Bijna elke WordPress website die niet wordt geüpdatet, wordt vroeg of laat gehackt. Hackers maken scripts die het internet afzoeken naar kwetsbaarheden in WordPress, plugins of themes. Zodra een kwetsbaarheid van een plugin bekend wordt, kunnen hackers gericht en automatisch op WordPress websites nagaan of de betreffende plugin aanwezig is. We kunnen daarom van harte aanbevelen om je website regelmatig te updaten. Dit WordPress onderhoud kan je aan Sowmedia uitbesteden, maar je kan het ook zelf doen. In dit artikel geven we tips voor zowel onervaren beheerders als professionals om je WordPress website up-to-date te houden.

Een aantal links in dit bericht zijn voorzien van een affiliate-code.

Inhoud

Tips voor onervaren beheerders


Overwin je angst

Veel beheerders van WordPress websites durven niet te updaten. Ze zijn bang voor de mogelijke gevolgen, bijv. een plugin die niet meer werkt, of layout-wijzigingen in het theme. Maar we kunnen niet anders dan je adviseren om over je angst heen te stappen en toch te updaten. De gevolgen van een mogelijke hack zijn namelijk veel groter dan de gevolgen van het updaten.

Houd je website simpel

Een belangrijke tip is om je website eenvoudig te houden. Een eenvoudige website is eenvoudig te updaten. Complexe websites zijn ook complex in het updaten.

  • Beperk het aantal plugins; elke plugin die je extra installeert, zorgt voor extra risico’s. Wij hanteren voor onszelf zelf geen beperking in het aantal plugin dat we gebruiken wanneer we websites ontwikkelen. Maar we weten waar de risico’s zitten én we zijn zelf verantwoordelijk voor het updaten. Als je niet ervaren bent, kan je maar beter een beperkt aantal plugins gebruiken.
  • Vermijd complexe plugins zoals meertaligheid (o.a. WPML), e-commerce (o.a. WooCommerce) en layout editors (o.a. Visual Composer).
  • Vermijd multi-purpose themes. Wij gebruiken zelf veel Enfold. Dit multi-purpose theme zit technisch solide in elkaar. Desondanks moeten we bij Enfold wel altijd goed opletten bij updates. Over veel andere multi-purpose themes zijn we stukken minder tevreden. Bijvoorbeeld Jupiter. Mooi theme, maar een drama om te updaten.
  • Bekijk bij de aankoop van plugins en themes of deze automatisch updatebaar zijn, zodat je voorkomt dat je elke keer updates moet uitvoeren op FTP niveau.
  • Wil je wijzigingen maken in de code van je theme? Gebruik dan een child theme, waardoor je het hoofdtheme zelf kan blijven updaten. Lees hier hoe je een child theme kan maken.

Verwijder ongebruikte plugins en themes

Tijdens de ontwikkeling van de website worden vaak plugins en themes getest. Een aantal worden uiteindelijk niet meer gebruikt, maar maken je website wel kwetsbaar om gehackt te worden. Verwijder deze plugins en themes zodat je ze niet hoeft te updaten.

Update periodiek

Het mooiste is wanneer je bij de release van nieuwe direct updatet. Maar dat is wellicht niet haalbaar. Daarbij ben je ook vaak aan het updaten. Kleine websites kun je ook periodiek updaten. Bijvoorbeeld een keer of twee keer per maand. Zet bijvoorbeeld standaard elke eerste maandag van de maand in je agenda om te updaten.

Backup voor het updaten

Maak altijd een backup voordat je gaat updaten. Wanneer het updaten toch problemen geeft, kan je altijd terug naar de situatie van vóór de update. Veel hostingbedrijven maken automatisch backups. Of je hebt een beheerpanel (cPanel, DirectAdmin) waarmee je zelf je backup kan uitvoeren. Je kan ook via de WordPress admin backups maken met een plugin. Wij gebruiken zelf graag UpdraftPlus, een premium plugin met een prima basisversie. Alternatieven zijn BackWPup, BackupBuddy of VaultPress.

Update eerst WordPress en daarna plugins/theme

Update altijd eerst de core van WordPress en daarna je plugins en theme.

Updates in je e-mailbox

Als je in de WordPress backend bent ingelogd, zie je in het linkermenu notificaties staan op het moment dat er updates beschikbaar zijn. Veel mensen vergeten te updaten doordat ze in drukke tijden hun website niet bijwerken. Je kan jezelf herinneren. Bijvoorbeeld met de plugin WP Updates Notifier, die je e-mailt wanneer als er nieuwe versies van WordPress, plugins of themes beschikbaar zijn.

WordPress.com?

Is het updaten echt niets voor jou? Besteed het onderhoud dan uit. Of neem dan een website bij WordPress.com in plaats van een WordPress installatie op je eigen server. WordPress.com is een Software-as-a-Service (SaaS). Jouw website staat dan op de servers van Automattic (het bedrijf achter WordPress). Zij zorgen ervoor dat je website up-to-date blijft. Je hebt bij WordPress.com minder vrijheden in vergelijking met een eigen gehoste WordPress versie van WordPress.org. Echter, je hoeft je ook geen zorgen meer te maken over de veiligheid en snelheid. En het is relatief goedkoop.

Tips voor professionals


Inventariseer risico plugins

Er zijn plugins die weinig kwaad kunnen om te updaten. Denk bijvoorbeeld aan een plugin die een kleine functie toevoegt aan de mediabibliotheek. Welk type plugins geven over het algemeen geen updateproblemen?

  • Statistieken-/Google Analytics plugins;
  • Zoekmachineoptimalisatie/SEO plugins;
  • Backup plugins;
  • Database optimalisatie plugins (let op, het gaat hier over het updaten van de plugin, niet over de optimalisatie);
  • Mediabibliotheek plugins;
  • Veiligheidsplugins;
  • Admin plugins, die extra functies aan de WordPress backend toevoegen;
  • RSS-feed plugins;
  • Ontwikkelplugins.

Andere type plugins leveren meer risico’s op.

  • E-commerce plugins zoals WooCommerce en add-ons;
  • Meertaligheidsplugins zoals WPML;
  • Layout editor/Page builder plugins zoals Visual Composer;
  • Shortcode plugins;
  • Sliderplugins;
  • Afbeelding presentatie plugins;
  • Formulieren plugins;
  • Evenementen kalender plugins;
  • Pop-up en lead generatie plugins.

Changelog

Bekijk de changelog van plugins om te inventariseren of er risico’s te verwachten zijn.

Update premium plugins en themes

De meeste WordPress plugins kan je automatisch updaten vanuit de WordPress plugin repository. Bij gekochte plugins en themes werkt dit helaas meestal niet zo. Je krijgt niet altijd een melding dat er een update beschikbaar is. En je kan de plugins of theme alleen updaten door de bestanden op FTP niveau te overschrijven. Het updaten van premium plugins is dus ingewikkelder. Wij hebben hier – helaas – ook geen standaard oplossing voor.

Gebruik beheertools

Beheer je meerdere websites? Gebruik dan een beheertool als ManageWP, MainWP, WP Remote of InfiniteWP. Wij gebruiken de laatste. Een beheer-tool geeft je overzicht wat er op welke website een update nodig heeft. Vanuit de beheer-tool kan je direct updates uitvoeren.

Testen

Vergeet niet om te testen nadat je de website hebt ge-update.  Het belangrijkste is dat je het functioneren aan de front-end test. Eventuele problemen in de back-end kom je vanzelf achter in het beheer van je website. Hoe kan je het beste testen?

  • Bekijk de homepage en enkele andere pagina’s;
  • Vul een formulier in en/of voer andere call-to-actions uit;
  • Controleer het functioneren van meertaligheid;
  • Controleer extra op bewegende elementen zoals sliders, pop-ups, cookie bar;
  • Voer de zoekfunctie uit;
  • Test eventuele API koppelingen. Bijvoorbeeld met MailChimp of CreateSend.

Gebruik een staging

Wil je echt veilig updaten? Maak dan gebruik van een staging omgeving. Je voert de updates uit op de staging en na het testen overschrijf je de live omgeving met de staging. Het kost meer tijd, maar voorkomt dat bezoekers tegen eventuele problemen van het updaten aanlopen. Hoe maak je gebruik van een stagingomgeving?

  • Hostingbedrijven. Wij maken zelf meestal gebruik van staging omgevingen die via hostingbedrijven worden aangeboden. WP Engine, een van onze hostingpartners, heeft een uitstekende faciliteit hiervoor.
  • Plugins. Werk met een staging via de gratis plugin WP Staging of de betaalde plugins WP Stagecoach en RAMP.
  • Software. Ontwikkel en push wijzigingen via DesktopServer, een programma op je eigen computer.

Handige plugins


Er zijn plugins beschikbaar die je kunnen helpen met het updaten van je WordPress website.

  • WP Update Settings; met deze plugin kan je via de back-end van WordPress instellingen aanpassen met betrekking tot het update proces.
  • Automatic Plugin Updates; plugin voor automatisch updaten.
  • Plugin Vulernabilities: plugin geeft aan of er kwetsbaarheden gevonden zijn in de plugins die op de website aanwezig zijn.
  • Plugin Security Scanner: plugin e-mailt website administrator als er kwetsbaarheden gevonden zijn in aanwezige plugins.
  • WP-UserOnline: plugin laat zien hoeveel gebruikers op je website actief zijn. Wacht met updaten totdat er nauwelijks tot geen bezoekers bezoekers je website bezoeken.

Wat doe je als het fout gaat?


  • Tijdens het updaten schakelt WordPress over naar de maintenance mode. De website is niet toegankelijk terwijl de updates uitgevoerd worden. Meestal maximaal een minuut. Blijft de website tijdens het updaten in de maintenance mode hangen? Geen probleem. Wacht 10 minuten, de maintenance mode heft zichzelf automatisch op. Of ga via FTP naar de server en verwijder het .maintenance bestand in de root.
  • Activeer je backup en update vervolgens theme en plugins een voor een zodat je door krijgt welke update het probleem veroorzaakt.
  • Google naar het probleem en kijk of de oplossing bekend is.
  • Benader de theme- of pluginbouwer en vraag om een oplossing voor het probleem.
  • Besteed het onderhoud uit aan Sowmedia: WordPress onderhoud en hosting.
  • Peter Berger schreef:

    Goede tips, thanks!

    Nog een andere tip om veilig te testen of je website na de updates nog goed werkt:
    Installeer een duplicaat van je website op een testomgeving (of afgeschermde subdomein) en update daar eerst. Als alles na de updates nog goed werkt, kun je met een gerust hart de updates ook in de productieomgeving doen. Een handige plugin om een duplicaat te maken is Duplicator.

  • Beste Peter, goede aanvulling, bedankt! Ligt in lijn met ons advies van het gebruik van een staging, dus helemaal mee eens!