Kennisbank

WordPress is niet het probleem.
De implementatie wel.

WordPress draait op 43% van het internet. Het wordt gebombardeerd met kritiek: traag, onveilig, verouderd. Maar als je een WordPress website bouwt met schone code, zonder pagebuilder, zonder 30 plugins en op goede hosting — dan laadt hij in onder een seconde, scoort 95+ op Lighthouse en heeft nul bekende kwetsbaarheden. Het probleem is niet WordPress. Het probleem is hoe de meeste bureaus het implementeren.

Waarom WordPress een slecht imago heeft

"WordPress is traag." "WordPress is onveilig." "WordPress is verouderd." Je hoort het overal — van Shopify verkopers, van Wix reclames, van bureaus die hun eigen maatwerk platform verkopen. En eerlijk: als je naar de gemiddelde WordPress website kijkt, hebben ze een punt. De meeste WordPress websites zijn traag, onveilig en verouderd. Maar dat is niet de schuld van WordPress.

WordPress is een gereedschapskist. Een hamer kan een huis bouwen of een raam inslaan. Het resultaat hangt af van wie hem vasthoudt. WordPress core is een goed gebouwd, regelmatig bijgewerkt, open-source CMS dat wordt onderhouden door een groot team van professionele developers. De problemen ontstaan niet in WordPress zelf. Ze ontstaan in wat er bovenop wordt gestapeld.

De feiten over WordPress core

WordPress core — de software zonder plugins of themes — is snel, licht en veilig. Een standaard WordPress installatie met het default theme (Twenty Twenty-Five) en nul plugins haalt Lighthouse scores boven de 95. De HTML is semantisch, de CSS is minimaal, de JavaScript beperkt. Het is een solide basis.

Beveiligingsupdates worden snel uitgebracht en automatisch geinstalleerd. Het WordPress security team reageert op kwetsbaarheden binnen dagen, soms uren. De laatste kritieke kwetsbaarheid in WordPress core dateert van jaren geleden. Vrijwel alle WordPress hacks komen niet door een lek in WordPress zelf, maar door verouderde plugins, zwakke wachtwoorden of slechte server configuratie.

"Niemand zegt dat auto's onveilig zijn omdat er mensen zijn die zonder onderhoud rondrijden op gladde banden. Maar bij WordPress doen we dat wel. We geven het CMS de schuld voor wat de bouwer heeft nagelaten."

Hoe scoort jouw WordPress website?

Onze scanner checkt je website op verouderde plugins, bekende kwetsbaarheden, beveiligingslekken en performance. Ontdek wat er werkelijk onder de motorkap zit.

Het echte probleem: hoe de meeste websites worden gebouwd

De WordPress industrie heeft een structureel probleem. Het overgrote deel van de websites wordt niet gebouwd door developers. Het wordt gebouwd door grafisch vormgevers, marketeers en SEO specialisten die een pagebuilder gebruiken om visueel een website in elkaar te slepen. Ze noemen zichzelf webdesigner, webdeveloper of zelfs "WordPress specialist." Maar ze schrijven geen code. Ze slepen blokken.

De pagebuilder als kruk

Elementor, WPBakery (ook bekend als Visual Composer, of js_composer — het bedrijf erachter heeft zo vaak van naam gewisseld dat dat op zich al een rode vlag is), Divi, Beaver Builder. Deze tools bestaan omdat ze het bouwen van websites toegankelijk maken voor mensen zonder technische achtergrond. En daar is op zich niets mis mee. Het probleem ontstaat wanneer deze tools worden ingezet door bureaus die zich presenteren als professionele developers en er premium prijzen voor rekenen.

Een pagebuilder website is niet hetzelfde als een op maat geschreven website. Het verschil is vergelijkbaar met een IKEA kast en een kast van een meubelmaker. Beide zijn functioneel. Maar de een is gemaakt van spaanplaat met standaard maten, en de ander van massief hout op maat gemaakt voor jouw ruimte. Als je een IKEA-prijs betaalt, is een IKEA-kast prima. Als je een meubelmaker-prijs betaalt voor een IKEA-kast, word je opgelicht.

We hebben het concreter gemaakt in ons vergelijkingsartikel over Elementor vs custom themes.

Het template hergebruik probleem

Veel bureaus bouwen niet eens een nieuwe pagebuilder site per klant. Ze hebben jaren geleden een template gebouwd — een Elementor of WPBakery opzet met hun favoriete plugins en instellingen — en hergebruiken die voor elke klant. Ze veranderen de kleuren, de logo's, de foto's en de teksten. De onderliggende code, het theme, de plugins: die zijn voor iedereen hetzelfde. En vaak jaren oud.

Dat betekent dat je als klant een "nieuwe" website krijgt die draait op plugins met bekende beveiligingslekken van drie jaar geleden. Niet omdat het bureau het niet weet, maar omdat het updaten van die plugins de hele layout kapotmaakt. De pagebuilder en het theme zijn zo verweven met die specifieke plugin versies dat een update onmogelijk is zonder alles opnieuw op te bouwen.

Dit is geen uitzondering. Dit is hoe een groot deel van de WordPress-industrie werkt. Het is een assemblage lijn, geen ambacht. En de klant merkt het pas als het te laat is: wanneer de website gehackt wordt, wanneer Google de website naar beneden rankt vanwege traagheid, of wanneer een andere developer zegt "dit is niet te redden, je hebt een nieuwe website nodig."

Het herkenbare patroon: Bureau koopt een premium theme (€59), installeert een pagebuilder (gratis bij het theme), voegt 20-30 plugins toe, past de kleuren en content aan, en levert een "maatwerk website" op voor €3.000-€5.000. De klant betaalt maatwerk prijs voor een assemblagelijn-product. Het verschil met een website van €649 is vooral de presentatie, niet de technologie erachter.

Het plugin probleem: software die niet te updaten is

Elke WordPress plugin is een stuk software dat regelmatig moet worden bijgewerkt. Beveiligingspatches, compatibiliteit met nieuwe PHP versies, nieuwe features. Dat is normaal softwareonderhoud. Maar bij pagebuilder websites ontstaat een probleem dat uniek is voor dit ecosysteem: plugins die technisch niet meer te updaten zijn zonder de hele website te breken.

Pagebuilder lock-in

Een pagebuilder slaat de layout van je website op in zijn eigen formaat. Elementor gebruikt eigen JSON-structuren in de database. WPBakery gebruikt shortcodes die door de hele content verweven zitten. Als je de pagebuilder plugin update en het nieuwe versie wijzigt hoe die shortcodes worden geinterpreteerd, valt je hele layout uit elkaar. Secties verschuiven, kolommen breken, elementen verdwijnen.

In de praktijk betekent dit dat bureaus stoppen met updaten. De pagebuilder staat op versie 6.2 terwijl de huidige versie 7.4 is. De tussenliggende updates bevatten beveiligingspatches, maar het bureau kan ze niet installeren zonder weken aan herbouw. Dus blijft de website draaien op een verouderde, kwetsbare versie. Met bekende CVE's (Common Vulnerabilities and Exposures) die publiek zijn gedocumenteerd en actief worden misbruikt door geautomatiseerde scripts.

We zien dit dagelijks bij websites die we scannen. Een "professioneel" bureau levert een website op met plugins die al op het moment van oplevering bekende beveiligingslekken bevatten. Niet per ongeluk, maar omdat het updaten onmogelijk is geworden door de manier waarop de website is gebouwd.

Het naamsverandering trucje

Sommige plugin bedrijven zijn zo vaak van naam veranderd dat het op zich een rode vlag is. Visual Composer werd WPBakery Page Builder, dat werd verkocht terwijl er een compleet nieuw product onder de oude naam Visual Composer werd gelanceerd. Dezelfde codebase, andere naam, andere licentie, andere prijs. Klanten die dachten dat ze Visual Composer hadden, bleken WPBakery te hebben, dat niet meer actief wordt doorontwikkeld door het oorspronkelijke team.

Dit soort plugins zit op miljoenen websites. Ze worden nog steeds geinstalleerd door bureaus omdat ze er jaren geleden mee zijn begonnen en het herbruiken van hun bestaande templates goedkoper is dan overstappen op iets beters. De klant betaalt de rekening: een website gebouwd op een fundering die niet meer wordt onderhouden.

De plugin stapel als schuldenberg

Een typische pagebuilder website heeft 20 tot 40 plugins. Elke plugin is een afhankelijkheid. Elke afhankelijkheid is een potentieel beveiligingslek. Elke update is een potentiele breaking change. Hoe meer plugins, hoe fragiler het geheel. Op een gegeven moment is de website zo complex dat niemand meer durft te updaten. En dan stopt het onderhoud. Niet officieel — het bureau stuurt nog steeds facturen voor "onderhoud." Maar in werkelijkheid wordt er niets meer bijgewerkt omdat het risico te groot is.

Een op maat geschreven WordPress website heeft typisch 3 tot 8 plugins. Minder afhankelijkheden, minder risico, makkelijker te onderhouden. De functionaliteit die bij een pagebuilder website in plugins zit, zit bij een maatwerk website in het theme. Code die specifiek is geschreven voor die website, . Verouderde plugins zijn ook de voornaamste ingang voor hacks — lees ons stappenplan voor gehackte websitesdie je volledig controleert en die je altijd kunt updaten zonder dat er iets breekt.

"Bij veel bureaus stopt het onderhoud na de oplevering. Niet omdat ze het niet willen, maar omdat ze het niet kunnen. De website is gebouwd op een manier die updates onmogelijk maakt. Dat is geen onderhoudsprobleem. Dat is een bouwprobleem."

Heeft jouw website verouderde plugins met bekende lekken?

Onze scanner detecteert automatisch welke WordPress plugins en themes je website gebruikt en controleert ze tegen de CVE-database. Je ziet direct welke plugins een beveiligingsrisico vormen.

Waarom custom?

Dezelfde WordPress, ander resultaat.

Het verschil zit niet in het CMS. Het zit in de implementatie.

WordPress met custom code

  • 3-8 plugins, elk met een duidelijke functie
  • Theme specifiek geschreven voor deze website
  • Elke update getest en veilig toe te passen
  • HTML: schone, semantische structuur
  • Lighthouse score 95-100 op mobiel
  • Nul bekende CVE’s bij oplevering
  • Volledige controle over elke regel code
  • Kan door elke developer worden onderhouden

WordPress met pagebuilder

  • 20-40 plugins, veel als workaround voor ontbrekende code
  • Gekocht theme van €59, hergebruikt voor elke klant
  • Updates breken de layout, dus worden ze overgeslagen
  • HTML: 15-20 geneste divs per sectie, inline styles
  • Lighthouse score 40-65 op mobiel
  • Vaak CVE’s in plugins al op moment van oplevering
  • Afhankelijk van plugin bedrijven en hun roadmap
  • Alleen te onderhouden met dezelfde pagebuilder kennis

Twee websites, allebei WordPress. De een scoort een A+, de ander een F. Het verschil is niet het CMS. Het verschil is de developer.

Hoe herken je of je website goed gebouwd is?

De meeste website-eigenaren kunnen niet beoordelen of hun website technisch goed is gebouwd. Dat is logisch — je bent ondernemer, geen developer. Maar er zijn signalen die je zonder technische kennis kunt herkennen.

Check 1: Hoeveel plugins staan er actief?

Log in op je WordPress dashboard en ga naar Plugins. Tel het aantal actieve plugins. Minder dan 10 is goed. 10 tot 20 is veel. Meer dan 20 is een rode vlag. Als je Elementor, WPBakery, Divi of een andere pagebuilder ziet staan, weet je dat je website niet met handgeschreven code is gebouwd — ongeacht wat je bureau je heeft verteld.

Check 2: Test je snelheid

Ga naar Google PageSpeed Insights (pagespeed.web.dev) en vul je website URL in. Kijk naar de mobiele score. Boven de 90 is goed. Tussen 50 en 89 is matig. Onder de 50 is slecht. De meeste pagebuilder websites scoren tussen 40 en 65 op mobiel. Een goed gebouwde WordPress website scoort 90+.

Check 3: Scan je website

Gebruik onze gratis scanner om je website te checken op beveiligingslekken, verouderde plugins, privacy-problemen en meer. De scanner detecteert automatisch bekende CVE's in je WordPress plugins en themes. Als je bureau zegt dat alles up-to-date en veilig is, kun je dat hier zelf verifiëren.

Check 4: Vraag je bureau

Stel je bureau deze vragen:

  • "Is mijn website gebouwd met een pagebuilder of met handgeschreven code?" — Als ze zeggen "een combinatie" of het antwoord ontwijken, is het een pagebuilder.
  • "Hoeveel van de plugins op mijn website zijn up-to-date?" — Als ze het niet direct kunnen beantwoorden, wordt het niet actief bijgehouden.
  • "Kan ik mijn website morgen meenemen naar een andere developer?" — Als het antwoord nee is of als het "complex" zou zijn, zit je in een vendor lock-in.
  • "Wat is de Lighthouse score van mijn website op mobiel?" — Als ze niet weten wat Lighthouse is, is dat veelzeggend.
De kernvraag: Heb je een website laten bouwen door iemand die code schrijft, of door iemand die blokken sleept? Beide kunnen een mooi resultaat opleveren. Maar alleen de eerste levert een website op die snel, veilig en onderhoudbaar is op de lange termijn. En alleen bij de eerste betaal je voor vakmanschap. Bij de tweede betaal je voor assemblage.

Hoe een WordPress website er wel uit hoort te zien

Een goed gebouwde WordPress website is snel, veilig, onderhoudbaar en toekomstbestendig. Dat is geen magie. Het is het resultaat van keuzes die bij de bouw worden gemaakt.

Een custom theme, geen gekocht theme met pagebuilder

Het theme is de kern van je website. Het bepaalt de structuur, de snelheid, de beveiliging en de onderhoudsbaarheid. Een custom geschreven theme bevat precies de code die nodig is voor jouw website, niet meer en niet minder. Geen framework van 400 KB dat op elke pagina meekomt. Geen shortcodes die door je database verweven zitten. Bekijk onze WordPress website aanpak of lees waarom Core Web Vitals het verschil maken. Geen afhankelijkheid van een plugin bedrijf dat morgen kan stoppen met ontwikkelen.

Minimale plugins, maximale controle

Een goed gebouwde WordPress website gebruikt plugins alleen voor functionaliteit die niet in het theme hoort: een contactformulier plugin, een SEO plugin, misschien een caching plugin. De rest — de layout, de functionaliteit, de integraties — zit in het theme. Dat betekent minder afhankelijkheden, minder beveiligingsrisico's en makkelijker onderhoud.

Updates die niet breken

Als je website is gebouwd met schone code en minimale plugins, zijn updates geen risico maar routine. WordPress core updates installeer je zonder angst. Plugin updates test je en installeer je met vertrouwen. PHP versie updates gaan soepel. Je bent niet gegijzeld door een pagebuilder die niet geupdate kan worden.

Eigenaarschap van je code

Bij een custom geschreven WordPress website ben je eigenaar van de code. Je kunt morgen een andere developer inschakelen die de code kan lezen, begrijpen en aanpassen. Probeer dat eens met een Elementor-website: een andere developer moet dan ook Elementor kennen, dezelfde premium plugins hebben en uitzoeken hoe het vorige bureau de drag-and-drop layout heeft opgebouwd. Dat is geen overdracht, dat is een puzzel.

Veelgestelde vragen

Veelgestelde vragen over WordPress implementatie.

Ja. WordPress core is een volwassen, goed onderhouden CMS dat geschikt is voor websites van elk formaat. Het probleem zit nooit in WordPress zelf maar in de implementatie: verouderde plugins, pagebuilders die de boel vertragen, goedkope themes, en gebrek aan onderhoud. Een goed gebouwde WordPress website is snel, veilig en onderhoudbaar.
Niet per se. Een Elementor website kan prima functioneren voor een simpele bedrijfswebsite met weinig verkeer. Maar je moet weten dat je een plafond hebt: de snelheid zal nooit optimaal zijn, updates zijn riskanter en je bent afhankelijk van Elementor als bedrijf. Als je website belangrijk is voor je omzet of als je serieus wilt groeien, is het verstandig om te investeren in een website met handgeschreven code.
Kijk in je WordPress dashboard onder Plugins. Als je Elementor, WPBakery, Divi Builder, Beaver Builder of een vergelijkbare plugin ziet staan, is je website gebouwd met een pagebuilder. Je kunt ook met je rechtermuisknop de broncode van je pagina bekijken: als je "elementor" of "wpb_" of "et_pb_" in de HTML ziet, is het een pagebuilder website.
Nee. Voor persoonlijke projecten, hobby-websites of als je zelf je website wilt beheren zonder developer is een pagebuilder een prima tool. Het wordt een probleem wanneer een bureau een pagebuilder website verkoopt als maatwerk voor een maatwerk prijs, wanneer de website zakelijk belangrijk is en performance ertoe doet, of wanneer het onderhoud en de veiligheid op lange termijn cruciaal zijn.
Dat hangt af van de huidige staat. Caching, afbeelding optimalisatie en het verwijderen van ongebruikte plugins helpen altijd. Maar als de kern van je website een pagebuilder is, kun je de structurele overhead niet wegnemen. De pagebuilder IS het fundament. Je kunt het dak repareren maar niet het fundament vervangen zonder het huis af te breken.
Economie. Een pagebuilder website bouwen kost minder uren dan handgeschreven code. Minder uren betekent een lagere kostprijs. Het bureau kan meer websites per maand opleveren met minder technisch personeel. Een grafisch vormgever met Elementor-kennis kost minder dan een developer die PHP, HTML, CSS en JavaScript schrijft. Het is een bewuste keuze: snelheid en marge boven kwaliteit en duurzaamheid.
Dan is het geen custom code. Elementor IS een pagebuilder. Sommige bureaus noemen het "custom" omdat ze de Elementor-blokken hebben aangepast met eigen CSS of omdat ze een eigen Elementor-template hebben gebouwd. Maar de onderliggende technologie is nog steeds Elementor met alle beperkingen die daarbij horen. Custom code betekent dat je theme volledig met de hand is geschreven, zonder pagebuilder, zonder visuele editor.
Een maatwerk WordPress website kost meer aan de voorkant dan een pagebuilder website. Dat is logisch: handgeschreven code kost meer uren. Maar over de levensduur van de website keert die investering zich om. Minder plugin licenties, minder onderhoudsproblemen, minder beveiligingsincidenten, geen gedwongen herbouw na 2-3 jaar. Een website die 5 jaar meegaat zonder grote problemen is goedkoper dan een website die om de 2 jaar opnieuw moet worden gebouwd.
Het is een risico indicator. Elke plugin is een potentieel beveiligingslek en een onderhoudslast. Met 30+ plugins is de kans groot dat een aantal ervan niet regelmatig wordt bijgewerkt, dat ze onderling conflicten veroorzaken en dat updates worden uitgesteld uit angst voor problemen. Het is niet per definitie onveilig, maar het is fragiel. De vraag is: waarom heeft je website 30 plugins nodig? Bij een goed gebouwde website is het antwoord: dat heeft het niet.
Scan je website met onze gratis scanner. Die controleert automatisch welke WordPress plugins en themes je website gebruikt en vergelijkt de versies met de CVE-database (bekende kwetsbaarheden). Je ziet direct welke plugins verouderd zijn en welke actieve beveiligingslekken bevatten.

Tijd voor een website die echt goed gebouwd is?

Wij bouwen WordPress websites met handgeschreven code. Geen pagebuilders, geen gekochte themes, geen 30 plugins. Elke regel code geschreven door een developer, geoptimaliseerd voor snelheid en veiligheid.

Neem contact op