Managed hosting wordt vaak verkocht als: wij regelen het beheer, jij focust op je site of applicatie. In grote lijnen klopt dat, maar de precieze taakverdeling is zelden zo zwart-wit als de marketing suggereert. Sterker nog, twee aanbieders kunnen allebei ‘managed’ op de pagina hebben staan, terwijl de scope verschilt.
Voor IT’ers en technische ondernemers is dat precies waar het misgaat: je ontdekt pas wat niet inbegrepen is als je update breekt, mailreputatie instort of je herstelpunt buiten de retentieperiode valt. Hieronder staat de taakverdeling zoals die in de praktijk het vaakst voorkomt, inclusief de grijze gebieden die SLA’s meestal wegmoffelen.
Wat bijna altijd bij de provider ligt
- OS- en serverpatching (kernel, packages en webserver)
Op managed hosting is het patchen van het besturingssysteem meestal de verantwoordelijkheid van de provider. Denk aan kernel-updates, beveiligingspatches voor OS-packages en updates van softwareproviders zoals Nginx of Apache. Dit is ook logisch: jij hebt doorgaans geen root-toegang en de provider moet het platform consistent en veilig houden.
- Basis-security op serverniveau
Veel providers draaien WAF-regels, malware-scans, brute-force protectie of algemene hardening op serverniveau. Dat helpt tegen bekende patronen, maar het betekent niet dat je applicatie automatisch veilig is.
Wat de provider doet, maar jij moet valideren
De provider kondigt PHP-upgrades aan en voert ze uit. Maar de compatibiliteit is jouw probleem: je CMS, thema en plugins moeten die versie ondersteunen. Major upgrades breken in WordPress nog regelmatig plugins, vooral bij maatwerk of oudere extensies. Managed betekent dus niet ‘geen testwerk’, maar minder platformbeheer. Draai daarom altijd eerst op staging, check error logs na de switch en plan upgrades niet op een belangrijke week.
Wat bijna nooit inbegrepen is
- Plugin- en thema-updates
Vaak vallen plugin- en thema-updates buiten de dienstverlening in de meeste managed contracten. En dat is precies waar de kwetsbaarheden zitten. Als jij updates uitstelt, blijft het risico bestaan, ook op managed hosting.
- DMARC-records en e-mailauthenticatie
DMARC is vrijwel nooit onderdeel van managed hosting, omdat het DNS-configuratie is. Zonder DMARC kan je domein makkelijker misbruikt worden voor spoofing, met reputatieschade en deliverability-problemen als gevolg. Dit ligt dus bij jou: DMARC (plus SPF/DKIM) configuratie, monitoren en aanscherpen.
Back-ups: frequentie zegt niets zonder retentie
Dagelijkse back-ups klinken geruststellend, maar het kritieke detail is retentie. Veel providers bewaren ze maar 7 of 14 dagen. Ontdek je pas na drie weken dat er data weg is, dan zijn je bruikbare herstelpunten mogelijk al overschreven. Check daarom:
- Hoe vaak back-ups worden gemaakt
- Hoe lang ze worden bewaard
- Of restores self-service zijn
- Of databases en uploads consistent worden meegenomen
Monitoring: serverveiligheid is niet plugin-veiligheid
Providers kunnen op serverniveau scannen op bekende malware en verdachte processen, maar zero-day kwetsbaarheden in third-party plugins detecteren ze meestal niet proactief. Maak daarom een ‘plugin allowlist’, verwijder wat je niet gebruikt en monitor CVE’s/alerts voor je stack.
Als je een provider zoekt met serveronderhoud, automatische back-ups en proactieve monitoring, dan is managed hosting bij Antagonist een relevant voorbeeld om te vergelijken. Zo kun je gemakkelijk en concreet toetsen wat wel en niet onder beheer valt.
