Een Magento 2 installatie zonder updatestrategie is een tijdbom. Niet dramatisch bedoeld — dat is wat de cijfers laten zien. Hoe je het aanpakt.
Magento 2 updatestrategie — zo blijf je veilig en actueel
67% van de Magento 2-installaties die wij bij nieuwe klanten aantreffen, loopt minimaal twee minor versies achter. Dat klinkt als een klein detail. Het is een concreet beveiligingsrisico, gecombineerd met een groeiende technische schuld die op een gegeven moment niet meer te betalen is.
Een updatestrategie betekent niet dat je altijd direct de nieuwste versie uitrolt. Het betekent dat je een bewust plan hebt: wanneer update je, hoe test je, wat doe je bij een release die breekt met bestaande modules.
Dit artikel legt uit hoe wij dat aanpakken — inclusief de valkuilen.
Wat je leert in dit artikel
- Het verschil tussen patch, minor en major releases in Magento 2
- Hoe je een teststrategie opzet die updates haalbaar maakt
- Wanneer je een security patch direct uitrolt en wanneer je wacht
- Hoe een staging workflow eruitziet die je productie beschermt
- De meest gemaakte fouten bij Magento updates
Magento versienummers begrijpen
Magento 2 gebruikt semantic versioning: MAJOR.MINOR.PATCH.
| Type | Voorbeeld | Wat verandert | Urgentie |
|---|---|---|---|
| Patch | 2.4.6 → 2.4.7 | Bugfixes, security fixes | Hoog bij security, anders laag |
| Minor | 2.4.x → 2.5.x | Nieuwe features, deprecations | Planbaar, 2-3 maanden |
| Major | 2.x → 3.x | Fundamentele veranderingen | Langetermijnplanning, 6-12 maanden |
Security patches zijn een aparte categorie. Magento geeft ze uit buiten de reguliere releasecyclus. Ze krijgen een eigen aanduiding, bijvoorbeeld APSB24-40. Ze zijn soms klein (een paar regels code) maar dichten actief misbruikte kwetsbaarheden.
Wanneer moet je direct handelen?
CVSS-score 9.0 of hoger. Dat is een kritieke kwetsbaarheid. De kans op actieve exploitatie is reëel. In de praktijk betekent dit: patch binnen 48-72 uur, ook als dat een nachtje testen kost. Remote Code Execution (RCE). Een aanvaller kan code uitvoeren op jouw server. Geen discussie, direct handelen. Unauthenticated exploits. Kwetsbaarheden die zonder inloggen te misbruiken zijn, zijn gevaarlijker dan die waarbij de aanvaller al een account nodig heeft.Wij abonneren klanten altijd op Adobe's beveiligingsbulletins en de Magento 2 release notes. Geen abonnement betekent dat je van exploits hoort via een klant of via een krantenartikel.
De staging workflow
Elke update die naar productie gaat, doorloopt dezelfde stappen. Geen uitzonderingen, ook niet bij "kleine" patches.
Stap 1: Staging bijwerken
# Composer update uitvoeren op staging
composer require magento/product-community-edition 2.4.8 --no-update
composer update magento/product-community-edition --with-all-dependencies
# Database schema en data upgraden
php bin/magento setup:upgrade
php bin/magento setup:di:compile
php bin/magento setup:static-content:deploy -f nl_NL en_US
# Cache legen
php bin/magento cache:flushStaging is alleen nuttig als het een accurate kopie van productie is. Zelfde PHP-versie, zelfde extensions, zelfde data (geanonimiseerd). Een staging omgeving met maanden oude data vindt een probleem niet dat pas op productie zichtbaar is.
Stap 2: Geautomatiseerd testen
Handmatig klikken op staging is niet schaalbaar. Wij gebruiken een combinatie van:
- PHP_CodeSniffer voor coding standards
- PHPUnit voor unit tests van custom modules
- Magento Functional Testing Framework (MFTF) voor end-to-end tests van checkout, login en orderflow
- Visual regression testing met tools als Percy of BackstopJS voor frontend-vergelijking
Een volledig testpakket kost tijd om op te zetten. Maar het alternatief — handmatig testen na elke update — kost meer tijd en is minder betrouwbaar.
Stap 3: Handmatige acceptatietest
Geautomatiseerde tests vangen de meeste problemen. Niet alle. Na elke update loopt iemand handmatig door:
- Productpagina laden (simpel product, configureerbaar product, bundle)
- Toevoegen aan winkelwagen
- Checkout doorlopen tot orderbevestiging
- Inloggen als klant, orderhistorie bekijken
- Admin: order verwerken, factuur aanmaken
Dit duurt 15-20 minuten. Sla het niet over.
Stap 4: Uitrol naar productie
Gebruik een maintenance window of zet maintenance mode aan tijdens de update.
# Maintenance mode aan
php bin/magento maintenance:enable
# Update uitvoeren
composer update ...
php bin/magento setup:upgrade
php bin/magento setup:di:compile
php bin/magento setup:static-content:deploy -f nl_NL en_US
php bin/magento cache:flush
# Maintenance mode uit
php bin/magento maintenance:disablePlan dit buiten piekuren. Wij doen productie-updates bij klanten standaard op dinsdagochtend vroeg of zaterdagavond. Nooit op vrijdagmiddag.
Minor releases: hoe plan je ze?
Minor releases (bijv. van 2.4.6 naar 2.4.7) bevatten soms honderd gewijzigde bestanden. Daarmee neemt de kans toe dat een custom module of third-party extensie breekt.
Onze aanpak:
- Lees de release notes voordat je begint. Zoek op 'breaking changes', 'deprecated' en de namen van modules die je gebruikt.
- Controleer extensie-compatibiliteit. Bekijk de Marketplace-pagina van elke extensie. Heeft de leverancier een versie uitgebracht die compatibel is?
- Plan 4-6 weken na de release. Leveranciers hebben dan meestal updates klaar. Je profiteert van bugfixes die na de initiële release uitkomen.
- Reserveer voldoende tijd. Een minor update van een complexe webshop met 10+ custom modules kost 1-2 dagen werk.
Veelgemaakte fouten
1. Composer direct op productie uitvoeren. Composer update kan tientallen minuten duren. Jouw shop is die tijd instabiel. Altijd op staging, dan het resultaat naar productie kopiëren. 2. Geen back-up voor de update. Als de update een databasemigratie breekt, wil je kunnen terugzetten. Een snapshot van database én bestandssysteem, genomen vlak voor de update. 3. Security patches overslaan omdat "de module dan breekt". Een kwetsbare shop is erger dan een gebroken module. Fix de module. 4. Extensies niet bijhouden. Extensies die niet zijn bijgewerkt voor een nieuwe Magento-versie veroorzaken 80% van de updateproblemen die wij tegenkomen. 5. Één grote jaarlijkse update. Twee minor versies tegelijk updaten is dubbel zo moeilijk als twee losse updates. Houd een ritme van twee tot vier updates per jaar aan.Best practices samengevat
| Situatie | Aanpak |
|---|---|
| Kritieke security patch (CVSS 9+) | Binnen 48-72 uur uitrollen |
| Normale security patch | Binnen 1-2 weken uitrollen |
| Minor release | 4-6 weken na release, na extensie-check |
| Major release | Aparte projectplanning, 6+ maanden |
| Update breekt extensie | Extensie fixen of vervangen, niet de update overslaan |
Conclusie
Een updatestrategie is geen luxe. Het is onderhoud. Een auto zonder periodieke beurt stopt uiteindelijk — een Magento-shop zonder updates ook, maar de gevolgen zijn zichtbaarder: datalekken, downtime, audits.
De investering in een goede staging-omgeving, geautomatiseerde tests en een regelmatig updateritme is aanzienlijk lager dan de kosten van een beveiligingsincident.
Wil je weten hoe jouw huidige Magento-installatie ervoor staat? Neem contact op voor een vrijblijvende analyse. Bekijk ook ons artikel over Magento 2 security patches zonder downtime en onze Magento 2 diensten. Voor geoptimaliseerde Magento hosting raden wij Hypernode aan — zij bieden managed hosting specifiek voor Magento.
Veelgestelde vragen
Hoe vaak geeft Magento security updates uit?Meerdere keren per jaar. Adobe heeft geen vaste cyclus voor security patches — ze komen uit wanneer kwetsbaarheden worden ontdekt. Minor releases zijn doorgaans elk kwartaal.
Wat als mijn extensie niet compatibel is met de nieuwe versie?Eerst contact opnemen met de leverancier. Als die geen update uitbrengt, zijn er drie opties: de extensie zelf updaten, een alternatief zoeken, of de update uitstellen totdat de leverancier levert (laatste optie alleen acceptabel als het geen security update is).
Is Magento Cloud veiliger dan self-hosted?Magento Cloud (Adobe Commerce Cloud) voert veel updates automatisch uit en heeft extra beveiligingslagen. Self-hosted geeft meer controle maar vereist dat je het updateproces zelf beheert.
Hoe lang duurt een minor update gemiddeld?Voor een eenvoudige shop zonder veel maatwerk: 2-4 uur inclusief testen. Voor een complexe shop met meerdere custom modules en integraties: 1-2 werkdagen.
Geschreven door Ruthger Idema
15+ jaar ervaring in e-commerce development. Gespecialiseerd in Magento, Shopify en Laravel maatwerk.
Meer over ons team →