Waarom een Drupal-onderhoudscontract geen luxe is: de les van 20 mei 2026
Een highly-critical Drupal-lek dichten binnen uren? Dat lukt alleen met structureel onderhoud. Waarom een onderhoudscontract geen kostenpost is, maar een verzekering.
Een Drupal-onderhoudscontract is geen kostenpost — het is een verzekering. Dat werd op 20 mei 2026 pijnlijk duidelijk, toen Drupal een highly-critical beveiligingslek aankondigde dat aanvallers binnen enkele uren konden misbruiken. De enige vraag die er die avond toe deed: kon jouw website binnen het patch-venster worden bijgewerkt?
Wat is een Drupal-onderhoudscontract? Een doorlopende afspraak waarbij een specialist de security-updates, core- en module-updates, back-ups en monitoring van een Drupal-website verzorgt — doorgaans tegen een vast maandbedrag. Het doel: je site veilig, actueel en bereikbaar houden zonder dat je er zelf dagelijks naar hoeft om te kijken.
Wat er op 20 mei 2026 gebeurde
Drupal kondigde via beveiligingsadvies PSA-2026-05-18 een core-update aan met de hoogste urgentie: een severity-score van 20 op 25. Het lek was triviaal te misbruiken, vereiste geen enkel toegangsniveau, en gaf een aanvaller toegang tot álle niet-publieke data op een getroffen site — met de mogelijkheid die te wijzigen of te verwijderen.
De patch verscheen op 20 mei 2026 tussen 17:00 en 21:00 UTC, voor alle ondersteunde branches (11.3, 11.2, 10.6 en 10.5). Het Drupal-securityteam waarschuwde expliciet: reserveer tijd, want exploits kunnen binnen uren ontstaan.
Dit is geen uitzondering. Het is het normale ritme van een actief, veilig CMS — en precies daarom is wie jouw site bijwerkt, en hoe snel, een strategische keuze.
Wat het kost als je niet op tijd patcht
Stel: een organisatie werkt het patch-venster niet bij. Drie dagen later blijkt een klantportaal uitgelezen. Wat dan?
- Datalek en AVG. Niet-publieke data toegankelijk betekent een meldplicht bij de Autoriteit Persoonsgegevens — en mogelijk een boete die vele malen hoger ligt dan jaren onderhoud.
- Downtime en reputatieschade. Een gehackte of platgelegde site kost direct omzet en vertrouwen. Dat laatste herstelt niet met een patch.
- Herstel- versus preventiekosten. Een incident afhandelen — forensisch onderzoek, herstel, communicatie — kost een veelvoud van wat structureel onderhoud per jaar kost. Je betaalt vooraf, of achteraf met rente.
Wat structureel Drupal-onderhoud inhoudt
Goed onderhoud is meer dan af en toe een update draaien. Het rust op drie pijlers:
Security & directe patching
Core- en module-updates
Back-ups, monitoring & compliance
Zelf doen of uitbesteden?
Zelf beheren kán — mits je 24/7 de beveiligingsadviezen volgt en binnen uren kunt patchen. Voor de meeste organisaties is uitbesteden goedkoper én veiliger:
| Intern beheer | Onderhoudscontract | |
|---|---|---|
| Reactietijd bij een kritiek lek | afhankelijk van beschikbaarheid | binnen afgesproken SLA-venster |
| Kennis van Drupal-security-adviezen | wisselend | gegarandeerd actueel |
| Patchen buiten kantooruren (zoals 20 mei) | lastig te organiseren | standaard |
| Aansprakelijkheid bij incident | volledig intern | contractueel gedekt |
Zo pakt VDMi het aan
VDMi beheert Drupal-websites met een vast onderhoudsproces: actieve monitoring, security-updates binnen het afgesproken venster, en heldere rapportage van wat er is gebeurd. Geen verrassingen — wel de zekerheid dat een avond als 20 mei je niet wakker houdt. Bekijk onze diensten of neem contact op voor een vrijblijvend gesprek.
Twijfel je of jouw Drupal-site veilig is?
Vraag een gratis onderhouds-scan aan — dan weet je precies waar je staat en of je op 20 mei binnen het venster gepatcht was geweest.
Veelgestelde vragen
-
Dat hangt af van de omvang van je site en het gewenste serviceniveau, maar het is doorgaans een vast maandbedrag dat ruim onder de kosten van één beveiligingsincident ligt.
-
Bij een highly-critical advies (zoals PSA-2026-05-18 op 20 mei 2026) binnen het door Drupal aangekondigde patch-venster — vaak nog dezelfde avond.
-
Drupal 10 bereikt in 2026 end-of-life. Tijdig opwaarderen naar Drupal 11 is onderdeel van goed onderhoud en voorkomt dat je straks zonder beveiligingsupdates zit.
-
Dat kan, mits je continu de beveiligingsadviezen volgt en binnen uren kunt patchen. Voor de meeste organisaties is uitbesteden goedkoper en veiliger.
-
Security-updates, core- en module-updates, back-ups, monitoring, performance-bewaking en het borgen van compliance.
Lees meer
AI Act 2026: wat de wet betekent voor je website en CMS
Heb je een chatbot op je site of publiceer je content met AI-hulp? Dan krijg je met de AI-verordening (AI Act) te maken. De transparantieregels gelden vanaf augustus 2026; hoog-risico AI kreeg na de Digital Omnibus-deal uitstel tot 2027.
Lees meer
Waarom we bij VDMi voor open source kiezen — en waarom dat nu Europees relevant is
Europa geeft jaarlijks 265 miljard euro uit aan Amerikaanse cloud- en softwarediensten. Dat is geen abstract probleem — dat is jouw budget, jouw klantdata en jouw vrijheid om morgen iets anders te kiezen. Wij bouwen al jaren op Linux, Drupal en open-source-stacks. Hier leggen we uit waarom dat geen technische bijzaak is, maar een strategische keuze die nu Europees urgent is geworden.
Lees meer
Vastgeklonken aan je leverancier? 7 signalen van vendor lock-in
In 2024 verhoogde Citrix de prijs voor bepaalde maandelijkse partnerlicenties fors. VMware-klanten zagen na de Broadcom-overname forse bundling- en prijswijzigingen. Voor organisaties die afhankelijk zijn van zo'n platform voelt dat als een fuik. In deze blog: zo herken je vendor lock-in en zo krijg je grip terug.
Lees meer