Članki · vzdrzevanje ·
Vzdrževanje, ki se dejansko izplača: kaj pričakovati od upravljanega WordPress gostovanja
Kaj spada v pravi paket vzdrževanja WordPress spletne strani — in kaj vam v resnici prinaša gostovanje za €5 na mesec pri Domenci ali Neoservu. Realne številke, imenovane ranljivosti, pošteni SLA.
V dveh stavkih
- Gostovanje za €5 na mesec ni vzdrževanje — je najet računalnik, ki ga nihče ne opazuje.
- Pravi paket vzdrževanja vključuje postopne posodobitve, dnevne kopije izven gostitelja, 60-sekundni nadzor delovanja, sledene varnostne popravke in človeka za odzivanje na incidente.
- Hotel na Bledu je v treh dneh izgubil nekaj tisoč evrov rezervacij zaradi Elementorjeve samodejne posodobitve — ker nekaj evrov gostovanja mesečno ni vključevalo nikogar, ki bi preverjal.
- Če vodite WordPress ali WooCommerce brez lastnega IT-ja, se paket vzdrževanja povrne že ob prvem preprečenem incidentu.
Ilustrativen sestavljen primer iz ponavljajočih se vzorcev pri strankah; podrobnosti so anonimizirane. Marca 2024 je majhen hotel na Bledu tri dni sprejemal ničelno število rezervacij. Ne zato, ker ne bi bilo gostov. Zato, ker je Elementor Pro v nočni samodejni posodobitvi razbil template za naslovnico, prijavni obrazec za rezervacije je vrnil belo stran, in nihče iz osebja tega ni opazil vse do sredinega jutra — ko je gost preko telefona vprašal, zakaj se stran ne odpre. Trije izgubljeni dnevi. Sezona še ni bila polna, a v povprečju to pomeni nekaj tisoč evrov izpadlih rezervacij. Njihovo gostovanje pri enem od slovenskih ponudnikov je znašalo nekaj evrov na mesec.
To je bila lepa cena za gostovanje. In drago plačilo za odsotnost vzdrževanja.
Opozorilo: WordPress gostovanje za €5 na mesec zgleda kot prihranek, dokler samodejna posodobitev v soboto ne razbije blagajne. Sestavljeni primer zgoraj je v treh dneh izgubil nekaj tisoč evrov — nekajkratnik svojega letnega računa za gostovanje — ker ga ni nihče opazoval.

Kaj samo “gostovanje” v resnici je
Gostovanje za €4–15 na mesec pri Domenci, Neoservu ali Namecheapu ni majhna storitev — ampak je majhna definicija. Kupite prostor na disku, PHP interpreter, MySQL bazo in avtomatsko obnovljen SSL certifikat prek Let’s Encrypt. Nekateri dodajo osnovno cPanel administracijo in en klik za namestitev WordPressa. Kljub temu.
To je vse.
Ni nadzora, kdaj se stran sesuje ob 22:47 v nedeljo. Ni varnostnih kopij, ki bi bile shranjene drugje — večina ponudnikov shranjuje kopije na istem strežniku kot vaša stran, kar pomeni, da izgubite oboje, če se disk pokvari. Ni nikogar, ki bi preveril, ali je zadnja posodobitev WordPress jedra pokvarila vaš plačilni prehod. Ni spremljanja, ali WordFence blokira napade — ker WordFence sploh ni nameščen.
Ste sami sistemski administrator. To je v redu, dokler tega ne veste.
Kaj počne najprej, ko ste sami sistemski administrator
Nekaj stvari zanesljivo pokvari nezaščiten WordPress znotraj prvega leta. Vrstni red je skoraj vedno enak.
Samodejne posodobitve vtičnikov. Elementor izda 3.24.0, vaš prilagojen CSS se sesuje, klici k dejanjem izginejo. WordPress jedro skoči na 6.7 in dva stara vtičnika nista več združljiva — administratorska plošča vrne “There has been a critical error”. SSL certifikat bi se moral avtomatsko obnoviti, a Let’s Encrypt validacija pade, ker je nekdo pred šestimi meseci prestavil DNS zapis in nihče ni preveril. Kreditna kartica na fakturi za gostovanje poteče. Račun ostane neplačan.
Vzorec, ki smo ga videli več kot enkrat: WooCommerce stran je bila suspendirana več kot teden dni, ker je neporavnan račun za gostovanje šel na e-poštni naslov bivšega računovodje. Zadevni znesek je bil nekaj deset evrov; izgubljena prodaja pa je po strankinih lastnih povprečjih znašala nizko štirimestno vrednost. Matematika o vzdrževanju proti brez-vzdrževanju le redko zapusti sobo.
Krivulja varnosti
WordFence Premium je v letu 2024 blokiral 1,2 milijarde napadov na WordPress strani (WordFence poročilo o grožnjah 2024). Ne milijon. Milijardo. To je 3,3 milijona napadov na dan, razporejenih med nekaj deset milijonov ranljivih strani po svetu. Vaša Blejska hoteli, Ljubljanska ordinacija, kranjska trgovina — vse so v tem obročku.
Konkretne ranljivosti iz preteklega leta, ki so bile aktivno izkoriščene:
- CVE-2024-28000 — LiteSpeed Cache, popularen slovenski vtičnik za pohitritev, XSS ranljivost, ki je prizadela pet milijonov strani. Napadalec je lahko z eno zahtevo pridobil administratorske pravice.
- CVE-2024-2879 — LayerSlider, priljubljen slider vtičnik, ki ga številne teme prinesejo že vgrajenega in teče na več kot milijonu strani, kritična SQL injection ranljivost (CVSS 9.8). Ena neavtenticirana zahteva je omogočila izvleček administratorskih poverilnic iz podatkovne baze. Javno razkritje 25. marca 2024. Če ste imeli avtomatske posodobitve izklopljene in ste odlašali z novo verzijo, so vas skenirali v roku 48 ur.
- CVE-2020-25213 — File Manager vtičnik, štiri leta star, še vedno aktivno izkoriščan v letu 2025. Ker ga polovica strani ni nikoli posodobila, ker ga nihče ne administrira.
Kaj ujame brezplačna verzija WordFence Free? Znane napadalne vzorce, brute-force poskuse prijave, osnovni pregled datotek. Kaj ne ujame? Zero-day ranljivosti (dokler ni pravila), zle vstavke v obstoječih datotekah brez sprememb velikosti, uporabo ukradene administratorske seje. Sucuri je približno enako. Za resno spletno stran potrebujete Premium licence — WordFence Premium okoli $119 na leto, plus nekoga, ki bere poročila.
Uptime ni matematični koncept — je nekaj, kar plačate v obliki izgubljenih strank. 99,9% uptime pomeni 8,76 ure izpada na leto. To je skoraj cel delovni dan. 99,99% pomeni 52,6 minut na leto, kar je razlika med “opazili smo” in “opazil je gost, ki je pisal na TripAdvisor”. Ceneni ponudniki gostovanja obljubljajo 99,9%, ampak brez SLA v pogodbi — če prekršijo, dobite izgovor, ne pa vračila. (Če razmišljate med lokalnim in tujim gostiteljem, se s tem podrobneje ukvarjamo v članku EU vs US hosting za slovenska mala podjetja.) Kinsta na $35/mesec Starter paketu jamči 99,9% z jasno klavzulo. Cloudways na $14/mesec Vultr HF ni tako strog, ampak realno dosega 99,95%. Domenca ima izjemno dobro uptime lokalno, a njihova infrastruktura je omejena na Ljubljanski rack — kar je za slovenskega obiskovalca hitreje, za obiskovalca iz Züricha pa 40ms počasneje kot Frankfurt DC.
Kaj naj vsebuje pošten paket vzdrževanja
| Funkcija | Gostovanje €5/mesec | Numen paket vzdrževanja |
|---|---|---|
| Posodobitve vtičnikov in jedra | Sami (ali nikoli) | Tedensko, na staging okolju, s smoke testom |
| Dnevne kopije izven gostitelja | Kopija na istem disku, če sploh | S3 / Wasabi / Backblaze, mesečni test obnovitve |
| Nadzor delovanja | Ni ga | Preverjanje vsakih 60 sekund, SMS opozorilo človeku |
| Varnostni popravki | Ruleta samodejnih posodobitev | Sledene ranljivosti, postopna namestitev |
| Odziv na incident | Vrsta na support | 4-urni SLA (24/7 na paketu za trgovine) |
Ne trije line-itemi. Ne pet. To so preveč zaokrožene številke, ki jih agencije pišejo, ker lepo izgledajo v ponudbi. Realno število je sedem stvari, ki dejansko preprečijo izpad.
- Tedenske posodobitve vtičnikov in WordPress jedra, testirane najprej na staging okolju z ročnim smoke testom.
- Dnevne inkrementalne varnostne kopije prek UpdraftPlus Premium ali BackWPup, shranjene izven gostiteljskega strežnika (S3, Wasabi, Backblaze), z mesečnim testom obnovitve.
- Nadzor delovanja na 60-sekundnem intervalu z SMS opozorilom (ne le e-pošto — SMS, ker e-pošte nihče ne bere ob 3:00).
- Ločeno staging okolje za zahtevne posodobitve, dostopno prek
staging.vasa-stran.siz osnovno HTTP avtentikacijo. - Manjše vsebinske spremembe vključene — običajno 2–4 ure na mesec za tipkarske napake, zamenjavo fotografij, dodajanje nove ekipe.
- Spremljanje uspešnosti prek Query Monitor in tedensko preverjanje LCP metrike prek PageSpeed Insights.
- Mesečno poročilo z jasnimi podatki: koliko napadov blokirano, koliko obnovljenih backupov testirano, koliko posodobitev nameščeno, koliko časa je bila stran nedosegljiva.
Zadnji del je pomemben. Če ne dobite mesečnega poročila, ne veste, ali vzdrževanje sploh poteka.
Kaj ta paket ne vsebuje
Tukaj so nesporazumi. Care ni razvoj. Care je ohranjanje živega. Novih funkcij ni. Redesign strani ni. Selitve na drugega ponudnika gostovanja ni. Prilagojena WooCommerce integracija z novim plačilnim prehodom ni. Vse to so posebne ponudbe, obračunane po urnem tarifu ali pavšalno — ne pa vključene v mesečno naročnino.
Če vam agencija reče “v vzdrževanju je vse vključeno”, vprašajte, kaj se zgodi, ko boste čez šest mesecev hoteli dodati nov jezik na stran. Če je odgovor “seveda, brezplačno”, ali lažejo zdaj ali lažejo takrat.
Matematika
Naredimo poštene številke za slovensko malo podjetje, ki ima WordPress stran s prijavnim obrazcem, WooCommerce z desetimi izdelki, in dvojezično vsebino.
Golo gostovanje pri Neoservu: €7 na mesec, kar je €84 na leto, plus DDV 22%. Vaš čas kot lastnik podjetja: 10 minut tedensko za posodobitve vtičnikov (če se lotite tega), 30 minut mesečno za preverjanje varnostnih kopij (če se lotite), občasno panika, ko nekaj razpade. Recimo, da je vaša efektivna urna postavka €50 (kar je za lastnika SMB nizko). To je približno €433 na leto v vaših stroških časa. Dodajte še stroške enega incidenta — obnovitev vdrte WordPress strani stane pri agenciji okoli €800–2.000 v času, poleg tega pa je verjetno kakšen izpad prihodkov.
Skupaj: nekje med €1.400 in €3.000 na leto, plus tveganje ničelnih prihodkov v času izpada.
Upravljano vzdrževanje pri Numen ali podobni agenciji: €50–80 na mesec, torej €600–960 na leto, plus DDV 22%. Nič od zgornjega — brez vašega časa, brez panike, brez incidenta. Cena je transparentna in vključena v mesečno operativo.
Za trgovino, ki sprejema plačila, matematika ni tesna. Care se izplača že po enem preprečenem incidentu.
Še ena podrobnost, ki se skoraj vedno spregleda — FURS zahteva hrambo elektronskih računov najmanj deset let. Če vam WooCommerce hrani PDF-je računov v wp-content/uploads/ in vaše kopije so shranjene skupaj s stranjo pri ponudniku gostovanja, ki ga zamenjate čez tri leta, potem imate lahko davčno luknjo. Off-site backupi z jasnim retention pravilnikom (recimo mesečna kopija vsak zadnji dan v mesecu, hranjeno 10 let) so tehnično zahteva iz zakonodaje, ne prijazna možnost.
Odzivni časi so pomembnejši od “24/7”
Vsakdo obljublja “24/7”. Nihče ne pove, kaj to pomeni ob 22:47 v nedeljo.
“4-urni SLA v poslovnem času” ni isto kot “4-urni SLA 24/7”. Prvo pomeni, da če stran pade ob 17:00 v petek, se boste morda oglasili v ponedeljek zjutraj. Drugo pomeni, da ima nekdo pager in ga vklopi. Numen care na paketu za trgovine deluje 24/7 z resničnim človeškim odzivom v štirih urah, ker imamo stražo. Care na paketu za brošurne strani deluje v poslovnem času, ker za manjkajočo naslovnico pri odvetniški pisarni ni nujno, da se nekdo zbudi v soboto ponoči.
Kaj je “incident spremljanja” v resnici? Ob 03:12 se sproži alarm, ker Pingdom prijavi HTTP 500 dve zaporedni preverjanji. SMS pade dežurnemu inženirju. Ta se prijavi na strežnik prek SSH, preveri error_log, ugotovi, da je novi vtičnik WooCommerce Payments razbil PHP na verziji 8.1, deaktivira problematičen vtičnik prek WP-CLI, restartira PHP-FPM. Stran je nazaj v 18 minutah. Naslednji dan gre v podrobno analizo in ročno posodobitev. To je incident. Ne pošiljanje e-pošte na support in čakanje.
Kdaj je poceni gostovanje popolnoma v redu
Nočemo pretiravati. Za nekatere strani je €4 gostovanja pri Domenci ali celo ARNES za institucionalne stranke popolnoma primeren:
- Osebni portfolio z desetimi obiski na mesec.
- Statična brošurna stran za rokodelca, ki dela iz domače delavnice in vodi posle prek telefona.
- Testni poddomeni in staging okolja za druge projekte.
- Družinske strani, klubi, društva brez transakcij.
Za karkoli, kar sprejema rezervacije, naročila ali kontaktne obrazce, ki generirajo posel — poceni gostovanje brez vzdrževanja je odloženo tveganje. Vprašanje ni ali bo prišlo do incidenta, ampak kdaj.
FAQ
Kakšna je razlika med gostovanjem in vzdrževanjem? Gostovanje je infrastruktura — disk, procesor, spomin. Vzdrževanje je človek, ki spremlja, kaj se s to infrastrukturo dogaja. En je storitev računalnika, drugi je storitev nekoga, ki ta računalnik razume.
Ali potrebujem varnostne kopije, če jih ponudnik gostovanja že ponuja? Da. Kopije, ki ponudnik gostovanja jih hrani na istem strežniku, so kot rezervni ključi, ki jih pustite v ključavnici. Če se strežnik pokvari ali napadalec dobi dostop, gre oboje. Pošten paket vzdrževanja hrani kopije izven gostiteljskega okolja — pri Wasabi ali Backblazu — in enkrat mesečno testira obnovitev na staging okolju.
Kaj se zgodi, če stran pade ob 3:00 zjutraj? Odvisno od paketa. Numen care 24/7 pomeni SMS dežurnemu inženirju in odziv v štirih urah tudi ponoči. Care v poslovnem času pomeni, da boste za nočne izpade morali čakati do jutra. Za trgovino, ki sprejema plačila iz tujine, je 24/7 upravičen. Za odvetniško pisarno, ki dela od 8 do 16, verjetno ne.
Kako pogosto so WordPress strani vdrte? WordFence je v 2024 blokiral 1,2 milijarde napadov (WordFence poročilo o grožnjah 2024). Povprečna neupravljana WordPress stran je vdrta znotraj 6–18 mesecev, običajno prek nekega popularnega vtičnika. Slovenske banke, ki jih vidimo pri WooCommerce integracijah, imajo najstrožje zahteve za PCI-DSS in bodo prve, ki bodo zavrnile poravnave, če ugotovijo, da je vaš plačilni tok potekal skozi kompromitiran WordPress.
Ali lahko to počnem sam? Tehnično da. Realno? Redko. Zahteva 3–5 ur mesečno branega dela, disciplino testiranja pred produkcijo, tehnično znanje za obnovitev iz varnostne kopije. Če ste developer, zagotovo. Če ste zobozdravnik, računovodkinja ali kuhar, verjetno ne — vaš čas je vreden več drugje.
Kakšen odzivni čas SLA naj iščem? Za brošurno stran je 8 delovnih ur povsem zadovoljivo. Za stran, ki sprejema rezervacije ali plačila, 4 ure v poslovnem času kot minimum, 4 ure 24/7 za resne trgovine. Vse manj od tega je preostro obljubljanje.
Ali Numen care vključuje vsebinske spremembe? Da, do 2–4 ure na mesec. Menjava fotografije, popravek cene, dodajanje nove ekipe, popravek tipkarske napake — vključeno. Nova podstran s prilagojenim postavitvijo ali nov jezik pa gre v ločeno ponudbo.
Ali lahko odpovem kadarkoli? Da. Care ni ujetništvo. Mesečno naročilo, 30-dnevni odpovedni rok, brez skritih klavzul. Če vam ne ustreza, greste drugam, mi vam predamo dostope, backup, dokumentacijo. Če vam agencija ponuja “vzdrževanje” v 12-mesečni pogodbi z visoko izstopno klavzulo, ne ponuja storitve — ponuja finančni instrument.
Če se v tem vodniku prepoznaste in razmišljate o pravem paketu vzdrževanja za svojo WordPress ali WooCommerce stran, Numen vzdrževanje je narejeno točno za to — pošteno, brez presenečenj, s pravim človekom na drugi strani. Če ste še bolj na začetku — razmišljate o novi spletni strani, WooCommerce postavitvi ali si želite pogledati projekte, ki smo jih dostavili — vse to je klik stran.