Maintenance WordPress pour PME : ce que ça coûte vraiment (et ce que ça évite)

La maintenance d\'un site WordPress, pour beaucoup de patrons de PME, c\'est une ligne sur une facture dont ils ne savent pas exactement ce qu\'elle couvre. Et quand ils ont géré ca eux-mêmes ou confié ca à quelqu\'un en interne, c\'est souvent la même chose : on touche au site quand ca casse, pas avant.

Ce que je vois régulièrement en intervention : un site hors ligne depuis 3 jours parce que le domaine n\'a pas été renouvelé, des emails qui rebondissent depuis une semaine sans que personne ne s\'en soit rendu compte, ou un WordPress infecté depuis 6 mois dont le propriétaire ignorait tout. Dans les trois cas, le problème aurait coûté 20 euros par mois à éviter.

Voici ce que comprend vraiment une maintenance sérieuse, et pourquoi chaque poste compte.

1. L\'hebergement : pas juste un cout fixe

Le premier réflexe quand on crée un site, c\'est de chercher l\'hébergement le moins cher. 2 euros par mois, tout inclus, ca semble parfait. Jusqu\'au jour où le site met 8 secondes à charger, où le support répond en 72 heures, ou où une panne du serveur mutualisé emporte 200 sites en même temps, le vôtre compris.

Un hébergement adapté pour une PME coûte entre 10 et 50 euros par mois selon les besoins. Ce que ca couvre et que l\'hébergement low-cost ne couvre pas :

• PHP 8.2+ et HTTP/2 : sans ca, WordPress est plus lent et plus vulnérable. Beaucoup d\'hébergements d\'entrée de gamme tournent encore sous PHP 7.4, fin de vie depuis 2022.
• Sauvegardes quotidiennes automatiques : certains hébergeurs les incluent, d\'autres les facturent en option. A vérifier explicitement.
• Certificat SSL inclus : le cadenas HTTPS. Sans lui, Google affiche un avertissement de sécurité aux visiteurs et le site est pénalisé en référencement.
• Support réactif : quand le site tombe un dimanche soir, la différence entre un support en 1 heure et un support en 72 heures se mesure en chiffre d\'affaires perdu.

Les hébergeurs que je recommande pour les PME : o2switch (hébergement mutualisé robuste, support FR réactif, 7 euros par mois), Infomaniak (suisse, rigoureux, bonne délivrabilité email), PlanetHoster pour les sites avec plus de trafic. Éviter les hébergements mutualisés à 2 euros : on finit toujours par payer la différence en interventions. L\'hébergement influe aussi directement sur la vitesse du site, un point souvent sous-estimé que l\'on détaille dans notre guide sur l\'optimisation des performances WordPress.

2. Les emails professionnels : la bombe a retardement

C\'est le poste de maintenance le plus souvent négligé, et celui qui fait le plus de dégâts quand il explose.

Les emails professionnels sur votre domaine (contact@votreentreprise.fr, yohan@votreentreprise.fr) sont souvent hébergés chez le même prestataire que le site. Ce que ca signifie concrètement :

• Un problème d\'hébergement peut couper à la fois le site ET tous les emails de l\'entreprise.
• Un domaine expiré (voir section suivante) rend tous les emails inopérants immédiatement.
• Une mauvaise configuration DNS peut faire atterrir tous vos emails en spam chez vos clients, sans que vous le sachiez.

Ce qu\'une maintenance sérieuse surveille sur les emails :

• SPF, DKIM, DMARC : trois enregistrements DNS qui authentifient vos emails. Sans eux, vos messages ont de fortes chances d\'atterrir en spam. Leur configuration correcte est souvent absente sur les hébergements d\'entrée de gamme.
• Quotas de boites : une boite email pleine n\'accepte plus de nouveaux messages. L\'expéditeur reçoit un message d\'erreur, vous ne recevez rien. Ca arrive plus souvent qu\'on ne le croit, surtout sur les hébergements avec des limites basses.
• Délivrabilité : tester régulièrement qu\'un email envoyé depuis votre domaine arrive bien en boite de réception et non en spam chez Gmail, Outlook, Orange.

Si vos emails sont critiques pour votre activité (et ils le sont pour toute entreprise), envisagez de les séparer de l\'hébergement du site. Google Workspace (entre 6 et 12 euros par mois par utilisateur) ou Microsoft 365 offrent une fiabilité et une délivrabilité sans commune mesure avec un hébergement mutualisé basique.

3. Le nom de domaine : l\'oubli qui peut tout faire tomber

C\'est probablement le scénario catastrophe le plus fréquent que je rencontre : le nom de domaine expire, le site tombe, les emails s\'arrêtent, et personne ne comprend pourquoi pendant plusieurs heures.

Comment ca arrive : le domaine a été acheté avec une adresse email personnelle que le patron n\'utilise plus, ou les rappels de renouvellement arrivent dans les spams, ou la carte bancaire enregistrée chez le registrar a expiré. Le renouvellement automatique échoue silencieusement. Le domaine expire. Tout tombe.

Ce qu\'on fait en maintenance pour éviter ca :

• Renouveler le domaine pour 2 à 5 ans d\'avance (pas juste 1 an).
• S\'assurer que l\'adresse email de contact chez le registrar est active et surveillée.
• Activer le renouvellement automatique ET avoir une carte bancaire valide associée.
• Mettre un rappel calendrier 60 jours avant l\'expiration, indépendamment des emails automatiques.
• Vérifier également le renouvellement du certificat SSL (valable 1 an en général, renouvelé automatiquement chez les bons hébergeurs, mais pas tous).

Un domaine .fr coûte environ 8 euros par an. Perdre ce domaine parce qu\'il a expiré peut signifier le racheter à un tiers pour plusieurs centaines d\'euros, si quelqu\'un l\'a capturé entre-temps. Ca arrive.

4. La securite : le coeur de la maintenance

WordPress fait tourner 43% des sites web dans le monde. Ca en fait la cible numero un des attaques automatisées. Les robots qui scannent Internet à la recherche de sites vulnérables ne font pas de distinction entre un petit site de PME et un grand groupe : ils cherchent des failles connues dans des versions obsolètes de plugins, et ils les trouvent.

90% des sites WordPress piratés l\'ont été via un plugin non mis à jour, selon WPScan. Ce n\'est pas une faille exotique exploitée par des hackers sophistiqués : c\'est un exploit disponible publiquement, appliqué massivement et automatiquement.

Ce que comprend une maintenance sécurité sérieuse :

• Mises à jour dans les 48 à 72 heures : dès qu\'une mise à jour de sécurité est publiée pour un plugin, le délai avant exploitation de la faille se compte en heures. Attendre "le week-end prochain" n\'est pas une option.
• Sauvegardes quotidiennes hors site : la sauvegarde doit être stockée ailleurs que sur le serveur du site. Si le serveur est compromis, la sauvegarde sur le même serveur l\'est aussi. On utilise un stockage distant (cloud, serveur séparé).
• Surveillance des fichiers : détecter les modifications non autorisées dans les fichiers du site, signe d\'une intrusion ou d\'une infection.
• Blocage des tentatives de connexion : limiter les tentatives de connexion à l\'admin WordPress, bloquer les IP qui tentent des attaques par force brute. Sans ca, un site reçoit des centaines de tentatives par jour.
• Scan malware régulier : vérifier qu\'aucun code malveillant n\'a été injecté dans les fichiers ou la base de données.

On traite régulièrement des sites infectés. Ce qu\'on voit systématiquement : le piratage date de plusieurs semaines, parfois plusieurs mois, et le propriétaire ne s\'en était jamais rendu compte parce que le site "fonctionnait". En réalité, le site servait de relais de spam, injectait des redirections vers des sites malveillants pour les moteurs de recherche, ou minait des cryptomonnaies en arrière-plan. Pour plus de détails sur ce que faire quand c\'est déjà arrivé, voir notre guide sur les sites WordPress piratés.

5. Les rapports mensuels : rendre la maintenance visible

La maintenance est par nature invisible quand elle fonctionne bien. Le site tourne, les emails arrivent, rien ne casse. Le problème : sans reporting, le dirigeant ne sait pas ce qui a été fait, ce qui a changé, ce qui mérite attention. Il paie une ligne de facture sans savoir ce qu\'elle couvre.

Un rapport mensuel bien fait couvre deux dimensions :

Rapport securite

• Mises à jour effectuées ce mois (WordPress core, thème, plugins, avec numéros de version)
• Sauvegardes réalisées et vérifiées
• Evenements de sécurité détectés (tentatives de connexion bloquées, scans détectés)
• Résultat du scan malware mensuel
• Prochaines échéances : SSL, domaine, plugins en fin de vie

Rapport SEO et performance

• Evolution du trafic organique (impressions, clics, position moyenne via Google Search Console)
• Pages qui progressent ou régressent
• Nouvelles requêtes capturées
• Score de performance PageSpeed (Core Web Vitals)
• Erreurs d\'indexation détectées

Ce rapport transforme la maintenance en outil de pilotage. Le dirigeant voit ce qui se passe sur son site chaque mois, sans avoir à comprendre la technique. Il peut prendre des décisions informées : investir dans du contenu supplémentaire sur une page qui progresse, corriger une page qui décroche, anticiper une refonte avant que la dette technique devienne un problème.

6. La gestion en interne : ce qui se passe vraiment

Beaucoup de PME confient la gestion du site à quelqu\'un en interne : l\'assistante de direction, le comptable qui "s\'y connaît un peu en informatique", le fils du patron qui a fait une formation web. Ce n\'est pas une critique : c\'est souvent pragmatique au démarrage.

Ce que j\'observe dans ces configurations :

• Les mises à jour sont faites quand "on a le temps", c\'est-à-dire rarement.
• Les sauvegardes ne sont jamais testées. Quand on en a besoin, on découvre qu\'elles sont incomplètes ou corrompues.
• Le domaine et l\'hébergement sont enregistrés avec l\'adresse email personnelle d\'un salarié qui est parti depuis.
• Personne ne sait exactement où sont les identifiants d\'accès à l\'hébergeur, au registrar, à l\'admin WordPress.
• Quand la personne référente quitte l\'entreprise, tout ce savoir informel part avec elle.

Ce n\'est pas un problème de compétence : c\'est un problème de charge mentale. La maintenance technique d\'un site n\'est pas une tâche ponctuelle, c\'est une responsabilité continue. La confier à quelqu\'un dont ce n\'est pas le métier, c\'est s\'exposer aux angles morts que seul un expert voit.

Ce que ca coute vraiment

Un récapitulatif honnête des coûts, pour qu\'il n\'y ait pas de mauvaises surprises. A noter : au bout de 3 ans, les coûts cumulés de maintenance d\'un WordPress chargé (licences plugins, interventions, hébergement) dépassent souvent le coût d\'un site développé sur mesure, qui n\'a par définition aucun plugin à maintenir.

Poste	Budget mensuel	Note
Hebergement adapte	10 - 50 euros	o2switch, Infomaniak, PlanetHoster selon le trafic
Emails professionnels	6 - 12 euros par utilisateur	Google Workspace ou Microsoft 365 recommande
Nom de domaine	0,70 euros (8 euros/an)	Renouveler 2-5 ans d\'avance
Maintenance technique (mises a jour, sauvegardes, securite)	50 - 150 euros	Varie selon la complexite du site
Rapport mensuel SEO + securite	Inclus ou 30 - 50 euros	Selon le prestataire

Total : entre 70 et 260 euros par mois pour un site correctement maintenu. A mettre en regard du coût d\'une intervention d\'urgence sur un site piraté (500 à 3000 euros), ou d\'une journée sans site et sans emails pour une PME dont les clients passent par ces canaux.

Comment choisir son prestataire de maintenance WordPress

Quelques critères concrets pour évaluer une offre de maintenance :

• Un rapport mensuel est-il inclus ? Si le prestataire ne peut pas vous montrer ce qu\'il a fait chaque mois, c\'est une boite noire.
• Où sont stockées les sauvegardes ? Si la réponse est "sur le même serveur que le site", ce n\'est pas une vraie sauvegarde.
• Quel est le délai d\'intervention en cas d\'urgence ? Un site hors ligne le samedi soir mérite une réponse le samedi soir, pas le lundi matin.
• Le contrat couvre-t-il les emails et le domaine ? Beaucoup de contrats de maintenance ne couvrent que WordPress, pas l\'infrastructure autour.
• Y a-t-il un environnement de staging ? Les mises à jour doivent être testées avant d\'être appliquées en production. Sans staging, chaque mise à jour est un risque.

Si vous souhaitez faire un bilan de votre situation actuelle, un audit WordPress en 7 points donne une première lecture rapide, et un audit complet identifie en 2 à 3 heures les points de fragilite de votre site et de votre infrastructure : hébergement, emails, domaine, sécurité, performances.

Questions fréquentes

Combien coûte la maintenance d\'un site WordPress pour une PME ?

Entre 70 et 260 euros par mois selon le périmètre : hébergement adapté (10 à 50 euros), emails professionnels (6 à 12 euros par utilisateur), maintenance technique avec sauvegardes et sécurité (50 à 150 euros), rapport mensuel inclus ou en option. Une intervention d\'urgence après piratage coûte entre 500 et 3000 euros.

Que se passe-t-il si on ne renouvelle pas son nom de domaine ?

Le site tombe immédiatement et tous les emails associés cessent de fonctionner. Après une période de grâce de 30 à 45 jours, le domaine peut être capturé par un tiers. La récupération est possible mais coûteuse. Le cas le plus fréquent : les rappels de renouvellement arrivent sur une ancienne adresse email que personne ne surveille plus.

Les emails professionnels font-ils partie de la maintenance WordPress ?

Ils devraient. Les emails sur domaine propre sont souvent liés au même hébergement que le site. Un problème d\'hébergement ou un domaine expiré peut couper à la fois le site et tous les emails. Une maintenance sérieuse surveille aussi SPF, DKIM, DMARC et les quotas de boites.

A quelle fréquence doit-on faire les mises à jour WordPress ?

Les mises à jour de sécurité doivent être appliquées dans les 48 à 72 heures. 90% des sites WordPress piratés l\'ont été via un plugin dont la faille était connue et corrigée depuis plusieurs semaines. Attendre "quand on a le temps" n\'est pas une stratégie viable.

A quoi sert un rapport mensuel de maintenance WordPress ?

Il documente les mises à jour effectuées, les sauvegardes réalisées, les événements de sécurité, et l\'évolution du trafic et des positions SEO. Il transforme une maintenance invisible en outil de pilotage visible pour le dirigeant.