Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
Leer hoe je WordPress plugins bijwerkt zonder downtime of breuk. Volgorde, staging via DirectAdmin, hybride auto-updatebeleid en rollback uitgelegd.
Samenvatting: WordPress updates zonder downtime
Update plugins altijd in de juiste volgorde: eerst een volledige backup, dan plugins één voor één, daarna het actieve thema, en als laatste WordPress core. Gebruik een hybride beleid: minor beveiligingsupdates automatisch, WooCommerce en pagebuilders handmatig na een test op staging. Vanaf WordPress 6.6 voert het systeem bij mislukte automatische updates zelf een rollback uit.
Eén klik op "Alles bijwerken" lijkt de makkelijkste aanpak. Voor een gemiddelde WordPress
KeurigOnline zegtWordPress
Tegelijk is wachten geen veilige optie. Aanvallers exploiteren bekende kwetsbaarheden gemiddeld binnen vijf uur na publieke bekendmaking[2]. De enige werkbare aanpak ligt in het midden: een strategie die veilig en snel is, met minimale kans op downtime.
De update-volgorde, het hybride auto-updatebeleid, de rollback-functie van WordPress 6.6 en de staging-handleiding voor KeurigOnline hosting staan hieronder stap voor stap uitgewerkt. Regelmatig updaten houdt je site veilig en snel: lees ook ons artikel over WordPress sneller maken in 2026 voor een compleet beeld van WordPress-onderhoud.

Plugins zijn het zwakste punt van elke WordPress-site. Maar liefst 91% van alle WordPress-kwetsbaarheden zit in plugins, niet in WordPress core (in 2025 waren er slechts zes core-kwetsbaarheden)[2]. In 2025 werden in totaal 11.334 nieuwe kwetsbaarheden ontdekt, een stijging van 42% ten opzichte van het jaar ervoor[3].
Wachten met updaten lijkt veilig, maar het tegendeel is waar. De mediane tijd tot massale uitbuiting na publieke bekendmaking van een kwetsbaarheid is vijf uur[2]. Nog zorgwekkender: 46% van alle kwetsbaarheden had op het moment van bekendmaking geen patch beschikbaar[2]. Updates zijn noodzakelijk, maar alléén updaten is geen afdoende verdediging.
Tegelijk brengt te snel updaten zijn eigen risico's. Bij de release van WordPress 6.9 was naar schatting 40% van de kleinere legacy plugins tijdelijk gebroken[1]. Op een gemiddelde zakelijke site met 22 actieve plugins vergroot blind "alles bijwerken" de kans op een conflict exponentieel. Plugins werken samen via WordPress-hooks en -filters: een update in één plugin kan de werking van een andere onverwacht breken. Hoe het precies mis kan gaan met een grote versiesprong lees je in ons overzicht van wat er nieuw is in WordPress 6.9.
Let op: twee risico's tegelijk
Sites die elke één tot twee weken updaten, lopen zelden grote problemen aan. Sites die drie tot twaalf maanden wachten, kampen het zwaarst wanneer ze eindelijk bijwerken[4]. Het gaat er niet om of je snel of langzaam werkt, maar of je een herhaalbaar systeem hebt.
De volgorde van updaten maakt een groot verschil. De aanbevolen volgorde is: eerst een volledige backup
KeurigOnline zegtBackup
Plugins veroorzaken de meeste conflicten, maar zijn ook het makkelijkst terug te draaien. Je kunt een plugin deactiveren of naar een oudere versie terugzetten zonder de rest van de site te raken. Bij een WordPress core-update werkt dat anders: als de core en een plugin niet met elkaar kloppen, heb je een ingrijpender probleem te herstellen. Door plugins eerst bij te werken, vóórdat je de core aanraakt, verklein je die kans aanzienlijk.
De aanbevolen update-volgorde in vier stappen
Bij een major WordPress-release, zoals de sprong van 6.5 naar 6.6, is het verstandig om één tot twee weken te wachten tot de eerste point release verschijnt (zoals 6.6.1). Pluginontwikkelaars hebben die tijd nodig om hun code compatibel te maken. Zoals beschreven in ons overzicht van WordPress 6.9, was bij die release naar schatting 40% van de legacy plugins tijdelijk gebroken[1]. Die extra weken rustig afwachten is geen luiheid, maar strategie.
Beveiligingsupdates vormen de uitzondering. Die wachten niet: patch zo snel mogelijk, bij voorkeur nog dezelfde dag als de update beschikbaar is.
Niet elke update verdient evenveel aandacht. Het slimste beleid combineert automatische updates voor risicoarme onderdelen met handmatig beheer voor alles wat databasemigraties of complexe integraties uitvoert.
| Automatisch updaten (aan) | Handmatig updaten (verplicht) |
|---|---|
| Minor WordPress core-releases (6.6.x) | WooCommerce en andere e-commerce plugins |
| Vertalingen | Pagebuilders (Elementor, Divi, Beaver Builder) |
| Security-plugins (Wordfence, iThemes) | Geavanceerde formulier-plugins (Gravity Forms, WPForms) |
| Firewall-plugins | Maatwerk-plugins of plugins zonder actief updatekanaal |
| Antispam-plugins (Akismet) | Betaalde plugins buiten de WordPress.org directory |
| Loginbeveiliging-plugins | Alle plugins die databasemigraties uitvoeren |
De redenering achter deze scheiding: hoe meer databasemigraties een plugin uitvoert en hoe dieper de integratie met andere systemen, hoe groter het risico van een automatische update zonder voorafgaande test. WooCommerce
KeurigOnline zegtWooCommerce
KeurigOnline zegtDatabase
Gevorderde gebruikers stellen dit in via wp-config.php. De aanbevolen hybride instelling ziet er zo uit:
// Aanbevolen hybride instelling:
define('WP_AUTO_UPDATE_CORE', 'minor'); // minor beveiligingsreleases automatisch
add_filter('auto_update_plugin', '__return_false'); // plugins handmatig (in functions.php of mu-plugin)
add_filter('auto_update_theme', '__return_false'); // thema's handmatig
// Alles uitzetten (niet aanbevolen voor beveiliging):
define('AUTOMATIC_UPDATER_DISABLED', true);
Let op: als DISALLOW_FILE_MODS op true staat, schakelt dat alle updates, inclusief automatische, uit. Controleer dit als automatische updates onverwacht niet werken[5].
Vanaf WordPress 5.5 kun je per plugin automatische updates aan- of uitzetten via WP-Admin, onder Plugins, in de kolom "Automatische updates". Dit is de eenvoudigste methode voor beheerders die geen code willen aanpassen. Zet alleen de plugins die in de linkerkolom van de bovenstaande tabel staan op automatisch.
WordPress 6.6 introduceerde een gamechanger voor iedereen die automatische updates wil gebruiken zonder zich zorgen te maken over een stukgegane site[6]. Het systeem detecteert nu automatisch PHP
KeurigOnline zegtPHP
KeurigOnline zegtE-mailadres
Overige geplande automatische updates gaan gewoon door, ook als één plugin teruggedraaid moest worden. Het systeem isoleert de storing nauwkeurig.
Automatische rollback stap voor stap (WordPress 6.6 of nieuwer)
Deze functie bouwt voort op de handmatige rollback-mogelijkheid die in WordPress 6.3 werd geïntroduceerd[7]. In 6.3 was het een handmatige optie per plugin; in 6.6 is het een automatisch vangnet dat zonder jouw tussenkomst actief is.
Drie beperkingen om rekening mee te houden
Voor beveiligingsplugins is dit een groot praktisch voordeel. Die wil je zo snel mogelijk automatisch bijwerken, maar het risico op een stukgegane site was altijd een drempel. Met de auto-rollback van WordPress
KeurigOnline zegtWordPress

Voor handmatige updates is een herhaalbaar stappenplan essentieel. De onderstaande stappen werken voor sites van elke omvang, van een eenvoudige portfoliosite tot een WooCommerce-shop met duizenden producten.
WordPress veilig updaten in zes stappen
WordPress plaatst automatisch een .maintenance-bestand tijdens updates. Bezoekers zien in die korte periode een "Site onder onderhoud"-melding. Dat duurt seconden en is normaal gedrag. Een aparte maintenance-mode plugin is alleen nodig als je langer handmatig aan de live-site werkt zonder staging. Deactiveer die plugin na de werkzaamheden direct en test de site in een incognitovenster.
Een trage laadtijd na een update kan ook een signaal zijn van een configuratieprobleem. Bekijk in dat geval de vijf meest voorkomende oorzaken van een langzame WordPress-site voor een snelle diagnose.

Een stagingomgeving is een exacte kopie van je live-site waarop je updates kunt testen zonder dat bezoekers er iets van merken. Op KeurigOnline hosting zijn er twee concrete methoden beschikbaar, afhankelijk van je voorkeur en technische kennis.
Dit is de eenvoudigste methode voor de meeste gebruikers en werkt volledig geïntegreerd met de hostingomgeving.
Stagingomgeving opzetten via Installatron
staging.jouwdomein.nl aan.Tip: beveilig je stagingomgeving direct
Ga in DirectAdmin naar Password Protected Directories en stel een wachtwoord in voor het staging-subdomein. Blokkeer zoekmachines via WordPress-dashboard, Instellingen, Lezen, en vink "Ontmoedig zoekmachines" aan. Zo indexeert Google de stagingsite niet per ongeluk.
Als je geen subdomein
KeurigOnline zegtSubdomeinjouwsite.nl/staging, en blokkeert automatisch de toegang voor bezoekers en zoekmachines. De stagingomgeving is herkenbaar aan een oranje admin-balk bovenin het scherm. Je logt in met je gewone WordPress-inloggegevens.
De gratis versie vereist handmatig terugkopiëren naar live. De betaalde versie synchroniseert met één klik. Kies Installatron
KeurigOnline zegtInstallatron
Een mislukte update hoeft geen ramp te zijn, als je van tevoren een backup hebt gemaakt. De gouden regel: een rollback bestaat altijd uit bestanden én de database samen. Alleen de pluginbestanden terugzetten is onvoldoende als de plugin een databasemigratie uitvoerde. WooCommerce major-updates zijn het duidelijkste voorbeeld: die passen de databasestructuur aan, en een halve rollback geeft je een database die niet meer overeenkomt met de code.
Herstelroutes na een mislukte WordPress-update
wp-content/plugins/. Verander bijvoorbeeld broken-plugin in broken-plugin_disabled. WordPress herkent de map dan niet meer als plugin en deactiveert deze automatisch bij de volgende paginalaad.Let op: alleen bestanden terugzetten is niet genoeg
De beste rollback is de backup die je al had. Wie dit als een vaste routine inbouwt vóór elke update, heeft bij een incident een heldere route. Wie geen backup heeft, heeft een probleem.
Altijd in deze volgorde: eerst een volledige backup van bestanden én database, daarna plugins één voor één, dan het actieve thema, en als laatste WordPress core. Plugins veroorzaken de meeste conflicten en zijn het eenvoudigst terug te draaien. Een core-conflict is aanzienlijk ingrijpender om te herstellen.
Een hybride aanpak is het veiligst. Zet automatische updates aan voor minor WordPress core-releases, vertalingen en beveiligingsplugins. Doe handmatig updaten voor WooCommerce, pagebuilders (Elementor, Divi), geavanceerde formulier-plugins en maatwerk-plugins. Vanaf WordPress 6.6 is er een automatische rollback als een auto-update een PHP
KeurigOnline zegtPHP
Beveiligingspatches: dezelfde dag of binnen 24 uur, want aanvallers exploiteren bekende kwetsbaarheden gemiddeld binnen vijf uur na publieke bekendmaking. Feature-updates: binnen één week na een succesvolle test op staging. Minor updates: tweewekelijks of maandelijks. Grote WordPress core-versies: wacht één tot twee weken op de eerste point release zodat plugins tijd hebben om compatibel te worden.
Een stagingomgeving is een exacte kopie van je live-site waarop je veilig kunt testen zonder dat bezoekers iets merken. Op KeurigOnline hosting maak je die aan via DirectAdmin
KeurigOnline zegtDirectAdmin
KeurigOnline zegtSubdomein
Speel de volledige backup
KeurigOnline zegtBackup
KeurigOnline zegtDatabase
KeurigOnline zegtFTP
Niet automatisch: WooCommerce
KeurigOnline zegtWooCommerce
KeurigOnline zegtFirewall
Ja, wacht één tot twee weken na een major release op de eerste point release, zoals 6.6.1. Pluginontwikkelaars hebben die tijd nodig om hun code compatibel te maken. Beveiligingsupdates zijn de uitzondering: die patch je zo snel mogelijk, bij voorkeur dezelfde dag.
Wil je WordPress-updates zorgeloos beheren? KeurigOnline WordPress hosting biedt dagelijkse backups, eenvoudige staging via DirectAdmin
KeurigOnline zegtDirectAdmin
KeurigOnline zegtInstallatron