WordPress in crisis: governance, security en de opkomst van headless CMS
Matt Mullenweg gebruikte zijn WordCamp-keynote om WP Engine een kanker te noemen. Wat volgde beschadigde het vertrouwen in het hele WordPress-ecosysteem. Over de governance-crisis, de groeiende beveiligingslast, en de alternatieven die steeds volwassener worden.
Op 20 september 2024 betrad Matt Mullenweg het podium bij WordCamp US. De oprichter van WordPress, het CMS achter 42% van het web, gebruikte zijn keynote om hostingbedrijf WP Engine "een kanker voor WordPress" te noemen. Wat volgde was een reeks beslissingen die het vertrouwen in het hele WordPress-ecosysteem beschadigden op een manier die niemand had voorzien.
Anderhalf jaar later zijn de gevolgen nog steeds voelbaar. Automattic's waardering is met tweederde gedaald. Een vijfde van het personeel is vertrokken. De rechtszaak loopt nog. En ondertussen groeit de stapel beveiligingslekken door, terwijl headless alternatieven steeds volwassener worden. Dit is een poging om de feiten bij elkaar te leggen.
Hoe een persoonlijk conflict een ecosysteem raakte
De achtergrond is belangrijk. WordPress is open-source software, maar de .org-infrastructuur (plugin-repository, thema-repository, update-mechanisme) wordt feitelijk beheerd door Automattic, Mullenweg's commerciele bedrijf. Dat was altijd al een ongemakkelijke constructie, maar het werkte zolang niemand het op de spits dreef.
Na de keynote publiceerde Automattic een licentie-eis voor 8% van WP Engine's bruto maandelijkse omzet. Binnen vijf dagen blokkeerde Mullenweg WP Engine's toegang tot WordPress.org. Plugin- en theme-updates voor meer dan een miljoen websites werden verstoord. Niet als bijwerking, maar als drukmiddel.
Op 2 oktober spande WP Engine een rechtszaak aan met 20 aanklachten, waaronder afpersing en computerfraude. Tien dagen later nam WordPress.org de Advanced Custom Fields (ACF) plugin over, een tool met meer dan 2 miljoen actieve installaties, en hernoemde deze zonder toestemming. Het ACF-team noemde het een eerste in WordPress' 21-jarige geschiedenis.
"Automattic is doing open source dirty."
David Heinemeier Hansson, creator van Ruby on Rails
Wat het extra ongemakkelijk maakt: onlangs vrijgegeven documenten onthulden dat Mullenweg van plan was 10 concurrerende hostingbedrijven met vergelijkbare royalty-eisen te benaderen. Hij beschreef het intern als "all-out nuclear war". Per maart 2026 staan nog 13 van de 20 aanklachten overeind.
Het onderliggende probleem gaat verder dan dit conflict. WordPress presenteert zichzelf als community-project, maar de governance-structuur geeft een enkele persoon buitenproportionele macht over de infrastructuur waar miljoenen sites van afhangen. Dat was al langer zichtbaar. Het verschil is dat Mullenweg het nu expliciet heeft ingezet als wapen, en daarmee de kwetsbaarheid voor iedereen zichtbaar heeft gemaakt.
De schade in cijfers
Een dag na de rechtszaak bood Mullenweg alle medewerkers een "Alignment Offer": $30.000 of zes maanden salaris, op voorwaarde dat ze per direct vertrokken. 159 medewerkers accepteerden, waaronder de Executive Director van het WordPress-project. Zes maanden later volgde een ontslagronde van nog eens 281 mensen bij WooCommerce, Tumblr en marketing.
BlackRock had geinvesteerd tegen $85 per aandeel, een waardering van circa $7,5 miljard. Tegen juni 2025 stond dat op $27,74. In januari 2025 reduceerde Automattic hun WordPress core-bijdragen van 3.988 naar slechts 45 uur per week. De Linux Foundation reageerde door de FAIR Package Manager te lanceren als gedecentraliseerd alternatief voor WordPress.org.
Het beveiligingsprobleem dat er altijd al was
Los van het governance-drama heeft WordPress een beveiligingsprobleem dat structureler is. De plugin-architectuur die het platform zo flexibel maakte, is tegelijk het grootste aanvalsoppervlak van het web. Patchstack documenteert dit jaar op jaar, en de trend is niet bemoedigend.
De architecturale oorzaak is helder. Een gemiddelde WordPress-site draait 15 tot 20 plugins, elk met hun eigen kwaliteitsniveau en update-cyclus. Van alle plugins in de WordPress.org repository is 59% langer dan twee jaar niet bijgewerkt. In 2023 cascadeerde een enkele XSS-kwetsbaarheid in het Freemius-framework naar 1.248 plugins tegelijk. Dat is geen bug, dat is een architectuurprobleem.
Sucuri's jaarlijkse rapport bevestigt het beeld: WordPress is verantwoordelijk voor 96,2% van alle CMS-gerelateerde infecties die zij in 2024 opruimden. Dat is deels een functie van marktaandeel. Maar het is ook een functie van een ecosysteem waarin kwaliteitscontrole grotendeels ontbreekt, en waarin slechts 12% van de sites op een actief ondersteunde PHP-versie draait.
De alternatieven die vijf jaar geleden niet bestonden
Headless CMS is niet nieuw als concept, maar het is pas de laatste jaren echt bruikbaar geworden voor meer dan enterprise-budgetten. De markt staat op circa $0,8 tot 1,5 miljard met groeicijfers tussen de 15% en 23% per jaar. Uit een Hygraph-enquete onder 400 technology leaders bleek dat 44% al een headless CMS gebruikt.
Een volwassen landschap
Contentful leidt het enterprise-segment met $339 miljoen aan funding. Sanity groeit het snelst, van $10,6 miljoen omzet in 2021 naar meer dan $40 miljoen in 2024. Strapi domineert open-source met ~60.000 GitHub stars. Directus biedt een vergelijkbaar open-source model met klanten als Adobe en AT&T.
Gedocumenteerde migraties rapporteren 50% snellere paginaladingen en 30% lagere infrastructuurkosten. Maar eerlijk: die cijfers komen vaak van de platforms zelf. Wat wel objectief klopt is dat headless architectuur je losmaakt van PHP-lock-in, het aanvalsoppervlak drastisch verkleint (geen publieke admin, geen plugin-execution), en je frontend-keuze volledig vrij laat.
Een eerlijke blik vooruit
WordPress verdwijnt niet. Niet bij 42% marktaandeel, niet met miljoenen bestaande sites, niet met een ecosysteem van duizenden developers en bureaus die ervan leven. Dat zou naief zijn om te beweren.
Maar de situatie is wel fundamenteel veranderd. De governance-crisis heeft laten zien hoe kwetsbaar een ecosysteem is dat afhankelijk is van de beslissingen van een persoon. De beveiligingscijfers worden elk jaar slechter, niet beter. En voor het eerst zijn de alternatieven volwassen genoeg om een realistisch migratiepad te bieden, niet alleen voor enterprise-budgetten, maar ook voor middelgrote projecten.
Voor nieuwe projecten is de afweging verschoven. De vraag "waarom niet WordPress?" had vijf jaar geleden weinig goede antwoorden. Nu zijn er er meerdere: governance-risico, een groeiend beveiligingsoppervlak, PHP-afhankelijkheid, en de beschikbaarheid van betere architecturen voor moderne content delivery.
Voor bestaande WordPress-sites is het genuanceerder. Een werkende site migreren puur op basis van principe is zelden verstandig. Maar bij elke grote revisie of redesign is het moment om serieus naar alternatieven te kijken. Niet omdat WordPress slecht is, maar omdat de voorwaarden waaronder het de voor de hand liggende keuze was, aan het veranderen zijn.
Denk je na over je CMS-strategie?
We helpen graag mee met het afwegen van de opties. Geen voorkeur vooraf, gewoon een eerlijk gesprek over wat past bij jouw situatie.
Neem contact opLaten we van start gaan
Samen zorgen wij voor slimme digitale oplossingen voor de uitdagingen van jouw organisatie. Geen gehaaste en kortstondige producten maar doordachte, kwalitatief hoogwaardige oplossingen met UX Design en technologische kennis als fundament. Zodat jouw organisatie klaar is voor morgen.
Of bekijk onze cases , blogposts of leer ons team kennen.