wacht, hoe groter het aanvalsoppervlak. En dat risico stapelt: drie maanden niet updaten betekent drie maanden aan bekende exploits die op je site van toepassing zijn.

2. Backups controleren en herstelprocedure testen

De meeste site-eigenaren hebben een backup-plugin draaien. Maar een backup die je nooit hebt getest, is geen backup. Het is een aanname.

Wat je moet doen

  • Controleer of je automatische backups daadwerkelijk draaien en volledige bestanden en database bevatten.
  • Download minimaal een keer per maand een volledige backup naar een externe locatie (niet alleen je server).
  • Voer een testherstel uit in een staging-omgeving om te bevestigen dat de backup bruikbaar is.

Waarom dit ertoe doet

Een corrupte of onvolledige backup ontdek je pas op het slechtst denkbare moment: wanneer je site gehackt of gecrasht is. Regelmatig testen voorkomt dat je met lege handen staat wanneer het erop aankomt.

3. Beveiligingsscan: malware, gebruikers en bestandsintegriteit

Een maandelijkse beveiligingsscan is het equivalent van een gezondheidscheck. Je zoekt naar drie dingen: schadelijke code, ongeautoriseerde gebruikersaccounts en gewijzigde corebestanden.

Wat je moet doen

  • Voer een volledige malwarescan uit met een tool als Wordfence, Sucuri of Patchstack.
  • Controleer de lijst met beheerders- en editoraccounts op onbekende gebruikers.
  • Vergelijk WordPress-corebestanden met de oorspronkelijke versie om ongeautoriseerde wijzigingen te detecteren.
  • Controleer je .htaccess- en wp-config.php-bestanden op verdachte toevoegingen.

Het samengestelde risico

Malware die onopgemerkt blijft, nestelt zich dieper. Het verspreidt zich naar meer bestanden, injecteert spam-links in je content en kan je site op de blokkeerlijst van Google plaatsen. Hoe langer de infectie actief is, hoe ingrijpender het herstel.

4. Prestatiecheck: Core Web Vitals, database en caching

Google gebruikt Core Web Vitals (LCP, INP en CLS) als rankingfactoren. Maar prestaties verslechteren geleidelijk door groeiende databases, niet-geoptimaliseerde afbeeldingen en conflicterende plugins.

Wat je moet doen

  • Test je belangrijkste pagina's met Google PageSpeed Insights en noteer LCP, INP en CLS.
  • Optimaliseer je database: verwijder revisies, spam-comments, transients en verlopen opties.
  • Controleer of je caching-plugin correct werkt en de cache daadwerkelijk wordt geserveerd.
  • Controleer afbeeldingen op ontbrekende compressie of ontbrekende lazy loading.

Waarom geleidelijke vertraging gevaarlijk is

Een site die elke maand 0,2 seconde trager wordt, merk je niet op. Maar na zes maanden ben je een volle seconde kwijt. Dat is het verschil tussen een goede en een slechte Core Web Vitals-score, en dus tussen pagina 1 en pagina 2 in Google. Een performance audit legt precies bloot waar de vertraging zit en wat het kost om het op te lossen.

Gebroken links ontstaan vanzelf: externe sites wijzigen URL's, je verwijdert een pagina of een plugin verandert een slug. Elke gebroken link is een doodlopend pad voor zowel bezoekers als zoekmachines.

Wat je moet doen

  • Scan je site met een tool als Broken Link Checker, Screaming Frog of Ahrefs.
  • Repareer of verwijder interne gebroken links.
  • Stel 301-redirects in voor verwijderde pagina's die nog extern gelinkt worden.
  • Controleer je 404-logboek in Google Search Console op terugkerende patronen.

Het compound effect

Een handvol 404-fouten kost je niet direct rankings. Maar honderden gebroken links signaleren aan Google dat je site slecht onderhouden is. Bovendien lekt er link equity weg via dode links die naar een foutpagina leiden in plaats van naar relevante content.

6. Contentreview en toegankelijkheid onder de EAA

Sinds de European Accessibility Act (EAA) in juni 2025 van kracht is, zijn website-eigenaren in de EU wettelijk verplicht om digitale toegankelijkheid te waarborgen. Dit is geen optioneel extraatje meer: het is een juridische verplichting.

Wat je moet doen

  • Controleer nieuwe en bijgewerkte pagina's op alt-teksten bij afbeeldingen.
  • Zorg dat alle formulieren correct gelabeld zijn.
  • Test kleurcontrast en leesbaarheid.
  • Controleer of video's ondertiteling hebben.
  • Voer steekproefsgewijs een WAVE- of axe-scan uit op je belangrijkste pagina's.

Waarom maandelijks controleren nodig is

Elke nieuwe blogpost, elk nieuw product en elke pagina-aanpassing kan nieuwe toegankelijkheidsproblemen introduceren. Een maandelijkse steekproef houdt je compliant en voorkomt dat problemen zich opstapelen tot een onhandelbare technische schuld.

7. Gebruikersaccounts auditen

Ongebruikte accounts zijn slapende toegangspoorten. Vooral accounts met beheerdersrechten vormen een risico als ze gekoppeld zijn aan zwakke wachtwoorden of niet beveiligd zijn met tweefactorauthenticatie.

Wat je moet doen

  • Verwijder of degradeer accounts van voormalige medewerkers, stagiaires of tijdelijke ontwikkelaars.
  • Controleer of alle actieve beheerders 2FA hebben ingeschakeld.
  • Forceer een wachtwoordreset voor accounts die langer dan zes maanden hetzelfde wachtwoord gebruiken.
  • Beperk het aantal beheerdersaccounts tot het strikt noodzakelijke minimum.

De onderschatte dreiging

Een gehackt admin-account geeft een aanvaller volledige controle over je site. Het maakt niet uit hoe goed je plugins zijn bijgewerkt als iemand via een vergeten testaccount met het wachtwoord "welkom123" naar binnen loopt.

8. PHP-versie en hostingomgeving controleren

WordPress 7.0 brengt ondersteuning voor PHP 8.5, de nieuwste stabiele versie. Draaien op een verouderde PHP-versie betekent niet alleen dat je beveiligingsupdates mist, maar ook dat je site trager is dan nodig.

Wat je moet doen

  • Controleer welke PHP-versie je hostingomgeving draait.
  • Test je site in een staging-omgeving op de nieuwste ondersteunde PHP-versie.
  • Schakel over als alle plugins en thema's compatibel zijn.
  • Controleer tegelijkertijd of je webserver (Apache/Nginx) en MySQL/MariaDB-versie nog actueel zijn.

Waarom dit niet optioneel is

Elke PHP-versie heeft een einddatum voor beveiligingsondersteuning. Na die datum worden ontdekte kwetsbaarheden niet meer gepatcht. Bovendien levert elke nieuwe PHP-versie meetbare prestatieverbeteringen op: snellere uitvoering, lager geheugengebruik en betere responstijden.

9. SSL-certificaat en domeinverlenging controleren

Een verlopen SSL-certificaat toont bezoekers een angstaanjagende browserwaarschuwing. Een verlopen domein kan door iemand anders worden geregistreerd. Beide scenario's zijn volledig te voorkomen met een maandelijkse controle.

Wat je moet doen

  • Controleer de verloopdatum van je SSL-certificaat (zelfs bij auto-renewal).
  • Controleer de verloopdatum van je domeinnaam.
  • Zorg dat automatische verlenging is ingeschakeld voor beide.
  • Controleer of je contactgegevens bij je registrar actueel zijn (nodig voor verlengingsnotificaties).

Het risico van blind vertrouwen op automatisering

Auto-renewal faalt vaker dan je denkt: verlopen creditcards, gewijzigde e-mailadressen of technische storingen bij je registrar. Een maandelijkse controle van dertig seconden voorkomt dagen van downtime en reputatieschade.

10. Analytics controleren op ongebruikelijke verkeerspatronen

Je analytics-data vertelt meer dan alleen bezoekersaantallen. Ongebruikelijke pieken of dalen in verkeer kunnen wijzen op botaanvallen, negatieve SEO of een technisch probleem dat je nog niet had opgemerkt.

Wat je moet doen

  • Controleer in Google Analytics 4 of je organisch verkeer stabiel is of een verklaarbare trend volgt.
  • Zoek naar verdachte verkeerspieken vanuit onbekende bronnen of landen.
  • Controleer je serverlogs op brute-force-aanvallen of credential-stuffing-pogingen.
  • Controleer in Google Search Console of er handmatige acties of beveiligingswaarschuwingen zijn.

Waarom patronen ertoe doen

Een plotselinge piek in verkeer uit een onverwacht land is zelden goed nieuws. Het kan duiden op een DDoS-aanval, spam-botverkeer dat je analytics vervuilt of een gecompromitteerde pagina die verkeer omleidt. Hoe eerder je het signaleert, hoe kleiner de schade.

WordPress onderhoud is geen luxe, het is noodzaak

Deze tien stappen kosten je samen tussen de twee en vier uur per maand. Dat klinkt als veel, maar het is een fractie van de tijd en kosten die je kwijt bent aan het herstellen van een gehackte site, het terugwinnen van verloren rankings of het oplossen van een juridisch toegankelijkheidsprobleem.

De kracht van een WordPress onderhoud checklist zit in de regelmaat. Elk punt op zich is beheersbaar. Maar wanneer je meerdere punten maandenlang overslaat, ontstaat er een sneeuwbaleffect: verouderde software maakt je kwetsbaar, kwetsbaarheden leiden tot malware, malware vernietigt je rankings en een gebroken site kost je klanten.

Geen tijd of zin in maandelijks onderhoud? WPadmins neemt het volledig uit handen. Met Hosting + Smart Monitoring voor €45/mnd wordt elke actie op je site gelogd en krijg je proactieve alerts bij problemen, zodat jij je kunt focussen op je business.