La plupart des sites WordPress ne cessent pas de fonctionner du jour au lendemain. Il n'y a pas de moment d'effondrement unique. À la place, il y a une accumulation lente de plugins non mis à jour, une version PHP obsolète que personne n'a remarquée, et une sauvegarde qui n'a jamais été testée depuis le lancement du site. Au moment où quelque chose se casse, toutes les options disponibles sont coûteuses. Faire appel à un développeur en urgence, récupérer des données, ou reconstruire à partir d'une sauvegarde qui s'avère incomplète coûtera toujours plus cher qu'une année de maintenance préventive.
Un contrat de maintenance WordPress est censé prévenir exactement cette séquence. Ce guide explique ce qu'un bon contrat couvre, ce que la plupart des prestataires omettent, ce qui est généralement exclu, et comment évaluer un prestataire avant de signer.
En bref
- Un bon contrat de maintenance WordPress couvre les mises à jour du cœur, des plugins et des thèmes, des sauvegardes quotidiennes hors site avec restauration testée, la surveillance de la disponibilité, l'analyse de sécurité, et un accord de niveau de service (SLA) de support défini
- La plupart des contrats ne couvrent pas les nouvelles fonctionnalités, les frais de licence de plugins tiers, la suppression de malwares, les modifications de contenu, ni les incidents en dehors des heures ouvrables, sauf mention contraire
- Le signal le plus fiable d'un prestataire de qualité est sa réponse à deux questions : teste-t-il les mises à jour sur un environnement de staging, et quand a-t-il testé une restauration de sauvegarde pour la dernière fois
Pourquoi la maintenance WordPress n'est pas optionnelle
Selon WordPress.org, WordPress fait tourner plus de 43 % de tous les sites sur le web. Cette domination en fait le CMS le plus ciblé par les attaquants. L'exposition ne vient pas du cœur de WordPress. Elle vient de l'écosystème de plugins et de thèmes qui l'entoure. Les failles de sécurité dans cet écosystème sont divulguées régulièrement, et la fenêtre entre une divulgation publique et une exploitation active se mesure en heures. La plupart des propriétaires de sites prennent des jours ou des semaines pour appliquer les mises à jour, et c'est dans cet écart que les incidents se produisent.
Un site compromis est généralement signalé par le système Google Safe Browsing en quelques heures à quelques jours. La récupération après un signalement Google Safe Browsing prend des jours, parfois des semaines. Les interruptions pendant une intrusion coûtent du chiffre d'affaires si votre site génère des leads ou vend en ligne. L'exposition de données entraîne une responsabilité juridique, en particulier pour les sites collectant des informations personnelles au titre du RGPD ou de réglementations équivalentes. Et reconstruire un site WordPress piraté de zéro coûte bien plus cher qu'une année de frais de maintenance. Les installations WordPress négligées sont la norme, pas l'exception.
Ce que couvre un bon contrat de maintenance WordPress
Un bon contrat de maintenance WordPress couvre les mises à jour du cœur, des plugins et des thèmes appliquées selon un calendrier défini, des sauvegardes quotidiennes hors site avec restauration testée, une surveillance de la disponibilité avec un protocole d'alerte, une analyse des malwares et de l'intégrité, une surveillance des performances, et un SLA de réponse au support défini. Les prestataires varient considérablement dans leur périmètre. Vérifiez toujours les éléments spécifiques par écrit avant de signer.
Voici ce que chaque élément devrait inclure en pratique :
Mises à jour du cœur, des plugins et des thèmes. Le cœur WordPress, tous les plugins installés et le thème actif doivent être mis à jour selon un calendrier défini, au minimum mensuellement, et immédiatement pour les correctifs de sécurité critiques. Les mises à jour doivent être appliquées dans un environnement de staging et testées avant d'aller en production.
Sauvegardes quotidiennes automatisées avec restauration vérifiée. Une sauvegarde qui n'a jamais été testée n'est pas une sauvegarde. C'est une supposition. Les sauvegardes doivent s'exécuter quotidiennement, être stockées hors site (pas sur le même serveur d'hébergement), et être testées pour une restauration réussie au moins trimestriellement.
Surveillance de la disponibilité. Le contrat doit préciser un intervalle de surveillance (toutes les une à cinq minutes est la norme) et définir un protocole de réponse en cas d'indisponibilité du site.
Analyse de sécurité. L'analyse régulière des malwares et de l'intégrité détecte le code injecté, les modifications de fichiers et les indicateurs de compromission connus avant qu'ils ne s'aggravent.
Surveillance des performances. Le temps de chargement des pages se dégrade à mesure que les plugins s'accumulent et que le contenu croît. Les performances de référence doivent être suivies et des alertes configurées lorsque les seuils sont dépassés.
SLA de temps de réponse au support. Le contrat doit définir ce que "support" signifie : quels types de demandes sont couverts, quel est l'engagement de temps de réponse pour différents niveaux de gravité, et ce qui est exclu.
Reporting mensuel ou trimestriel. Un prestataire de maintenance doit être en mesure de vous montrer ce qu'il a fait. Un bref résumé des mises à jour appliquées, de l'état des sauvegardes, de la disponibilité et des problèmes signalés est le minimum.
Ce que la plupart des contrats de maintenance omettent
Les mises à jour, les sauvegardes et la surveillance de la disponibilité sont le minimum. La plupart des prestataires les proposent. La différence se voit dans ce qu'ils font au-delà de cette base.
Un environnement de staging. Quand un prestataire applique les mises à jour de plugins directement sur votre site en production, il utilise votre environnement de production comme environnement de test. Un conflit de compatibilité entre deux plugins, ou entre un plugin et la version actuelle de PHP, cassera le site en production immédiatement. Un processus correct applique les mises à jour sur une copie de staging en premier, vérifie le résultat, et seulement ensuite pousse en production. Cette étape est ignorée par une grande partie des prestataires à bas coût parce qu'elle ajoute du temps à chaque cycle de mise à jour.
Maintenance de la base de données. WordPress accumule des données silencieusement : révisions d'articles, métadonnées orphelines, entrées de cache transitoires expirées. Sur des mois et des années, cela s'accumule. Les requêtes ralentissent, la génération des pages prend plus de temps, et la dégradation des performances est suffisamment progressive pour passer inaperçue jusqu'à ce que quelque chose la signale. Le nettoyage régulier de la base de données n'est pas un travail glamour, mais il fait partie de toute routine de maintenance sérieuse.
Documentation du déploiement. Si votre prestataire part, ou si vous devez déplacer le site, vous devriez pouvoir remettre à un nouveau développeur une image claire de la configuration du site, de ce à quoi ressemble le processus de déploiement, et de ce qui a été modifié et quand. La plupart des prestataires ne maintiennent pas ce registre. Quand il manque, les transitions deviennent des investigations coûteuses. Si vous devez trouver et briefer un nouveau prestataire, notre guide sur la préparation d'un projet web pour une agence couvre ce qu'il faut inclure.
Un audit de sécurité annuel. L'analyse automatisée détecte les signatures connues. Un audit détecte ce que les scanners manquent : des comptes utilisateurs avec des permissions excessives, des connexions administrateurs abandonnées qui n'ont jamais été révoquées, des configurations d'authentification obsolètes. Nous avons examiné des sites maintenus par des agences établies pendant deux ou trois ans où personne n'avait vérifié la table des utilisateurs. C'est une négligence courante, et aucun scanner de malwares ne la signalera.
Lors de l'examen d'un contrat, interrogez le prestataire spécifiquement sur chacun de ces quatre points. Les réponses en disent plus sur leur processus que n'importe quelle page de service.
Ce que ne couvre pas un contrat de maintenance WordPress
Aucun article de prestataire ne vous dira cette section honnêtement, parce qu'elle décrit ce pour quoi vous paierez en supplément. Comprendre ce qui est hors périmètre est aussi important que comprendre ce qui est inclus.
La plupart des contrats de maintenance WordPress standard excluent explicitement les éléments suivants :
Nouvelles fonctionnalités et travaux de développement. La maintenance couvre l'entretien de ce qui existe. Créer de nouvelles pages, ajouter des fonctionnalités ou intégrer des systèmes tiers est un travail de développement, facturé séparément, généralement au taux horaire ou au projet.
Frais de licence de plugins et thèmes tiers. De nombreux prestataires incluent les mises à jour de plugins dans leur périmètre mais facturent séparément le renouvellement annuel des licences de plugins premium : extensions WooCommerce, constructeurs de formulaires, outils SEO, page builders. Demandez toujours si les frais de renouvellement de licences sont inclus dans le contrat ou facturés séparément.
Suppression de malwares et gestion des incidents. Certains contrats incluent une analyse basique des malwares mais excluent la remédiation. Si votre site est compromis, le nettoyer peut déclencher une facture séparée. Demandez explicitement : « La suppression de malwares est-elle incluse dans le contrat, ou est-ce un service additionnel ? »
Modifications de contenu et rédaction. Mettre à jour des textes, publier des articles, remplacer des images et gérer les workflows éditoriaux sont des tâches de gestion de contenu, pas des tâches de maintenance. Certains prestataires proposent un petit quota d'heures pour les modifications mineures de contenu. Confirmez le périmètre par écrit.
Réponse d'urgence en dehors des heures ouvrables. Les SLA standard s'appliquent généralement pendant les heures ouvrables dans le fuseau horaire du prestataire. La réponse en dehors des heures ouvrables, la couverture du week-end et le support des jours fériés peuvent nécessiter un niveau premium ou entraîner des suppléments.
Problèmes causés par les actions du client. Si un membre de l'équipe installe un plugin incompatible, supprime accidentellement une table de base de données, ou applique des modifications directement en production, la remédiation n'est généralement pas couverte par les frais de maintenance standard.
Avant de signer, demandez au prestataire de fournir une liste d'exclusions écrite en complément du périmètre de travail.
Comment évaluer un prestataire de maintenance WordPress
Avant de signer un contrat, posez ces questions directement. Les réponses révèlent plus que n'importe quelle page de vente.
1. Utilisez-vous un environnement de staging avant d'appliquer les mises à jour ?
Un « oui » clair avec une explication du processus est un signal positif fort. Une réponse vague ou évasive ne l'est pas.
2. Où sont stockées les sauvegardes, et quand avez-vous testé une restauration pour la dernière fois ?
Le stockage hors site est indispensable. S'ils ne peuvent pas vous dire quand une restauration a été testée pour la dernière fois, ils ne l'ont pas testée.
3. Quel est votre SLA de temps de réponse pour les problèmes critiques ?
Obtenez cela par écrit. « Nous répondons rapidement » n'est pas une clause contractuelle. Quatre heures, huit heures, le prochain jour ouvrable : ce sont des clauses contractuelles.
4. Que contient votre rapport mensuel ?
Si la réponse est rien, ou un vague email de synthèse, c'est le signe d'un service passif, pas actif.
5. Réalisez-vous un audit de sécurité au début du contrat ?
Un prestataire qui prend en charge un nouveau client sans auditer l'installation existante accepte une responsabilité qu'il ne peut pas quantifier. Vous devriez vouloir qu'il comprenne ce qu'il hérite.
6. Qu'est-ce qui est explicitement hors périmètre ?
Les mises à jour de contenu, les nouvelles fonctionnalités, les intégrations tierces et les refontes majeures sont généralement exclues. Confirmez où se situe la limite avant d'en avoir besoin.
Si vous n'êtes pas certain que votre site WordPress est correctement maintenu, envoyez-nous l'URL du site et nous vous dirons en un email si votre configuration actuelle présente des lacunes évidentes. Pas d'appel, pas d'engagement.
Questions fréquentes
Que comprend la maintenance WordPress ?
Un bon contrat de maintenance WordPress couvre les mises à jour du cœur, des plugins et des thèmes appliquées selon un calendrier défini, des sauvegardes quotidiennes hors site avec tests de restauration périodiques, une surveillance de la disponibilité avec un protocole d'alerte, une analyse des malwares et de l'intégrité, une surveillance des performances, et un SLA de réponse au support. Le périmètre varie considérablement selon les prestataires. Lisez le contrat, pas la page de vente.
Que se passe-t-il si je ne maintiens pas mon site WordPress ?
Un site WordPress non maintenu accumule des failles non corrigées dans les plugins et les thèmes. Les divulgations de sécurité dans l'écosystème WordPress sont fréquentes, et les attaquants analysent les nouvelles failles divulguées dans les heures qui suivent leur publication. Un site non corrigé risque une compromission, un blocage par Google, une exposition de données, et des coûts de récupération qui dépassent largement ce que la prévention aurait coûté.
Ai-je besoin d'un contrat de support WordPress ?
Si votre site génère des leads ou des revenus, collecte des données personnelles d'utilisateurs, reçoit un trafic significatif, ou causerait une perturbation opérationnelle s'il tombait en panne, un contrat de support est justifié. Les sites vitrines sans fonction critique pour l'activité peuvent parfois être maintenus en interne, mais seulement si quelqu'un le fait réellement de façon régulière.
Que ne couvre PAS un contrat de maintenance WordPress ?
Les contrats standard ne couvrent pas les nouvelles fonctionnalités ou les travaux de développement au-delà d'un petit quota d'heures, les frais de licence de plugins tiers, la suppression de malwares au-delà d'une analyse basique, les modifications de contenu et la rédaction, la réponse d'urgence en dehors des heures ouvrables sauf mention dans le SLA, ni les problèmes causés par les actions côté client. Demandez toujours une liste d'exclusions écrite à tout prestataire avant de signer.
Quelle est la différence entre un plan de maintenance WordPress et un contrat à la retenue ?
Un plan de maintenance couvre un périmètre fixe de tâches récurrentes : mises à jour, sauvegardes, surveillance et support de base. Un contrat à la retenue est un arrangement plus large qui regroupe généralement la maintenance avec un bloc d'heures de développement réservées chaque mois. Les plans de maintenance sont plus simples et plus abordables. Les contrats à la retenue sont pertinents quand vous avez besoin de travaux d'évolution en parallèle de la maintenance. De nombreux prestataires utilisent les termes de façon interchangeable, donc la seule façon fiable de comprendre ce que vous achetez est de lire le périmètre complet du travail.
Un contrat ne vaut que ce qu'il précise
La plupart des sites WordPress ne sont pas mal maintenus par négligence. Ils sont mal maintenus parce qu'aucune des deux parties n'a défini ce que « maintenu » signifie concrètement. Un contrat clair protège les deux côtés. Il fixe les attentes, vous donne une base de référence pour évaluer le travail, et vous dit exactement ce qui se passera quand quelque chose tournera mal.
Si vous évaluez si WordPress reste la bonne plateforme pour les besoins actuels de votre organisation, notre guide pour choisir un CMS peut vous aider à cadrer cette décision.
Si vous souhaitez un regard indépendant sur votre configuration actuelle ou sur ce qu'un bon contrat devrait contenir pour votre site spécifique, notre service de conseil et d'advisory est conçu exactement pour cela. Et si vous cherchez une équipe pour gérer la maintenance WordPress directement, contactez-nous.