Un site WordPress livré est un site qui commence à vieillir. Ce n’est pas une métaphore — c’est une réalité technique. WordPress publie en moyenne une mise à jour majeure tous les trois à quatre mois, et des mises à jour de sécurité mineures bien plus fréquemment. Chaque plugin installé suit son propre cycle de mises à jour. Chaque thème aussi. Et pendant ce temps, les attaquants, eux, ne prennent pas de vacances.
La maintenance WordPress n’est pas une dépense optionnelle que l’on active quand quelque chose casse. C’est un investissement structurel qui protège l’actif numérique que représente votre site — son trafic, sa réputation, ses données, ses conversions.
Chiffre clé : selon Sucuri, 83 % des sites CMS infectés en 2022 tournaient sous WordPress — et dans la majorité des cas, la faille exploitée provenait d’un plugin ou d’un thème non mis à jour. La maintenance n’est pas une assurance contre la malchance. C’est la prévention d’une négligence prévisible.
Ce que « maintenance WordPress » recouvre vraiment
Le terme est souvent utilisé de façon vague — et c’est précisément ce qui génère des malentendus entre clients et prestataires. Une maintenance sérieuse couvre plusieurs couches distinctes, qui ne sont pas toutes proposées par défaut dans les offres du marché.
Les mises à jour : le socle non négociable
C’est la mission primaire de toute maintenance WordPress. Elle inclut :
- Les mises à jour du cœur WordPress (core) — à appliquer rapidement après chaque publication, en testant la compatibilité au préalable
- Les mises à jour de plugins — à tester individuellement, car une mise à jour peut casser une fonctionnalité existante
- Les mises à jour de thème — à vérifier sur un environnement de staging avant d’appliquer en production
- La mise à jour de la version PHP — souvent oubliée, elle conditionne pourtant la performance et la sécurité du serveur
La procédure correcte n’est jamais « tout mettre à jour d’un coup en production ». C’est : sauvegarder, tester en staging, vérifier, puis déployer. Un prestataire qui met à jour directement en production sans environnement de test prend un risque que vous payerez.
Les sauvegardes : votre filet de sécurité
Une sauvegarde n’a de valeur que si elle est externe, récente et testée. Un backup stocké sur le même serveur que le site ne sert à rien si le serveur est compromis.
Une maintenance sérieuse prévoit des sauvegardes quotidiennes automatiques (fichiers + base de données) vers un stockage externe — Google Drive, Amazon S3, Dropbox — avec une politique de rétention d’au moins 30 jours. Et une restauration de test périodique pour vérifier que la sauvegarde est effectivement exploitable.
La surveillance et la sécurité
- Monitoring de disponibilité : alertes en temps réel si le site tombe (via UptimeRobot ou Better Uptime)
- Scan de malware régulier : détection de fichiers infectés, de backdoors ou de code injecté
- Surveillance des performances : détection des régressions de vitesse de chargement et des Core Web Vitals
- Vérification des erreurs 404 et des redirections cassées — qui impactent directement le référencement naturel
- Monitoring de la liste noire Google : si votre site est signalé comme dangereux, votre trafic organique s’effondre en quelques heures
Tableau comparatif des offres de maintenance WordPress
Le marché de la maintenance WordPress est très hétérogène. Voici ce que couvrent réellement les différents niveaux d’offre :
| Niveau | Ce qui est inclus | Ce qui manque souvent | Fourchette de prix |
|---|---|---|---|
| Basique | Mises à jour core + plugins, sauvegarde hebdomadaire | Staging, surveillance sécurité, rapport | 30 € à 80 €/mois |
| Standard | Mises à jour + sauvegardes quotidiennes + monitoring + rapport mensuel | Support prioritaire, optimisation performance | 80 € à 200 €/mois |
| Premium | Tout le standard + staging, sécurité avancée, optimisation performance, support réactif | — | 200 € à 500 €/mois |
| Agence / sur mesure | Tout le premium + développements mineurs inclus, SLA garanti | — | 500 €+ /mois |
| DIY (auto-géré) | Ce que vous faites vous-même | Temps, rigueur, compétences techniques | Coût logiciels : 0 à 100 €/an |
La fourchette 80 € à 200 €/mois correspond au niveau de maintenance que la majorité des PME devrait viser pour un site professionnel avec un trafic régulier.
Ce que le prix d’une maintenance doit refléter
Un contrat à 30 €/mois ne peut pas couvrir sérieusement les mises à jour testées, les sauvegardes quotidiennes, le monitoring et le support. Mathématiquement, ce n’est pas possible. Ce type d’offre repose généralement sur des mises à jour automatisées sans vérification — ce qui est souvent plus dangereux qu’une absence de mise à jour, car une mise à jour qui casse le site en production sans sauvegarde récente est un désastre.
Les éléments qui justifient un tarif plus élevé :
L’environnement de staging. Tester chaque mise à jour sur un clone du site avant de l’appliquer en production prend du temps et nécessite une infrastructure dédiée. C’est non négociable pour tout site qui génère du chiffre d’affaires.
Le rapport mensuel. Un bon rapport de maintenance ne liste pas juste les plugins mis à jour. Il signale les évolutions de performance, les erreurs détectées, les recommandations d’optimisation et les alertes de sécurité. C’est votre tableau de bord de santé.
Le temps de réponse garanti. Un site e-commerce tombé un vendredi soir à 20h a besoin d’une intervention dans l’heure, pas le lundi matin. Ce niveau de réactivité a un coût — et ce coût doit être défini contractuellement par un SLA (Service Level Agreement).
Faire soi-même ou déléguer : la vraie question
La maintenance en autonomie est possible, à condition de mettre en place les bons outils et une discipline rigoureuse. UpdraftPlus pour les sauvegardes, Wordfence pour la sécurité, WP Staging pour les environnements de test, ManageWPpour centraliser la gestion de plusieurs sites — l’écosystème existe et il est accessible.
Mais la question n’est pas « est-ce que je peux le faire ? » — c’est « est-ce que j’ai le temps de le faire correctement, de façon consistante, chaque semaine ? »
Chiffre clé : selon WP Engine, le coût moyen d’une infection WordPress non détectée — en perte de trafic, nettoyage, réputation et chiffre d’affaires — dépasse 4 000 € pour une PME. Rapporté à un contrat de maintenance à 150 €/mois, le calcul est vite fait.
Pour un site vitrine à faible trafic sans enjeu commercial immédiat : la gestion en autonomie avec les bons outils est raisonnable. Pour un site e-commerce, un site de génération de leads ou tout site dont l’indisponibilité a un coût direct : déléguer à un prestataire compétent est la décision la plus économique à moyen terme.
Les questions à poser avant de signer un contrat de maintenance
Avant de choisir un prestataire, ces questions doivent obtenir des réponses précises — pas des généralités :
- Les mises à jour sont-elles testées sur un environnement de staging avant production ?
- Quelle est la fréquence et la destination des sauvegardes ? Sont-elles externes au serveur principal ?
- Quel est le délai d’intervention garanti en cas d’urgence (site hors ligne, infection) ?
- Un rapport mensuel est-il fourni, et que contient-il exactement ?
- Les développements mineurs (correction de bugs, petites modifications) sont-ils inclus ou facturés en supplément ?
- Le contrat couvre-t-il les mises à jour de PHP et les évolutions d’infrastructure serveur ?
Un prestataire sérieux répond à ces questions sans hésitation. Un prestataire vague sur ces points l’est probablement aussi dans son exécution.
FAQ — Maintenance WordPress : les vraies questions
Non — et c'est l'idée reçue la plus dangereuse du secteur. Un site statique, peu mis à jour en contenu, continue de faire tourner WordPress, ses plugins et son thème — tous sujets à des failles de sécurité découvertes régulièrement. L'absence de mises à jour ne protège pas : elle expose. Les robots qui scannent les sites vulnérables ne font pas de distinction entre un site actif et un site "en veille". WPScan, la base de données de référence des vulnérabilités WordPress, recense en moyenne plusieurs nouvelles failles par semaine.
Rarement — et c'est un point à clarifier contractuellement avant de signer tout devis de création. Certaines agences incluent une période de maintenance gratuite de un à trois mois après la livraison, mais la maintenance récurrente est généralement un contrat séparé. Méfiez-vous des offres "tout compris" qui ne détaillent pas précisément ce que couvre la maintenance — la transparence sur ce point est un indicateur de sérieux du prestataire.
Le site continue de fonctionner — mais il cesse d'être surveillé, mis à jour et sauvegardé selon le protocole en place. Le risque augmente progressivement à chaque semaine sans mise à jour. Si vous résiliez un contrat, assurez-vous de récupérer une sauvegarde complète du site (fichiers + base de données), de documenter les accès (hébergeur, WordPress, FTP, DNS), et de mettre en place a minima les mises à jour automatiques natives de WordPress pour le cœur du CMS — une option disponible dans Réglages > Mises à jour.
