WordPress Onderhoud, laat staan een onderhoudsstrategie, heeft helaas vaak geen hoge prioriteit. Wanneer je denkt dat het niet updaten van WordPress geen kwaad kan dan is het eerste advies om een goede kop koffie of thee te regelen en tien minuten uit te trekken om dit uitgebreide blog te lezen. Mocht je hier anders over denken en je huidige WordPress onderhoudsstrategie verder willen aanscherpen geldt hetzelfde advies.
WordPress Onderhoud; je weet dat het moet maar kan het echt kwaad om hier weinig of zelfs helemaal geen aandacht aan te besteden? Wat zijn de consequenties van het niet uitvoeren van updates en welke voordelen, anders dan een veilige WordPress website, levert een goede onderhoudsstrategie eigenlijk op? In dit uitgebreide blog zullen we alle aspecten die betrekking hebben op het onderhouden van een website bespreken en heb je aan het eind een goed beeld hoe de basis van een goed georganiseerd onderhoudsplan voor je WordPress website eruit kan zien.
Redenen om geen WordPress Onderhoud uit te voeren
Dit is slechts een greep van de redenen die we horen als we vragen waarom er geen aandacht is geweest voor website onderhoud. Meestal een vraag die we stellen als het spreekwoordelijke leed al is geschied en onze WordPress de-hack service wordt ingeschakeld. Bij gebruik van WordPress, of welk CMS dan ook, kan een dergelijke aanpak desastreuze gevolgen hebben.
Toch is hier iets voor te zeggen want; hoe zorg je ervoor dat je website niet breekt bij het doen van updates? En is halfjaarlijks onderhoud niet voldoende? If it ain't broke, don't fix it? Het antwoord hierop is simpel: het opstellen én toepassen van een website onderhoudsstrategie óf professionele hulp inschakelen die dit uit handen neemt.
Wat is WordPress Onderhoud
De term "WordPress Onderhoud" heeft in onze optiek uitleg en verdieping nodig. Het omvat niet zozeer de actie van het uitvoeren van bijvoorbeeld updates (want dat kan iedereen, toch?), het is een strategie waarin specifieke acties en controlepunten zijn opgenomen en tijdsgebonden worden uitgevoerd of gecontroleerd. Wij noemen het dus liever een "onderhoudsstrategie" en bestrijkt verschillende fundamenten die samen ervoor zorgen dat je website veilig, snel en weerbaar is.
Het uitvoeren van Wordpress, plugin én thema updates is hier een belangrijk onderdeel van en reikt verder dan die ene maandelijkse (of halfjaarlijkse) update sessie die jij of je webbouwer in de agenda hebben staan (en stiekem soms vergeet of overslaat).
WordPress is, net als elk ander CMS, een digitaal organisme; het systeem groeit, verandert en past zich continu aan. Een deel van deze verandering en evolutie wordt gedreven door de missie en visie van het CMS zelf. Denk aan functionaliteiten, code verbeteringen ten behoeve van snelheid of het toepassen van nieuwe technieken.
Aan de andere kant bepalen marktomstandigheden waaraan een CMS als WordPress zich dient aan te passen. Zo kan een "hotfix" uitgebracht worden om een bepaald lek te dichten of zijn er aanpassingen nodig om een nieuwe PHP versie te kunnen ondersteunen.
Anders dan bij een organisme is de versie van WordPress waarop je website draait niet in staat om zichzelf te ontwikkelen, te laten groeien of reproduceren. En nee, ook de auto-update functie valt hier niet onder. Door middel van periodieke updates worden wijzigingen en verbeteringen in jouw WordPress website doorgevoerd. Deze updates zijn dus van cruciaal belang voor de ontwikkeling en veiligheid van je website en vergen aandacht en een plan.
Veel ondernemers zien echter niet of deels de essentie van een gedegen onderhoudsstrategie en ervaren vaak tijd of het ontbreken van kennis als grootste obstakel. Wat echt kostbaar en tijdrovend blijkt, is wanneer het mis gaat en dan staan die paar uur of tientjes (als je het uitbesteed) per maand in schril contrast met de besparingen die je dacht te hebben of de tijd die je juist niet dacht te hebben.
We hoeven geen horrorverhalen op te tekenen, maar het is van belang zowel de voor- als nadelen van het wel of niet hebben van een onderhoudsstrategie te begrijpen. Grote kans dat je dit nog zal verrassen.
De voordelen van WordPress Onderhoud
Laten we aannemen dat je onderhoudsstrategie als een Zwitsers uurwerk in elkaar zit. Nieuwe WordPress updates heb je binnen 48 uur getest en uitgerold, kleine updates laat je via de auto-updater uitvoeren, je maakt wekelijks een deepscan en krijgt automatisch melding wanneer er vreemde activiteit op je website plaatsvindt.
Last but not least; je beschikt over een aantal recente back-ups die je snel terug kunt plaatsen zonder daarbij veel (cruciale) data te verliezen. Kortom, met een aandacht voor je WordPress onderhoud heb je een hoop nachtrust gecreëerd of je hebt het onderhoud bij ons ondergebracht. De voordelen hiervan zijn:
- Je WordPress website is altijd snel up-to-date waarmee je een veilige online omgeving voor je bedrijf en bezoekers aanbiedt;
- Er is controle op de activiteit op je website (verkeerde login pogingen, 404 shields) en je hebt de tools om in te grijpen mocht er iets misgaan;
- Je WordPress website is weerbaar tegen aanvallen of hackers. Door gebruik te maken van de laatste software updates worden potentiële lekken in voorgaande CMS versies gedicht;
- Google is je beste vriend want ook veiligheid is een ranking factor;
- Je website is altijd voorzien van de nieuwste functionaliteiten en voldoet zo goed mogelijk aan alle technische eisen. Van een nieuwe PHP versie wordt je niet zenuwachtig;
- Je laat het succes en reputatie van je bedrijf niet afhangen van geluk. Een hack kost niet alleen geld, het kost ook klanten, inkomsten en je goede naam.
De nadelen van geen website onderhoud
Wat gebeurt er, of kan er gebeuren, als het onderhoud van je website geen hele hoge prioriteit heeft? Nee dit is geen poging om je slapeloze nachten te bezorgen, maar het is belangrijk om je bewust te zijn van de gevaren en risico's die het niet, of beperkt, onderhouden van je WordPress website met zich meebrengt.
Hacks & Malware
Je WordPress website loopt een verhoogd risico op hacks en malware. 95% van alle klanten die gebruikmaken van onze de-hack service lopen achter met updates. Recente cijfers van WordFence bewijzen dat ruim 70% van alle WordPress installaties kwetsbaar zijn. Gezien de gebruikscijfers van WordPress gaat het hier dus om enorme aantallen.
Dataverlies
Je stelt je bezoekers (onbewust) bloot aan mogelijke problemen of kan de veiligheid van hun data (klant- en bestelgegevens) niet optimaal waarborgen. Met name webshops slaan veelal persoonlijke, en in sommige gevallen, betalingsinformatie op die voor hackers bijzonder waardevol kunnen zijn en doorgaans op het darkweb verhandeld worden. De "walk-of-shame" richting Authoriteit Persoongegevens loopt niet heel prettig.
Verlies aan inkomsten
Een onbereikbare of kapotte website levert geen geld op. Helemaal vervelend als je net een uitgebreide campagne gestart bent die uiteindelijk geen conversies oplevert. Verwacht ook niet dat klanten gelijk weer in de rij staan als je problemen met je website zijn opgelost wat ons brengt naar het volgende punt.
Deuk in vertrouwen bedrijf of service
Doorgaans het resultaat nadat het mis is gegaan. Een bezoeker die uitkomt op een onbereikbare website of geredirect wordt naar een website waar hij de zoveelste loterij heeft gewonnen schept geen vertrouwen en kan een langdurige vertrouwensbreuk tussen klant en leverancier betekenen. Dit is veelal de minst zichtbare schade die een hack tot gevolg heeft, maar vaak wel het meest kostbare.
WordPress Onderhoud: waar begin je
Waarom WordPress Onderhoud noodzakelijk is kunnen we verder met het opstellen van een onderhoudsstrategie. Dit is een plan waarin minimaal de vier belangrijkste fundamenten zijn opgenomen waarmee de veiligheid van je WordPress in de basis kan waarborgen. Heb je dit plan in de praktijk draaiend dan je hieromheen verder bouwen met bijvoorbeeld een ontwikkelomgeving, GIT strategie etc. We beginnen bij het begin.
WordPress Updates
Een veilige website begint met het (tijdig) uitvoeren van updates. Dit geldt voor zowel de core van WordPress, het CMS zelf, als plugins en thema’s. Met name plugins en thema’s worden nogal eens vergeten en laten juist deze onderdelen van je website verantwoordelijk zijn voor meer dan 60% van alle gehackte websites!
Alles over de verschillende WordPress Updates lees je in ons blog “WordPress Updates: alles wat je moet weten”
Belangrijk aspect bij het uitvoeren van updates is de tijd waarbinnen nieuwe updates worden geïnstalleerd. Het advies is om hiervoor een vast wekelijks moment in te regelen. Je leest het goed: wekelijks. De reden hiervoor is vrij simpel; op het moment dat er een nieuwe update voor WordPress, een plugin of thema uitkomt, is het relatief makkelijk te achterhalen welke zwakheden de vorige versie(s) bevatten. Het misbruiken van een dergelijke zwakheid of lek is dan een realistisch scenario en dat kan in sommige gevallen heel snel gaan. In ons artikel "het gevaar van het niet updaten van je CMS" leggen we uit hoe snel dit kan gaan, in dit geval met een Joomla website.
Met de enorme gebruikscijfers van WordPress en daarnaast de grote hoeveelheid beschikbare plugins en thema’s is dit CMS een geliefd doelwit van menig hacker, en niet geheel onterecht gezien het aanzienlijke percentage WordPress websites dat kwetsbaarheden vertoont. Plugins vormen hierbij de grootste bron aan lekken en problemen met een aandeel van ruim 60% in WordPress hacks. Met een maandelijkse update ronde loopt je website dus al een serieus risico.
WordPress Beveiliging
Updates zijn te vergelijken met een slot op de voordeur. In de basis houdt het boefjes buiten de deur, maar voorkomt het niet dat er geprobeerd wordt het badkamerraam te ontwrichten. Een beveiligingssysteem of firewall, zorgt voor deze beveiliging. Het is de slotgracht om je website en de wachters in de toren die actie kunnen ondernemen indien nodig. Genoeg met de metaforen ;).
Zonder dat je het merkt, wordt je website meerdere keren per dag op de proef gesteld. Een goed ingerichte firewall houdt voortdurend “zicht” op de activiteiten die op je WordPress website plaatsvinden en grijpt in wanneer dit nodig is. Voorbeelden van acties of aanvallen waartegen een firewall bescherming biedt zijn:
- Brute force aanvallen - Eén van de meeste gebruikte methodes om door middel van het "raden" van je login gegevens toegang tot je WordPress website te krijgen;
- 404 shields - Waarbij "gebruikers" bijvoorbeeld op zoek zijn naar de login pagina van je CMS, maar stuiten op een 404 pagina;
- Bestandstoegang - De toegang tot specifieke bestanden of mappen wordt beperkt of geblokkeerd zodat waardevolle informatie over het systeem niet prijsgegeven wordt.
Een firewall houdt daarnaast door middel van een logboek bij wat er zich op de website heeft afgespeeld en welke actie hierop is ondernomen. Op basis hiervan is het mogelijk om je firewall verder aan te scherpen of te versoepelen. Maak er een gewoonte van om ook hier wekelijks even een blik op te werpen.
WordPress Monitoring
Het monitoren van een website omvat verschillende disciplines en komt in de basis neer op het controleren op beschikbaarheid, veiligheid en prestaties. In veel gevallen zijn deze processen te automatiseren waarbij je er ook voor kunt kiezen om een melding te krijgen zodra een parameter een grenswaarde passeert.
Beschikbaarheid Monitoring
Met beschikbaarheid bedoelen we de uptime van je website of de beschikbaarheid van je website voor bezoekers. Door gebruik te maken van een “uptime monitoring” tool wordt je op de hoogte gesteld zodra er zich problemen voordoen en wordt er een log bijgehouden van de website beschikbaarheid gedurende een bepaalde periode. Indien je website niet bereikbaar is, bijvoorbeeld door problemen op de hostingomgeving, zorgt deze tool ervoor dat je een melding ontvangt en dat hierop actie ondernomen kan worden.
Een belangrijk tool die niet mag ontbreken in je onderhoudsstrategie want er is niets vervelender dan erachter komen dat de achterblijvende verkoopcijfers te verklaren zijn met een website die al twee dagen niet te bereiken is. Ok, als je daarvoor een uptime monitor nodig hebt dan zijn er andere uitdagingen, maar je snapt het punt.
Audits & deepscans
Ook de veiligheid van je WordPress website is te monitoren. Allereerst is het van belang te begrijpen wat er zich op je website afspeelt. Een goede firewall neemt hierbij het meeste werk al uit handen en zorgt op de achtergrond voor de afhandeling van zogenaamde “exceptions”, of uitzonderingen. Een firewall is over het algemeen "reactief" en onderneemt dus actie op het moment dat dit nodig is of er een potentieel probleem ontstaat. Met monitoring bedoelen we de proactieve kant van het beschermen van je website.
Een audit scant, bijvoorbeeld wekelijks, op hoofdlijnen je website en kijkt hierbij naar openstaande updates, PHP versie, SSL en andere globale parameters. Je hebt continu een beeld hoe je website ervoor staat en of er aandachtspunten zijn die actie vergen.
Met een deepscan wordt je website volledig en tot op de code nauwkeurig nagelopen. Een deepscan controleert onder andere op wijzigingen die zijn aangebracht in de code en de overeenkomsten of verschillen tussen de code op je website en die van het CMS zelf. Loopt je website risico of is het al zover dat deze gehackt is of malware bevat dan zal een deepscan dit veelal aan het licht kunnen brengen. Je kan in dat geval snel actie ondernemen en de schade beperken. Volg je je onderhoudsstrategie dan is een 2-wekelijkse deepscan een prima uitgangspunt.
Prestatiemonitoring
Je website dient niet alleen bereikbaar te zijn, maar ook optimaal te presteren. Een gebrek aan snelheid stelt het geduld van bezoekers op de proef en heeft invloed op de prestaties van je website in zoekmachines. Reden dus om dit periodiek te controleren. Tools als Google Lighthouse en GTMetrix zijn makkelijk en veelal gratis te gebruiken en geven inzicht in hoe je website presteert.
Met name een wekelijkse controle van je website prestaties op het gebied van Google “Core Web Vitals” geeft niet alleen inzichten, maar ook praktische informatie waarmee je WordPress website verder verbetert kan worden. Alles wat je moet weten over Core Web Vitals lees je hier.
Vergis je niet, het optimaliseren van je website op basis van deze parameters kan soms een hele opgaaf zijn. Zeker wanneer je website of webshop veel bewegende onderdelen zoals plugins heeft. Handvatten voor het optimaliseren van je website vindt je in ons blog: Een snelle website: hoe doe je dat?
WordPress Back-Ups
Last but not least: het maken en beheren van website back-ups. Een recente en bruikbare back-up van je website kan goud waard zijn. Met “recent” bedoelen we een versie van je website en alle daarin beschikbare informatie en data waarmee je in geval van nood niet gelijk naar het stenen tijdperk terugverwezen wordt. Dat klinkt wellicht wat overdreven, maar voor een webshop kan zelfs het missen van een halve dag aan orders een administratieve nachtmerrie betekenen. Een goed back-up plan biedt hierin uitkomst en komen we later op terug.
Met “bruikbaar” bedoelen we een back-up die je zelf snel in kunt zetten. Ga er dus niet zomaar vanuit dat je hosting provider hiervoor zorgdraagt. In veel gevallen zal er een dagelijkse back-up beschikbaar zijn maar ben je afhankelijk van een derde partij om deze voor je terug te zetten. Daarnaast kan dit ook aanzienlijke kosten met zich meebrengen die door je hostingpartij hiervoor in rekening worden gebracht.
Door een back-up plan in te richten kan je op elke gewenst moment van de dag, week of maand (automatisch) back-ups genereren. Akeeba Backup is hiervoor een uitstekende tool en biedt de gehele toolkit om dit mogelijk te maken. Zorg er daarnaast ook voor dat niet alle back-ups in de website zelf worden opgeslagen. Alles wat je moet weten over het inrichten van een complete backup strategie lees je hier!
Het opstellen van een WordPress onderhoudsstrategie
Met de vier fundamenten helder is de volgende stap het daadwerkelijk bepalen van je WordPress onderhoudsstrategie. Hoe vaak zijn updates nodig en hoe regel je beveiliging, monitoring en back-ups voor je website in?
1. WordPress update planning
Updates zijn je eerstelijns verdediging, de frontlinie en verdienen, nee, vereisen aandacht. Hiermee bedoelen we het gehele scala aan core, plugin en thema updates. Voor elke website adviseren we om hier minimaal één keer per week naar te kijken. Neem hiervoor een moment in de eerste helft van de week. Mochten er zich onverhoopt problemen voordoen die zich niet direct laten zien dan is het weekend nog ver weg en is er tijd om voor een oplossing te zorgen.
2. Inrichten van WordPress beveiliging
Hiervoor zijn een aantal hele handige plugins beschikbaar waaronder Wordfence en Akeeba Admin Tools. Beide zijn ontwikkeld om te fungeren als firewall voor je website en bieden daarnaast verschillende features waarmee de veiligheid van je WordPress website aangescherpt kan worden.
Het is van belang om bepaalde “triggers” of meldingen in te stellen waarmee je op de hoogte gehouden wordt wat er zich op je website afspeelt. Door dit goed in te richten kan je gericht actie ondernemen wanneer dit nodig is, maar laat je de software het werk voor je doen.
3. Inrichten van WordPress monitoring
Om te beginnen stel je een “up-time” monitor in. Is je website offline of duurt het een eeuwigheid voordat deze reageert dan krijg je hier gelijk een melding van. Met UptimeRobot heb je een hele degelijke tool in handen en kan je gratis van start.
Zowel een audit als een deepscan is handig om zowel vóór als na het doen van updates uit te voeren. Komen er aandachtspunten hieruit naar voren dan kan dit gelijk aangepakt en getest worden. Komen er verdachte wijzigingen of bestanden uit je deepscan naar voren dan is het verstandig om de gelijk te controleren of bij een specialist neer te leggen. De meeste WordPress hacks en malware zijn al in een vroegtijdig stadium te signaleren en helpt echte problemen te voorkomen.
Om grip te hebben op de prestaties van je WordPress website zijn tools als GTmetrix en Google Lighthouse heel handig. Door het periodiek scannen te automatiseren en te zorgen dat je hiervan een overzichtelijk rapport ontvangt kan je je website continu blijven optimaliseren. Met een kleine investering heb je als beginner en professional met GTmetrix alles wat je nodig hebt.
4. Maken van WordPress back-ups
Voor het maken van website back-ups zijn heel veel mogelijkheden. Het maken van een back-up is niet zo heel spannend, maar het uiteindelijke doel is om een recente en bruikbare back-up te hebben op het moment dat het nodig is. Met de meeste WordPress back-up plugins is het mogelijk om dit automatisch te laten verlopen.
Heb je elke woensdagochtend een update sessie ingeregeld dan zorg je er natuurlijk voor dat er vroeg op de dag alvast een back-up gemaakt wordt. Controleer altijd even of de back-up gelukt en beschikbaar is voordat je los gaat met het uitvoeren van updates. Daaromheen kan je de rest van je back-up schema bouwen. Hoe vaak een back-up gemaakt moet worden en waarvan hangt af van je website zelf, het aantal wijzigingen of toevoegingen die plaatsvinden en met welke frequentie. Voor een webshop kan het nodig zijn om dagelijks een complete back-up te maken en elk uur alleen van de database, denk bijvoorbeeld aan webshops die te maken hebben met klant accounts, bestellingen en administratieve gegevens.
De locatie waar back-ups worden opgeslagen is een belangrijk punt van overweging. Op de hostingomgeving zelf kan handig zijn zodra een back-up snel teruggezet moet worden. Het overgrote deel van de gemaakte back-ups zal echter nooit in actie hoeven komen en kan dus een grote hoeveelheid aan onnodige schijfruimte in gebruik nemen. Het maken van WordPress back-ups die op een externe locatie worden opgeslagen is dus te adviseren.
Meer kennis over het maken van backups lees je in het blog: WordPress backup, zo doe je dat.