En 2025, 11 334 nouvelles vulnérabilités ont été découvertes dans l’écosystème WordPress. Soit une toutes les 46 minutes, en moyenne, sur toute l’année. Et la moitié de celles qui présentaient un risque élevé ont été exploitées dans les 24 heures suivant leur divulgation publique. Votre site tourne peut-être en ce moment avec une faille connue, sans correctif disponible. Souscrire un contrat de maintenance WordPress n’est pas une précaution abstraite : c’est souvent la seule chose qui s’intercale entre votre site et ce scénario.
⚡
L’essentiel en 30 secondes
Une hausse de +42% en un an, avec un délai médian d’exploitation de 5 heures : la mise à jour manuelle ne suit structurellement pas le rythme des attaques automatisées.
Les WAF et protections des hébergeurs filtrent le trafic générique, pas les exploits spécifiques à vos plugins installés.
Moins de la moitié des vulnérabilités publiées en 2025 avaient un patch au moment de leur divulgation. Mettre à jour ne suffit pas si le correctif n’existe pas encore.
Dès qu’un prestataire accède à votre base de données (formulaires, commandes), il devient sous-traitant au sens de l’article 28 du RGPD. Un contrat sans clause de sous-traitance vous met en défaut de conformité.
Ce qu’il se passe vraiment quand un site WordPress n’est pas maintenu
Prenons le cas de Sophie, propriétaire d’une boutique en ligne de prêt-à-porter. Elle a un prestataire, elle paie un forfait mensuel, elle se dit que ça tourne. Un vendredi à 18h40, le tunnel de paiement tombe. Erreur 500. Les commandes du week-end sont bloquées.
Elle appelle le prestataire. La réponse : « On regarde ça dès que possible, sans doute lundi. » Elle insiste : « Mais je paie une maintenance ! » Et là, la phrase qu’elle n’attendait pas : « Le forfait couvre les mises à jour et les sauvegardes. Le dépannage d’urgence en dehors des heures ouvrées, c’est en supplément. »
Le prestataire était dans son droit. Rien dans le contrat ne l’obligeait à intervenir un vendredi soir. Sophie avait signé une plaquette commerciale, pas un engagement.
Ce scénario n’est pas une exception. Il décrit exactement ce qui arrive quand on confond « avoir souscrit un service » et « avoir un contrat qui protège ». La différence, c’est ce qui est écrit noir sur blanc, avec des délais chiffrés et des pénalités en cas de non-respect.
Selon le rapport annuel Patchstack sur la sécurité WordPress 2026, le délai médian avant la première exploitation massive d’une vulnérabilité à fort impact est de 5 heures après sa divulgation publique. Et 46% des vulnérabilités recensées en 2025 n’avaient pas de correctif disponible au moment de leur publication. Ce n’est pas une question de vitesse de mise à jour manuelle : la fenêtre est trop courte pour agir manuellement dans la plupart des cas.
Pourquoi « mon hébergeur me protège » est une fausse sécurité
C’est l’argument qu’on entend souvent. « J’ai un hébergeur qui fait la sécurité, j’ai Cloudflare, ça devrait aller. » Les chiffres contredisent cette intuition.
🚨 Ce que les WAF ne font pas :
Lors de deux pentests distincts conduits en 2025, Patchstack a mesuré que les défenses traditionnelles des hébergeurs (WAF internes, Cloudflare) ne bloquent que 12 à 26% des attaques ciblant des vulnérabilités WordPress spécifiques. Le résultat varie selon la configuration de chaque hébergeur, mais la fourchette est claire : entre 74% et 88% des attaques passent quand même.
Un WAF est conçu pour filtrer le trafic générique suspect. Il n’est pas conçu pour connaître la faille précise d’un plugin installé sur votre site, ni pour l’anticiper avant que le correctif existe. C’est un filtre, pas un bouclier sur mesure.
Le piège contre-intuitif des plugins premium
Vous payez des thèmes et plugins premium en pensant qu’ils sont plus sûrs que les versions gratuites. C’est logique. Et c’est faux.
💡 À retenir sur les composants premium :
En 2025, 76% des vulnérabilités découvertes dans des composants premium (thèmes et plugins payants) étaient exploitables dans des attaques réelles. Et ces composants présentaient 3 fois plus de vulnérabilités activement exploitées que leurs équivalents gratuits. La raison : les chercheurs en sécurité ont moins accès au code des produits payants, donc les failles y restent non détectées plus longtemps.
Avoir un thème payant ou un constructeur de page premium n’est pas une raison de relâcher la surveillance. C’est souvent l’inverse : ces composants sont des cibles plus attractives précisément parce que beaucoup de sites les utilisent.
Ce qu’un vrai contrat de maintenance WordPress doit contenir
Un contrat de maintenance WordPress se juge à ses clauses, pas à sa plaquette. Voici ce qui doit y figurer, sans exception :
- Le périmètre avec ses exclusions, chiffrées. Un bon contrat liste autant ce qu’il couvre que ce qu’il ne couvre pas. Refonte, développement sur mesure, rattrapage d’un site déjà compromis avant la signature : souvent hors forfait, et c’est normal. Ce qui ne l’est pas, c’est de le découvrir sur la facture. Exigez des chiffres : combien d’heures incluses, combien de modifications de contenu par mois.
- Des mises à jour testées avant production, pas appliquées en automatique aveugle. La question à poser avant de signer : « Que se passe-t-il si une mise à jour casse mon site ? » La réponse doit être dans le contrat : test sur environnement de staging, vérification, puis déploiement avec possibilité de retour arrière. « Nous appliquons les mises à jour » sans plus de précision ne dit rien.
- Des sauvegardes externalisées avec rétention définie. Trois chiffres doivent apparaître : la fréquence (quotidienne pour un site marchand), la durée de rétention (30 jours minimum), et le délai de restauration. Des sauvegardes stockées sur le même serveur que le site ne protègent de presque rien — l’incendie du datacenter OVHcloud en 2021 a emporté des sites et leurs sauvegardes en même temps.
- Un délai garanti d’intervention (SLA) chiffré, avec pénalité. « Au plus vite » n’est pas un délai. « Sous 8 heures ouvrées, avec remise de 20% en cas de dépassement non justifié » est un engagement. Un délai sans conséquence en cas de non-respect n’engage personne.
- Une clause de réversibilité claire. Elle précise ce qui se passe le jour où vous partez : restitution des accès hébergeur, nom de domaine, compte administrateur WordPress, dernière sauvegarde complète, liste des licences. Sans délai fixé et sans frais supplémentaires. C’est la clause que personne ne lit jusqu’au jour où elle compte vraiment.
Souscrire un contrat de maintenance WordPress évite ce genre de mauvaise surprise, en assurant les mises à jour et les sauvegardes en continu.
La clause RGPD que personne ne lit (et qui vous met en défaut)
Votre prestataire de maintenance accède à l’administration de votre site. Il peut donc lire votre base de données : comptes clients, formulaires de contact, commandes WooCommerce. Il devient ainsi sous-traitant au sens du RGPD, et l’article 28 impose un contrat écrit listant précisément la nature des traitements, les mesures de sécurité et le sort des données en fin de contrat.
💡 RGPD et responsabilité :
Selon l’article 32 du RGPD, le responsable de traitement est tenu de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles. En clair : un site WordPress traitant des données de contact ou de vente et laissé sans maintenance engage votre responsabilité, pas seulement celle de votre prestataire. En cas de contrôle CNIL ou de fuite de données, vous répondez en premier.
Signal d’alarme concret : le mot « RGPD » n’apparaît nulle part dans le contrat qu’on vous propose. C’est une raison suffisante pour poser des questions avant de signer.
Outil SaaS ou vrai contrat de maintenance : la différence qui change tout
Le marché propose des solutions très différentes sous l’étiquette « maintenance WordPress ». Avant de comparer les prix, il faut comprendre ce qu’on compare.
| Niveau de service | Prix mensuel observé (FR, 2026) | Ce que ça ne fait pas |
|---|---|---|
| Outil SaaS seul (monitoring + sauvegardes automatisées) | 15 à 30 € | Aucun humain. Ne détecte pas les conflits d’extensions, ne teste pas après mise à jour, ne décroche pas le téléphone. |
| Forfait mutualisé (agence ou freelance, support partagé) | 29 à 170 € | Délai d’intervention souvent non garanti par écrit. Mises à jour parfois sans test préalable. |
| Contrat avec SLA garanti (heures dédiées, délais contractuels) | 590 à 2 990 € HT | Prix élevé. Justifié pour les sites critiques (e-commerce actif, trafic important). |
Ces fourchettes sont issues des grilles publiques de prestataires français et de relevés de marché 2026, pas d’une étude indépendante. Elles donnent un ordre de grandeur, pas une norme de marché. Ce qui compte, c’est de comprendre que l’écart de prix entre la première et la dernière ligne correspond à une seule variable : le temps humain réellement passé sur votre site.
Trois questions à poser avant de signer n’importe quelle offre
Avant de signer un contrat de maintenance WordPress, posez ces trois questions par écrit, et attendez des réponses chiffrées :
- Quel est votre délai garanti d’intervention, et quelle pénalité si vous ne le tenez pas ? Si la réponse est « au plus vite » ou « dans les meilleurs délais », il n’y a pas de délai. Un prestataire qui tient ses engagements les écrit.
- Où sont stockées les sauvegardes ? La bonne réponse est « sur un serveur séparé, chez un prestataire tiers ou dans un datacenter différent ». Si les sauvegardes sont sur le même serveur que le site, elles disparaîtront avec lui en cas d’incident grave.
- Que me restituez-vous si je pars ? Vous devez récupérer les accès hébergeur, le nom de domaine, le compte administrateur WordPress et la dernière sauvegarde complète — sans frais, dans un délai défini. Demandez-le en écriture avant de signer.
La qualité et la vitesse des réponses vous en apprennent plus sur un prestataire que n’importe quel avis client.
Un contrat de maintenance WordPress n’est pas une assurance qu’on espère ne jamais utiliser. C’est ce qui fait tourner le site pendant que son propriétaire s’occupe d’autre chose. La vraie question n’est pas de savoir si votre site en a besoin, mais de savoir si le contrat que vous avez (ou qu’on vous propose) est réellement un contrat ou juste une plaquette commerciale.
Posez les trois questions. Lisez les clauses sur le SLA, les sauvegardes et la réversibilité. Et si le mot « RGPD » n’apparaît nulle part dans le document qu’on vous tend, demandez pourquoi avant de signer.
Questions fréquentes
Un contrat de maintenance WordPress est-il obligatoire légalement ?
Aucun texte n’oblige un propriétaire de site à souscrire un contrat de maintenance. En revanche, le RGPD (article 32) impose des mesures techniques de sécurité dès lors que le site traite des données personnelles. Ne pas maintenir un site WordPress peut donc constituer un manquement légal, même sans obligation explicite de « contrat de maintenance ».
Les mises à jour automatiques de WordPress remplacent-elles un contrat de maintenance ?
Non. WordPress applique seul ses mises à jour mineures depuis la version 3.7, mais les plugins et thèmes restent sous votre responsabilité. Et surtout : 46% des vulnérabilités divulguées en 2025 n’avaient pas de correctif disponible au moment de leur publication. Le délai médian d’exploitation est de 5 heures. Les mises à jour automatiques ne protègent pas contre des failles sans correctif.
Que se passe-t-il si mon site est piraté pendant la durée du contrat ?
Ça dépend entièrement de ce que dit le contrat. La remédiation d’un piratage est souvent exclue des forfaits standards, surtout si le site était déjà compromis avant la signature. Un contrat sérieux précise ce qu’il couvre en cas d’incident de sécurité, les délais d’intervention, et ce qui sera facturé séparément. Vérifiez ce point avant de signer.
