Zoek je op "WordPress onderhoud" dan vind je pakketten van €12,50 tot ruim boven de €200 per maand. Dat is een gigantisch gat voor iets waar iedereen dezelfde term voor gebruikt. Het probleem: het "onderhoud" van de een is niet dat van de ander. De een zet auto-updates aan en noemt het klaar. De ander beheert je server, draait een firewall, test updates op staging en neemt dezelfde dag op als er iets breekt.
Dit stuk legt uit waar het prijsverschil vandaan komt. Niet door aanbieders in een vergelijkingstabel naast elkaar te zetten, maar door te laten zien wat er onder de motorkap zit. Wat kost het om onderhoud goed te doen, wat blijft er weg uit een goedkoop pakket en wat kost het als je helemaal niks doet. Wil je de vraag of je het überhaupt moet uitbesteden, die heb ik apart uitgewerkt in een companion stuk over WordPress onderhoud zelf doen of uitbesteden.
Het prijsgat: waarom €12 en €89 allebei "onderhoud" heten
De Nederlandse markt voor WordPress onderhoud is de afgelopen jaren in drie ruwe banden uitgekristalliseerd.
Onder de €25 per maand krijg je de basis: wekelijkse of maandelijkse updates van WordPress core, plugins en thema, een dagelijkse of wekelijkse backup en een support-emailadres. Dat is het. Geen staging, geen serieuze security-monitoring, geen hulp bij contentwijzigingen. Breekt er iets na een update, dan betaal je uurtarief bovenop, en uurtarieven voor WordPress werk in Nederland zitten in de praktijk gewoon tussen de €75 en €120 per uur.
€30-65 per maand is waar onderhoud verandert van een geautomatiseerd proces in echt mensenwerk. Updates worden eerst getest, niet blind doorgevoerd. Backups gaan van wekelijks naar dagelijks. Er draait een echte firewall, niet alleen een security-plugin ín WordPress. En er is een mens die dezelfde dag reageert als er iets misgaat. Veel aanbieders in deze band rekenen ook een half uur tot een uur per maand aan kleine aanpassingen mee.
€75-300 per maand is waar je gaat betalen voor inbegrepen ontwikkelingsuren, premium plugin-licenties (Elementor, WP Rocket, WPML, samen al snel €500 per jaar), proactief speed-werk en gegarandeerde responstijden onder een uur. Relevant voor webshops en sites waar downtime direct omzet kost. Overkill voor een bedrijfssite met een contactformulier.
Kortom: het woord "onderhoud" dekt drie fundamenteel verschillende dingen, en de meeste verwarring in de markt ontstaat doordat aanbieders ze bundelen zonder te zeggen welke ze daadwerkelijk leveren.
Drie lagen die door elkaar heen lopen
De eerste laag is technisch onderhoud: updates draaien. WordPress core, plugins, thema. Dat is de laag die je kunt automatiseren, en precies dat is wat de goedkoopste pakketten doen. Auto-updates aanzetten kost twee klikken binnen WordPress zelf. Nuttig, maar niet waar de waarde zit.
De tweede laag is beveiliging, en daar wordt de markt wazig. "Beveiliging" staat op de homepage van elke aanbieder en dekt in de praktijk enorm verschillende dingen. Aan de ene kant een gratis WordPress plugin zoals Wordfence die op applicatieniveau in WordPress scant op malware. Beter dan niks. Aan de andere kant een server-level Web Application Firewall zoals Imunify360 die kwaadaardig verkeer blokkeert voordat het WordPress überhaupt bereikt, gecombineerd met resource-isolatie via CloudLinux zodat een probleem op een andere site op dezelfde server jouw site niet meesleept. Dat zijn fundamenteel verschillende dingen, ook al staat er op beide verkooppagina's "beveiliging." Ik schreef uitgebreider over wat een WAF nou precies wél en niet doet voor WordPress.
Die server-level tools kosten de aanbieder echt geld. Imunify360 zit rond de €23 per maand per server, CloudLinux op zo'n €17. WP Guardian, dat plugin-kwetsbaarheden monitort en virtual patches toepast, komt er met een paar euro per site per maand nog bij. Tel die licenties op en je snapt zelf waarom een aanbieder die dit serieus doet niet voor €12 per maand kan draaien, tenminste niet met marge.
De derde laag is monitoring en support. Wordt je site continu bewaakt op uptime? Krijg je een melding als er iets stukgaat, of merk je het pas als er een klant belt? En als er iets breekt: zit er een mens aan de andere kant die je dezelfde dag helpt, of een ticketsysteem dat je drie werkdagen in de rij zet? Persoonlijke support schaalt niet goedkoop. Een ticketsysteem met standaard-antwoorden is goedkoop. Iemand die je site al kent en binnen tien minuten kan ingrijpen, is dat niet. Ook die keuze zit in de prijs.
Wat het écht kost om dit goed te doen
Ik beheer mijn eigen serverinfrastructuur (dedicated hardware in een datacenter in Amsterdam), dus ik kan je de kostenopbouw van binnenuit laten zien. Geen marketingsheet, gewoon de licenties waar ik elke maand voor betaal.
CloudLinux OS Shared PRO zit rond de €17 per maand per server. Dat is de software die elke website in zijn eigen geïsoleerde omgeving houdt. Heeft site A een PHP-script dat vastloopt en alle CPU opeet, dan merkt site B daar niks van. Klinkt als een detail. In de praktijk is het het verschil tussen stabiele shared hosting en een gedeelde server waar je buurman stilletjes je Core Web Vitals omlaag haalt.
Imunify360 is zo'n €23 per maand per server. Dat is de WAF die inkomend verkeer filtert, gecombineerd met malware-scanning, intrusion prevention en proactieve verdediging. Het is niet iets dat je met een WordPress plugin kunt vervangen. Het werkt op een andere laag, voordat een request überhaupt PHP bereikt.
Daarnaast nog WP Toolkit voor staging en beheer, kwetsbaarheidsmonitoring via Patchstack of WP Guardian, SSL-certificaten, backup-opslag, e-mailinfrastructuur. Tel het op en je zit als aanbieder al snel boven de €40-50 per maand aan harde kosten per server, voor je een minuut van je eigen tijd hebt gerekend. Verdeel dat over tien sites op een server en je zit op €4-5 per site aan pure infrastructuurkosten. Dertig sites drukt het per site, maar dan gaat de supportlast omhoog.
En dan je eigen tijd. Updates testen, backups checken, reageren op monitoring-alerts, support beantwoorden. Zelfs op een rustige site is dat vijftien tot dertig minuten per maand. Op een actieve WooCommerce-site met regelmatig plugin-updates fors meer. Het Knab ZZP Uurtarievenboekje 2026, gebaseerd op een enquête onder ruim 20.000 Nederlandse zzp'ers, zet het gemiddelde uurtarief voor ICT-zzp'ers op €101 exclusief btw. Het ZZP-gemiddelde over alle sectoren ligt op €83. Hoe dan ook: zelfs een half uur per maand van je aanbieder is echt geld op zijn kostensheet.
Dat is de reden dat €30-60 de rationele zone is voor serieus onderhoud. Daaronder moet een aanbieder ergens snijden: in tooling, in testwerk of in support. Dat kan prima zijn voor een eenvoudige site. Het is alleen goed om te weten waar het snijvlak ligt.
De kosten die niet op de factuur staan
Het maandbedrag is niet het hele verhaal. Veel onderhoudspakketten sluiten werk uit dat je als site-eigenaar gevoelsmatig gewoon in het pakket verwacht.
De meest voorkomende: contentwijzigingen. Een tekst aanpassen, een afbeelding vervangen, een pagina toevoegen. Bij veel aanbieders onder de €45 per maand gaat dat op uurtarief. Die tarieven beginnen rond de €45 bij een startende freelancer en klimmen naar €120 bij een gevestigd bureau. Even vooraf vragen is geen overbodige moeite.
Migraties zijn een tweede. Sommige aanbieders rekenen gratis migratie als acquisitie-instrument. Anderen een vast bedrag, meestal tussen de €85 en €125 voor een rechttoe-rechtaan site. Een complexe migratie (denk aan WooCommerce met maatwerk) loopt al snel twee tot zes uur op en tipt dan €150-600 aan.
En dan inhaalwerk op verwaarloosde sites. Heeft niemand drie, zes of twaalf maanden updates gedraaid, dan is bijtrekken geen standaardklus. Plugins kunnen conflicteren. PHP-versies zijn mogelijk te oud. Er is een reële kans dat er onderweg iets stukgaat. De meeste aanbieders rekenen daar een eenmalige toeslag voor, en dat is ook redelijk, want het is echt meer werk en meer risico dan regulier onderhoud.
Vraag elke aanbieder drie dingen voor je tekent: wat zit er in het pakket, wat kost extra en wat is het uurtarief als ik iets nodig heb dat buiten het pakket valt.
Wat het kost als je het niet doet
Het alternatief voor onderhoud uitbesteden is niet "niks betalen." Het is risico nemen. Soms valt dat goed uit. Soms niet.
Het concreetste kostenplaatje bij verwaarlozing is een gehackte site. Patchstack registreerde in 2024 7.966 nieuwe WordPress kwetsbaarheden, 96% daarvan in plugins, en 33% was publiekelijk bekend voordat er überhaupt een patch beschikbaar was. Tegen die achtergrond is verwaarlozing statistisch gezien duur. Een typische WordPress hack-opschoning in Nederland loopt op dit moment tussen de €150 en €350 als vast bedrag bij een specialist (Surver start op €169, BlijfHackVrij op €180), of €225-720 op uurtarief bij een generalistische freelancer op €75-120 per uur voor drie tot zes uur werk. En dat is een eenmalige post. Wordt de oorzaak niet structureel aangepakt, dan betaal je 'm over een paar maanden gewoon opnieuw. Ik schreef apart over wat een WordPress hack in de praktijk eigenlijk inhoudt.
Lastiger om een bedrag op te plakken, maar minstens zo relevant: de kosten van downtime. Als je site normaal gesproken twee of drie leads per week binnenhaalt via een contactformulier, kost een week offline je twee of drie potentiële klanten. Wat die waard zijn hangt van je business af. Voor veruit de meeste MKB-ondernemers is één gemiste opdracht al meer waard dan een heel jaar onderhoud.
Er is nog een regelgevend decor dat het vermelden waard is. De Europese Cyber Resilience Act is op 10 december 2024 in werking getreden, met meldplichten voor actief misbruikte kwetsbaarheden vanaf 11 september 2026 en de hoofdverplichtingen vanaf 11 december 2027. De verplichtingen richten zich op softwarefabrikanten, dus plugin- en thema-ontwikkelaars, niet op jou. Maar het neveneffect telt wel: commerciële plugins worden sneller gepatcht omdat ze moeten, en aanbieders die geen proactieve monitoring doen gaan moeite krijgen om te verdedigen dat ze "onderhoud" leveren. Geen paniekreden. Wel een reden om op te letten.
De rationele band
De markt loopt van €12 tot €300 per maand. De rationele zone voor een MKB-site die écht belangrijk is voor je bedrijf, maar geen enterprise-webshop met duizend bestellingen per dag, ligt tussen de €30 en €65 per maand. In die band krijg je updates die getest worden voor ze live gaan, een echte beveiligingslaag op serverniveau, dagelijkse backups en een mens aan de telefoon dezelfde dag dat er iets breekt.
Onder de €25 krijg je geautomatiseerde updates en een backup. Prima voor een hobbysite of een digitaal visitekaartje. Boven de €100 betaal je voor ontwikkelingsuren en premium licenties die je misschien niet eens nodig hebt. De keuze gaat niet alleen over het maandbedrag. Het gaat over wat er buiten valt, en wat je betaalt op het moment dat je het nodig hebt.