Drew Website
Blog

Üzemeltetés

Mit tartalmaz egy komoly weboldal-karbantartási csomag (és mit nem)

Mire fizetsz valójában egy karbantartási csomagban — átláthatóan, tételesen.

2026. július 9.7 perc olvasásDrew

A legtöbb árajánlatban a karbantartás egyetlen sor: „havi karbantartási díj”. Hogy mi van mögötte, az ritkán derül ki. Sok helyen — szolgáltatói oldalon is — ez havi egyszeri frissítés-nyomkodást jelent: belépés az adminba, az összes frissítés lenyomása, kilépés. Ez nem karbantartás, hanem rituálé. A valódi kérdés nem az, hogy valaki megnyomja-e havonta a frissítés gombját, hanem az, hogy mi történik, amikor baj van.

Mert előbb-utóbb baj lesz. Egy plugin-frissítés eltöri a pénztárat, a tárhelyszolgáltató éjjel szervert cserél, egy bővítmény sérülékenységét tömegesen kezdik kihasználni. Webshopnál ez nem elvi kockázat, hanem forintosítható: ha a pénztár két napig nem működik, az két napnyi kiesett bevétel, plusz a vevők, akik nem jönnek vissza. A webshop-üzemeltetés valódi értéke az, hogy ezekből a helyzetekből ne kétnapos leállás legyen, hanem egy-két órás, dokumentált incidens.

Ebben a cikkben tételesen végigmegyek azon, mit kell tartalmaznia egy komoly csomagnak, mit nem tartalmaz — és miért jogos, hogy nem —, végül azon, miből látod egy ajánlatról, hogy komolyan gondolják. Ha éppen WordPress-karbantartási árakat hasonlítgatsz, ez a lista abban segít, hogy tényleg ugyanazt a szolgáltatást mérd össze.

A négy réteg egy pillantásra

A weboldal-karbantartás nálam négy rétegre bomlik. Mindegyikre önálló kérdésként érdemes ránézni az ajánlatban: benne van, vagy nincs benne.

RétegMit fed leEzt kérdezd meg
AlaprendszerMentés + visszaállítás-teszt, ellenőrzött frissítések, monitoring„Mikor állítottátok vissza utoljára a mentést?”
BiztonságBiztonsági fejlécek, tűzfal, bejelentkezés-védelem, sérülékenység-figyelés„Honnan tudjátok meg, ha az egyik pluginom sérülékeny?”
Support-keretHibabejelentés, vállalt reakcióidő, havi munkaidőkeret„Mennyi idő alatt reagáltok, ha leáll a pénztár?”
SLARendelkezésre állási vállalás és a következménye„Mi történik, ha a vállalás nem teljesül?”

Nézzük rétegenként, mit jelentenek ezek a gyakorlatban.

Alaprendszer: mentés, ellenőrzött frissítés, monitoring

Ez a kötelező minimum. Ha ebből bármi hiányzik, az nem karbantartási csomag, hanem havidíjas jó szándék.

  • Mentés és visszaállítás-teszt. Napi biztonsági mentés a tárhelytől független helyre, több visszamenőleges példánnyal. És ami a legtöbb csomagból hiányzik: az időnkénti visszaállítás-teszt. A mentés attól mentés, hogy vissza is lehet állítani — ezt csak úgy tudod, ha valaki ténylegesen kipróbálta.
  • Ellenőrzött frissítések. A WordPress-mag és a pluginok frissítése nem attól ellenőrzött, hogy megtörténik, hanem attól, hogy előtte mentés készül, nagyobb verzióváltásnál a szolgáltató elolvassa a változáslistát (changelog), utána pedig végigkattintja a kritikus folyamatokat: pénztár, űrlapok, bejelentkezés. Webshopnál ideális esetben előbb tesztkörnyezetben (staging) fut le a frissítés.
  • Monitoring. A rendelkezésre állás figyelése percenként, az SSL-tanúsítvány lejáratának követése, a hibanapló (error log) ellenőrzése. A cél, hogy a leállásról a szolgáltató szóljon neked — ne a vevőid.

Drew-tipp

A soha vissza nem állított mentés nem mentés, hanem remény. Kérdezd meg a szolgáltatódat, mikor próbálta utoljára ténylegesen visszaállítani az oldaladat egy mentésből. Ha a válasz kitérő, ott a mentés valószínűleg csak egy pipa a listán.

Biztonság: nem egy plugin, hanem folyamat

A WordPress-oldalak elleni támadás jellemzően nem célzott, hanem automatizált: botok pásztázzák a netet ismert sérülékenységű pluginokat keresve. Ez ellen nem egy varázsplugin véd, hanem több, egymásra épülő réteg.

  • Biztonsági fejlécek (security headers). A böngészőnek adott utasítások — HSTS, a tartalombeágyazás tiltása és társaik —, amelyek egész támadástípusokat zárnak ki. Beállításuk egyszeri munka, mégis a legtöbb oldalról hiányoznak.
  • Tűzfal (WAF). A kéretlen forgalom kiszűrése, még mielőtt az oldalt elérné. A jó tűzfal az ismert támadási mintákat blokkolja, és mellékhatásként a szerver terhelését is csökkenti.
  • Bejelentkezés-védelem. Próbálkozási korlát a belépésnél (brute force elleni védelem), kétfaktoros hitelesítés (2FA) az admin-fiókokon, és erős jelszószabály mindenkinek, aki hozzáfér.
  • Sérülékenység-figyelés. A telepített pluginok és a mag verzióinak folyamatos összevetése sérülékenység-adatbázisokkal. Ha egy bővítményed sebezhetővé válik, arról nem a következő havi frissítéskor kell értesülnöd, hanem órákon belül.

Ez a réteg azért kritikus, mert egy feltört oldal kára nem a helyreállítás munkadíja. Hanem a spamlistára kerülő domain, a figyelmeztetés a Google-találat mellett, és a vevő, aki a böngésző piros riasztását látva soha nem jön vissza.

Support-keret és SLA: mire számíthatsz, amikor baj van

A support-keret azt rögzíti, mit vállal a szolgáltató, amikor te jelentesz hibát. Két szám számít, és nem ugyanaz a kettő: a reakcióidő (mennyi időn belül kezd vele érdemben foglalkozni valaki) és a megoldási idő (mikorra áll helyre a rendszer). Egy komoly ajánlat a kettőt külön kezeli, és súlyosság szerint differenciál: a „nem megy a rendelésleadás” nem ugyanaz a kategória, mint a „csúnya a lábléc mobilon”.

  • Hibabejelentés csatornája. Hova írsz, ki olvassa, milyen időablakban. Az „írj rám Messengeren” nem csatorna.
  • Vállalt reakcióidő súlyosság szerint. Kritikus hibánál órákban, kozmetikainál munkanapokban mérve.
  • Havi munkaidőkeret. Mennyi apró módosítás, kérdés, finomhangolás fér bele a havidíjba — és mi történik a kerettel, ha egy hónapban nem használod ki.

Az SLA (service level agreement — szolgáltatásiszint-megállapodás) ehhez képest a rendelkezésre állási vállalás: az oldal az idő hány százalékában érhető el. Érdemes átszámolni percre: a 99,9% havi szinten nagyjából 43 perc leállást enged meg, a 99% viszont már több mint 7 órát. És legalább ilyen fontos, hogy mi a következménye, ha a vállalás nem teljesül: jóváírás, díjcsökkentés — vagy csak egy bocsánatkérés? A 100%-os ígérettel szemben pedig legyél gyanakvó: azt a tárhely- és hálózati réteg miatt gyakorlatilag senki nem tudja tartani. Aki mégis ígéri, az vagy nem méri, vagy nem gondolta végig.

Mit nem tartalmaz — és miért korrekt ez

A karbantartási díj a meglévő rendszer életben tartását fedezi, nem a bővítését. Három dolog, ami jogosan nincs benne:

  • Új funkció fejlesztése. Új fizetési mód, hűségpontrendszer, külső integráció — ez projekt, saját becsléssel és határidővel.
  • Dizájn-átalakítás. Arculatfrissítés, új főoldal, landing oldalak — szintén projektmunka.
  • Tartalomfeltöltés. Termékek felvitele, blogcikkek publikálása, bannercserék — ez operatív munka, amire külön keret való, nem a karbantartási díj.

A tiszta határvonal neked is jó. Ahol a „minden benne van” ígéret él, ott az ár vagy irreálisan magas, vagy a szolgáltató abban érdekelt, hogy a lehető legkevesebbet dolgozzon. Ha rendszeresen van fejlesztési igényed — webshopnál szinte mindig van —, arra a tételes, mért havi keret a korrekt forma: látod, mire megy el, és vita sincs belőle.

Drew-tipp

A „korlátlan módosítás” a gyakorlatban gyakran azt jelenti: korlátlanul várakozhatsz. Fix díjas, korlátlan munkát ígérő csomagnál a szolgáltató abban érdekelt, hogy minél kevesebb kérésed érjen célba. A mért, tételes keret ellenőrizhető — a „korlátlan” nem.

Miből látod, hogy komolyan veszik — és mit kérdezz meg

A legjobb szűrő nem az ár, hanem az átláthatóság. Nálam ez így néz ki: minden ügyfél egy ügyfélportálon látja a saját feladatait — mi vár sorra, min dolgozom éppen, mi készült el, és mennyi mért idő ment rá. Nem utólagos havi PDF-riport, hanem élő lista. A tételes elszámolás nem extra udvariasság: enélkül a havidíj hitalapú.

A másik jel a dokumentáltság. Egy komolyan üzemeltetett rendszerről bármikor átadható a dokumentáció: hozzáférések listája, a felépítés leírása, a szokásos műveletek menete. Ez neked azt jelenti, hogy nem vagy a szolgáltatóhoz láncolva — ha holnap mással folytatnád, az utódom a leírásból át tudja venni. Aki ezt önként adja, az nem a bezárásodra építi az üzletét. Az üzemeltetés nálam ezért moduláris és tételes: a teljes modell itt látható, 10 000 Ft/hó-tól indul, és rétegenként bővíthető addig, ameddig az oldalad üzleti súlya indokolja.

Amikor tehát WordPress-karbantartási árakat hasonlítasz, az ár önmagában semmit nem mond. Öt kérdés, ami viszont igen:

  1. 01Mikor volt utoljára visszaállítás-teszt a mentéseken?
  2. 02Pontosan mi történik egy frissítésnél — van-e mentés előtte és ellenőrzés utána?
  3. 03Ki és mennyi idő alatt tudja meg, ha leáll az oldal?
  4. 04Mennyi a vállalt reakcióidő kritikus hibára, és mi a következménye, ha csúszik?
  5. 05Hol látom tételesen, mire ment el a havidíjam?

Ha ezekre konkrét, ellenőrizhető választ kapsz, jó helyen vagy. Ha nem tudod, a mostani csomagod mit fed le valójában, egy független technikai audit tételesen megmutatja a mentés, a biztonság és a többi réteg tényleges állapotát — onnantól már nem hit kérdése, mire fizetsz.

Nézd meg a moduláris üzemeltetési modellt.

Tételes, átlátható rétegek — azért fizetsz, amire a rendszerednek tényleg szüksége van. 10 000 Ft/hó-tól.