Maintenance WordPress : coûts et guide complet
Maintenance WordPress : mises à jour, sécurité, plugins, sauvegardes — le guide complet. Ce que ça coûte, ce que ça implique, et pourquoi j'ai arrêté WordPress.
Développeur web & SEO
WordPress fait tourner une part énorme du web. C'est un outil puissant, accessible, et avec un écosystème gigantesque. Mais il y a un sujet que beaucoup de créateurs de sites WordPress minimisent au moment de la vente : la maintenance.
J'ai travaillé avec WordPress pendant des années avant de passer à d'autres technologies. Dans cet article, je partage ce que la maintenance WordPress implique concrètement — le bon, le compliqué, et le vrai coût sur le long terme.
Pour la maintenance de sites web en général (pas spécifiquement WordPress), consultez mon guide complet de la maintenance site internet.
Ce que la maintenance WordPress implique
Les mises à jour — le cœur du problème
WordPress est composé de trois couches qui doivent chacune être maintenues à jour :
Le cœur WordPress : WordPress sort des mises à jour régulières — mineures (corrections de bugs) et majeures (nouvelles fonctionnalités). Les mises à jour mineures peuvent être automatisées, mais les majeures nécessitent une vérification manuelle. Une mise à jour majeure peut casser un thème ou un plugin qui n'est pas compatible.
Le thème : votre thème reçoit aussi des mises à jour. Si vous utilisez un thème premium (Divi, Avada, Elementor...), ces mises à jour sont fréquentes. Le problème : si vous avez modifié le thème directement (sans child theme), vos modifications sont écrasées à chaque mise à jour.
Les plugins : c'est là que ça se complique vraiment. Un site WordPress typique utilise 15 à 30 plugins. Chaque plugin a son propre cycle de mises à jour. Et chaque mise à jour peut potentiellement entrer en conflit avec un autre plugin ou avec WordPress lui-même.
J'ai vu des sites casser après la mise à jour d'un seul plugin. Le formulaire de contact qui ne fonctionne plus, le slider qui disparaît, la page d'accueil qui affiche une erreur blanche. Le client ne comprend pas ce qui s'est passé — il a juste cliqué sur "Mettre à jour".
La sécurité — un combat permanent
WordPress est la cible n°1 des attaques automatisées, précisément parce qu'il est si répandu. Les bots scannent en permanence les sites WordPress à la recherche de failles connues.
Ce qu'il faut faire :
- Mettre à jour WordPress, les thèmes et les plugins dès qu'un correctif de sécurité sort
- Installer un plugin de sécurité (Wordfence, Sucuri, iThemes Security)
- Configurer un pare-feu applicatif (WAF)
- Limiter les tentatives de connexion
- Changer le préfixe de la base de données (par défaut
wp_) - Désactiver l'édition de fichiers depuis l'admin
- Supprimer les thèmes et plugins inutilisés
J'ai récupéré des sites WordPress piratés où du code malveillant avait été injecté dans la base de données — invisible depuis l'interface d'administration. Le nettoyage a pris plus de temps que la maintenance d'un an aurait coûté.
Les sauvegardes — votre assurance vie
Une sauvegarde WordPress ne se limite pas à copier les fichiers. Il faut sauvegarder :
- La base de données MySQL (contenu, paramètres, utilisateurs)
- Les fichiers du site (thème, plugins, uploads)
- La configuration (wp-config.php, .htaccess)
Et surtout : tester régulièrement la restauration. Une sauvegarde qu'on n'a jamais testée ne vaut rien.
Les solutions courantes : UpdraftPlus, BackupBuddy, ou la sauvegarde automatique de l'hébergeur. Je recommande de ne pas dépendre uniquement de l'hébergeur — ayez toujours une copie externe.
La base de données — le nettoyage oublié
WordPress stocke tout en base de données : chaque révision d'article (par défaut, WordPress garde toutes les révisions, sans limite), chaque option de plugin, chaque entrée de formulaire, les commentaires spam, les transients expirés.
Sans nettoyage régulier, la base enfle et le site ralentit. Des plugins comme WP-Optimize ou Advanced Database Cleaner automatisent ce nettoyage, mais c'est une tâche de maintenance supplémentaire à ne pas oublier.
La compatibilité PHP
L'hébergeur met à jour la version de PHP disponible. WordPress et ses plugins doivent être compatibles avec cette version. Quand une ancienne version de PHP arrive en fin de vie, il faut migrer — et certains vieux plugins ne suivent pas.
J'ai vu des sites WordPress bloqués sur PHP 7.2 parce que le thème n'était pas compatible avec PHP 8. Résultat : impossible de bénéficier des améliorations de performance et de sécurité des versions récentes.
Combien coûte la maintenance WordPress ?
Si vous le faites vous-même
| Tâche | Fréquence | Temps estimé |
|---|---|---|
| Mises à jour WordPress + thème | Mensuelle | 30 min |
| Mises à jour plugins (15-30) | Bimensuelle | 1h (avec tests) |
| Sauvegarde + test de restauration | Mensuelle | 30 min |
| Nettoyage base de données | Trimestrielle | 15 min |
| Vérification sécurité + logs | Mensuelle | 30 min |
| Test formulaires + fonctionnalités | Mensuelle | 30 min |
| Total | 3-4h/mois |
C'est faisable si vous êtes à l'aise avec la technique. Le risque : oublier un mois, puis deux, et se retrouver avec 6 mois de retard et des mises à jour en cascade qui cassent tout.
Avec un prestataire
| Type de forfait | Tarif mensuel | Inclus |
|---|---|---|
| Maintenance basique | 50 € — 100 €/mois | Mises à jour, sauvegardes, monitoring |
| Maintenance complète | 100 € — 200 €/mois | Basique + sécurité, optimisation, petites corrections |
| Contrat maintenance + évolutions | 200 € — 400 €/mois | Complète + modifications de contenu, ajouts de fonctionnalités |
Le coût caché : les plugins premium
Beaucoup de sites WordPress dépendent de plugins premium (Elementor Pro, WPBakery, WPML, Gravity Forms...). Ces plugins ont des licences annuelles — souvent entre 50 € et 200 € par plugin et par an.
Un site avec 5 plugins premium, c'est facilement 300 € — 500 €/an juste en licences, avant le coût de la maintenance elle-même.
| Poste | Coût annuel |
|---|---|
| Hébergement | 60 € — 120 € |
| Licences plugins premium (5) | 300 € — 500 € |
| Maintenance prestataire | 600 € — 2 400 € |
| Total | 960 € — 3 020 €/an |
Les erreurs que je vois le plus souvent
Tout mettre à jour d'un coup sans tester
Le client clique sur "Tout mettre à jour" dans le tableau de bord. WordPress, le thème, et 25 plugins se mettent à jour simultanément. Si quelque chose casse, impossible de savoir quel élément est responsable.
La bonne pratique : mettre à jour un élément à la fois, tester entre chaque mise à jour, et avoir une sauvegarde fraîche avant de commencer.
Ignorer les plugins inutilisés
Un plugin désactivé mais toujours installé est un risque de sécurité. Son code est toujours sur le serveur et peut contenir des failles exploitables. Si vous ne l'utilisez pas, supprimez-le.
Faire confiance aux mises à jour automatiques
WordPress peut automatiser les mises à jour mineures, et certains hébergeurs proposent des mises à jour automatiques pour les plugins. C'est pratique, mais ça peut casser le site sans prévenir. Je recommande de garder un contrôle manuel sur les mises à jour majeures.
Ne pas avoir d'environnement de test
Idéalement, chaque mise à jour devrait être testée sur un environnement de staging avant d'être appliquée en production. Beaucoup de sites WordPress n'en ont pas — les mises à jour sont faites directement sur le site en ligne. C'est jouer avec le feu.
Pourquoi j'ai arrêté de travailler avec WordPress
Je vais être direct : je ne propose plus WordPress à mes clients. Non pas parce que c'est un mauvais outil — c'est un des CMS les plus complets du marché. Mais parce que le ratio maintenance/valeur n'est plus justifiable pour les projets que je réalise.
Le temps passé en maintenance : 3-4 heures par mois et par site, c'est du temps que je préfère investir dans le développement de fonctionnalités et l'optimisation du SEO de mes clients.
Les conflits de plugins : c'est imprévisible. Un site qui fonctionnait parfaitement peut casser du jour au lendemain à cause d'une mise à jour incompatible. Je préfère un environnement contrôlé.
La sécurité : la surface d'attaque d'un site WordPress avec 20 plugins est considérable. Un site codé sur mesure n'expose pas de panneau d'administration au monde entier.
Le client qui casse son site : en modifiant un réglage, en installant un plugin incompatible, en touchant au constructeur de pages. C'est arrivé suffisamment de fois pour que je cherche une meilleure solution.
Ce que je propose à la place
Aujourd'hui, je construis les sites de mes clients avec un CMS headless — Sanity pour le contenu, Next.js pour le site. Le client modifie son contenu via Sanity sans aucun risque de casser le design ou le code.
La maintenance d'un site codé sur mesure ? 30 minutes à 1 heure par mois. Pas de plugins à mettre à jour, pas de base MySQL à nettoyer, pas de conflits imprévisibles. Les dépendances sont choisies avec soin et mises à jour de manière contrôlée.
Si vous voulez comprendre la différence en détail, j'ai écrit un comparatif dans mon article sur la maintenance de site internet.
Ce n'est pas un réquisitoire contre WordPress. Si votre site WordPress fonctionne bien et que vous avez un bon prestataire de maintenance, gardez-le. Mais si la maintenance vous coûte plus de temps et d'argent que ce qu'elle vous apporte, il est peut-être temps de considérer une refonte.
Checklist maintenance WordPress mensuelle
Si vous restez sur WordPress, voici la checklist que je recommande :
- Sauvegarder le site complet (fichiers + base de données)
- Mettre à jour WordPress (cœur)
- Mettre à jour le thème
- Mettre à jour les plugins un par un, tester entre chaque
- Vérifier les logs de sécurité
- Supprimer les plugins et thèmes inutilisés
- Nettoyer la base de données (révisions, spam, transients)
- Tester les formulaires de contact
- Vérifier la vitesse de chargement
- Vérifier la Search Console pour les erreurs
Questions fréquentes
Combien de temps prend la maintenance WordPress par mois ?
Comptez 3 à 4 heures par mois pour un site avec 15-30 plugins. Cela inclut les mises à jour, les sauvegardes, les tests de sécurité et le nettoyage de la base de données. Un site simple avec peu de plugins peut se maintenir en 1-2 heures.
Faut-il un contrat de maintenance WordPress ?
Si votre site est un outil business (il génère des leads ou des ventes), oui. Un contrat de maintenance garantit un suivi régulier et une réactivité en cas de problème. Le coût est largement inférieur à celui d'un piratage ou d'une panne non anticipée.
WordPress se met-il à jour tout seul ?
Les mises à jour mineures (correctifs de sécurité) peuvent être automatisées. Les mises à jour majeures nécessitent une vérification manuelle. Pour les plugins et le thème, je recommande de garder le contrôle plutôt que d'automatiser — le risque de casse est trop élevé.
Que faire si mon site WordPress a été piraté ?
D'abord, mettez le site en maintenance. Ensuite, restaurez une sauvegarde propre si vous en avez une. Si ce n'est pas le cas, un nettoyage manuel est nécessaire — c'est un travail technique qui peut prendre plusieurs heures. Dans tous les cas, changez tous les mots de passe et mettez tout à jour après la remise en service.
Peut-on migrer un site WordPress vers une autre technologie ?
Oui. C'est exactement ce que j'ai fait pour Camille Services — migration de 400+ pages WordPress vers un site codé sur mesure. Le contenu est migré, les URLs sont redirigées en 301, et le référencement est préservé.
Votre site WordPress vous coûte plus en maintenance qu'il ne vous rapporte ? Il est peut-être temps de considérer une alternative. Parlons-en — je commence par un audit de votre site actuel.