Maintenance WordPress — Que doit contenir un vrai contrat de maintenance ?
MaintenanceWordPressPME

Maintenance WordPress
Que doit contenir un vrai contrat de maintenance ?

Un contrat de maintenance WordPress ne devrait pas se limiter à faire les mises à jour. Il doit préciser le périmètre, les sauvegardes, les tests, la sécurité, les délais d’intervention, les responsabilités, les accès, le reporting et les limites de prise en charge.

⏱ Lecture ≈ 11 minGuide dirigeant PMEJuillet 2026

Étude informative : les règles, sources et pratiques citées peuvent évoluer et doivent être vérifiées avant toute décision.

L’essentiel en 2 minutes

Un contrat utile dit clairement ce qui est maintenu, testé, surveillé et exclu

Un vrai contrat de maintenance WordPress doit répondre à une question simple : que se passe-t-il quand le site doit être mis à jour, surveillé, restauré ou réparé ?

Beaucoup de contrats se contentent de formules vagues : “maintenance du site”, “mises à jour incluses”, “sécurité”, “support technique”. Pour une PME, ces formulations sont insuffisantes. Elles ne disent pas ce qui est réellement fait, à quelle fréquence, avec quelles sauvegardes, dans quels délais, par qui, ni avec quelles limites.

Le point critique est de ne pas confondre maintenance préventive, maintenance corrective, maintenance sécurité, maintenance évolutive et infogérance d’hébergement. Un contrat peut inclure certaines de ces dimensions, mais rarement toutes sans limites.

Le bon objectif n’est pas d’obtenir une promesse de “tout compris”, mais un document qui clarifie le périmètre, les exclusions, les accès, les sauvegardes, les délais, les responsabilités, les licences, la sortie de contrat et les obligations RGPD lorsque le prestataire accède à des données personnelles.

Introduction

“Maintenance WordPress” : une expression trop vague

Pour un dirigeant de PME, la maintenance WordPress ressemble souvent à une ligne de facture mensuelle. Tant que le site fonctionne, le sujet paraît secondaire. Mais dès qu’un formulaire ne part plus, qu’une mise à jour casse la mise en page, qu’un plugin devient vulnérable ou qu’un site est infecté, la question revient immédiatement : que comprend exactement notre contrat ?

C’est là que les malentendus apparaissent. Le client pense parfois que le prestataire “s’occupe de tout”. Le prestataire, lui, considère souvent que son contrat couvre les mises à jour de base et une surveillance limitée. Entre les deux, il peut manquer des éléments essentiels : restauration, nettoyage après piratage, correction WooCommerce, problème d’email, intervention hors horaires, conflit entre plugins, optimisation de performance, support Elementor, gestion DNS ou assistance hébergeur.

Un bon contrat de maintenance n’a pas pour but de tout promettre. Il sert à clarifier le périmètre, les responsabilités et les délais. Il doit permettre à l’entreprise de savoir ce qui est inclus, ce qui ne l’est pas, ce qui relève d’une intervention exceptionnelle, et ce qui doit être traité par un autre prestataire.

Clarifier

Les quatre familles de maintenance à distinguer

Toutes les maintenances ne couvrent pas le même besoin. Le contrat doit dire clairement de quoi il parle.

Type de maintenanceObjectifExemples
Maintenance préventiveÉviter les problèmesMises à jour, sauvegardes, contrôles réguliers, surveillance.
Maintenance correctiveCorriger un dysfonctionnementBug formulaire, erreur PHP, conflit plugin, page cassée.
Maintenance sécuritéRéduire les risques et réagir aux alertesCorrectifs de sécurité, durcissement, analyse malware, gestion des accès.
Maintenance évolutiveFaire évoluer le siteNouvelle page, nouveau bloc, fonctionnalité, optimisation UX.
Point de vigilanceUne maintenance préventive peut inclure les mises à jour, mais pas forcément la correction complète d’un conflit complexe. Une maintenance sécurité peut inclure la surveillance, mais pas nécessairement le nettoyage d’un site déjà compromis avant le contrat.
Périmètre

Le périmètre technique : ce qui doit être listé

Un contrat sérieux doit commencer par une cartographie du site. Cette cartographie évite une situation fréquente : un incident survient sur un élément que personne ne pensait être “dans le contrat”.

Visuel de contenu à créer : image-maintenance-wordpress-contrat-perimetre.webpSchéma recommandé : cartographie simple du périmètre WordPress, hébergement, DNS, sauvegardes, sécurité, WooCommerce et outils tiers.
ÉlémentÀ préciser dans le contrat
WordPress coreVersion suivie, mises à jour mineures/majeures, stratégie de test.
Thème actifThème parent, thème enfant, constructeur utilisé, personnalisations.
ExtensionsListe des plugins critiques, plugins premium, licences, extensions abandonnées.
WooCommerceCommandes, paiement, emails, compatibilités, tests spécifiques.
Elementor ou builderModèles, CSS générés, widgets, dépendances.
HébergementInclus ou non, accès serveur, PHP, base de données, logs.
Domaine / DNSInclus ou exclu, accès registrar, Cloudflare éventuel.
Emails transactionnelsSMTP, formulaires, WooCommerce, délivrabilité minimale.
SauvegardesFréquence, rétention, stockage, test de restauration.
SécuritéSurveillance, scans, alertes, durcissement, logs.
PerformanceCache, poids des pages, images, erreurs, Core Web Vitals éventuels.
Mises à jour

Les mises à jour : nécessaires, mais jamais automatiques à l’aveugle

La maintenance WordPress est souvent réduite aux mises à jour. C’est une erreur. Mettre à jour est indispensable, mais une mise à jour peut créer un conflit : extension incompatible, thème non maintenu, version PHP trop ancienne, changement WooCommerce, widget Elementor modifié, conflit JavaScript, panier cassé.

WordPress recommande de sauvegarder le site avant une mise à niveau, et sa documentation rappelle qu’un site WordPress typique nécessite à la fois les fichiers et la base de données pour être restauré correctement.

Préproduction / staging

Un site de préproduction, ou staging, est une copie du site utilisée pour tester les mises à jour avant de les appliquer sur le site public. Pour un site simple, ce n’est pas toujours indispensable. Pour un WooCommerce, un site Elementor complexe ou un site à fort enjeu commercial, c’est souvent une sécurité importante.

SujetQuestion à clarifier
FréquenceMises à jour hebdomadaires, mensuelles, urgentes ?
TypologieCore WordPress, thèmes, plugins, extensions premium ?
SécuritéCorrectifs urgents traités plus vite que les mises à jour fonctionnelles ?
Test avant mise à jourPréproduction, sauvegarde, contrôle visuel, test critique ?
Retour arrièreQui restaure si la mise à jour casse le site ?
Extensions abandonnéesQui alerte et propose une alternative ?
WooCommerceTest du panier, du paiement et des emails de commande ?
ElementorVérification des modèles et pages clés ?
Sauvegardes

Le contrat doit aller au-delà de “sauvegarde incluse”

Une ligne “sauvegarde incluse” ne suffit pas. Le contrat doit préciser ce qui est sauvegardé, où, combien de temps, avec quel niveau d’isolation, et quand la restauration a été testée.

QuestionPourquoi c’est important
Que sauvegarde-t-on ?Fichiers, base, médias, configuration, tables plugins.
À quelle fréquence ?Le besoin diffère entre site vitrine et e-commerce.
Où sont stockées les copies ?Même serveur, espace distant, coffre isolé.
Combien de versions sont conservées ?Revenir avant une attaque ancienne peut être nécessaire.
Qui peut restaurer ?Éviter la dépendance à une seule personne.
Quand la restauration a-t-elle été testée ?Une sauvegarde non testée reste théorique.
Quel délai de restauration est prévu ?Continuité commerciale et urgence client.
Que se passe-t-il après piratage ?Restaurer sans diagnostic peut réinstaller la faille.
Sécurité

Surveillance, prévention et limites

Un contrat de maintenance ne transforme pas un site vulnérable en forteresse. Il doit en revanche prévoir un socle de sécurité raisonnable : accès, scans, alertes, corrections, durcissement et limites de prise en charge.

MesureÀ préciser
Comptes administrateursNombre, personnes autorisées, suppression des anciens accès.
Authentification forte2FA pour les comptes sensibles.
Mots de passePolitique, renouvellement après incident.
Extensions vulnérablesVeille, alerte, correction ou remplacement.
Scan de sécuritéFréquence, outil, périmètre.
LogsConservation, consultation, limites hébergeur.
Fichiers sensiblesDroits, désactivation de l’édition de fichiers, protection des uploads.
Pare-feu applicatifInclus ou non, plugin ou solution externe.
Nettoyage malwareInclus, exclu ou facturé à part.
Durcissement serveurInclus seulement si l’hébergement est dans le périmètre.
Ne pas confondre surveillance et garantie absolueLa documentation WordPress sur le durcissement couvre plusieurs familles de mesures — serveur, base, permissions, configuration, plugins, thèmes, accès — mais aucune mesure isolée ne suffit. Le contrat doit dire ce qui est réellement fait et ce qui reste hors périmètre.
Délais

Ce qu’il faut écrire noir sur blanc

Le contrat doit distinguer délai de prise en compte et délai de résolution. Un prestataire peut s’engager à prendre en charge une demande sous quatre heures ouvrées, sans pouvoir garantir que le problème sera résolu dans ce délai.

NiveauExempleEngagement possible
CritiqueSite indisponible, paiement impossible, piratage visible.Prise en compte prioritaire.
ImportantFormulaire cassé, erreur sur page clé, email transactionnel bloqué.Traitement sous délai contractuel.
StandardCorrection mineure, ajustement visuel, question technique.Traitement planifié.
ÉvolutifNouvelle fonctionnalité, nouvelle page, refonte partielle.Devis ou forfait séparé.

Les horaires doivent être explicites : jours ouvrés, heures ouvrées, astreinte, week-end, jours fériés. Sans astreinte écrite, il ne faut pas supposer qu’une intervention urgente le dimanche soir est incluse.

Exclusions

Ce qui est souvent exclu, mais rarement compris

Un bon contrat doit aussi dire ce qui n’est pas inclus. Ces exclusions ne sont pas négatives : elles évitent les malentendus et permettent de chiffrer correctement les interventions exceptionnelles.

Sujet souvent excluPourquoi
Refonte graphiqueRelève d’un projet distinct.
Développement sur mesureDemande cadrage, test et recette.
Ajout de fonctionnalitésImpact technique et maintenance future.
Nettoyage d’un site déjà infectéIntervention de crise, souvent hors forfait.
Correction d’un plugin tiers abandonnéLe prestataire ne contrôle pas son code.
Hébergement externeLimites d’accès et de responsabilité.
Problèmes DNS ou domaineParfois gérés par un autre acteur.
Délivrabilité emailDépend de DNS, SMTP, réputation et outils tiers.
SEO éditorialDifférent de la maintenance technique.
Conformité RGPD complèteSujet juridique, organisationnel et technique.
Accès et propriété

Un point stratégique pour l’entreprise

La maintenance WordPress touche à des accès sensibles. L’entreprise doit savoir qui possède quoi. Le prestataire peut gérer techniquement, mais l’entreprise doit conserver la maîtrise de ses actifs essentiels : domaine, hébergement, sauvegardes, comptes stratégiques et licences dont elle dépend.

AccèsQuestion à poser
WordPress administrateurL’entreprise a-t-elle un compte administrateur propre ?
HébergementL’entreprise peut-elle ouvrir un ticket ou restaurer ?
Nom de domaineLe domaine est-il bien au nom de l’entreprise ?
DNSQui peut modifier les entrées critiques ?
Licences premiumAppartiennent-elles au client ou au prestataire ?
SauvegardesL’entreprise peut-elle en obtenir une copie ?
Analytics / Search ConsoleQui en est propriétaire ?
SMTP / emailingQui détient les accès ?

Licences agence ou développeur

Beaucoup de prestataires utilisent des licences “agence”, “développeur” ou multisites pour Elementor Pro, des plugins de sécurité, de sauvegarde, de SEO ou de formulaires. Ce modèle peut être normal, mais il doit être clair. Si la licence appartient au prestataire, le client doit savoir ce qui se passe à la fin du contrat : maintien temporaire, transfert vers une licence client, remplacement de l’outil, ou perte des mises à jour premium.

RGPD

Prestataire, sous-traitance et accord de traitement des données

Un prestataire qui maintient un site peut accéder à des données personnelles : formulaires de contact, comptes utilisateurs, commandes WooCommerce, logs, adresses email, demandes de devis ou exports.

Article 28 du RGPDDès lors qu’un prestataire de maintenance accède à des données personnelles, il agit généralement comme sous-traitant au sens du RGPD. L’article 28 impose alors un contrat écrit entre l’entreprise et le prestataire, souvent appelé accord de traitement des données ou DPA. Ce n’est pas une simple bonne pratique : c’est une obligation légale.

Ce contrat écrit doit préciser notamment l’objet, la durée, la nature des traitements, les catégories de données, les obligations de confidentialité, les mesures de sécurité, l’assistance, les sous-traitants ultérieurs et le sort des données en fin de contrat. Pour une PME, il ne s’agit pas de transformer le contrat de maintenance en traité juridique illisible, mais les accès aux données et les responsabilités doivent être cadrés.

Pilotage

Reporting : la preuve que la maintenance existe

Une maintenance invisible peut être réelle. Mais pour un dirigeant, elle doit être compréhensible. Le reporting permet de répondre à trois questions : qu’a-t-on fait ? qu’a-t-on détecté ? que faut-il décider ?

ÉlémentExemple
Mises à jour réaliséesWordPress, thème, plugins.
SauvegardesDate, statut, rétention, incident éventuel.
SécuritéAlertes, comptes suspects, vulnérabilités traitées.
DisponibilitéIncidents constatés, temps d’arrêt.
PerformanceAnomalies, cache, erreurs récurrentes.
Actions correctivesBugs corrigés, interventions.
Points de vigilancePlugin à remplacer, PHP à migrer, licence expirée.
RecommandationsActions à prévoir, risques à arbitrer.
Hébergement

Maintenance WordPress et hébergement : deux périmètres à ne pas confondre

La maintenance WordPress porte sur le site. L’hébergement porte sur l’environnement qui permet au site de fonctionner : serveur, PHP, base de données, espace disque, sauvegardes serveur, certificats SSL, logs, sécurité système, disponibilité. Parfois, le même prestataire gère les deux. Parfois non.

SujetMaintenance WordPressHébergement / infogérance
Mises à jour pluginsOuiNon, sauf contrat global.
Version PHPSuivi et alerteModification serveur.
Espace disqueAlerte éventuelleGestion serveur.
Sauvegarde fichiers/baseSelon contratSelon offre hébergement.
Pare-feu serveurRarementOui si infogérance.
Logs serveurConsultation limitéeAccès complet.
Certificat SSLParfoisSouvent hébergement.
Sécurité OSNonOui si serveur managé.
WooCommerce

Un niveau de maintenance plus exigeant

Un site WooCommerce n’est pas un simple site vitrine. Il porte des commandes, des paiements, des clients, des stocks, des emails transactionnels et parfois des obligations comptables. Sans tests spécifiques, une mise à jour peut sembler réussie alors que le site ne vend plus correctement.

Élément WooCommerceTest attendu
PanierAjout, suppression, modification quantité.
Tunnel de commandeValidation complète jusqu’au paiement test.
PaiementStripe, PayPal, banque, 3DS éventuel.
EmailsCommande client, notification admin, facture.
StocksDécrémentation, rupture, variation.
Comptes clientsCréation, connexion, mot de passe oublié.
Taxes / livraisonRègles principales vérifiées.
Extensions WooCommerceAbonnements, factures, transporteurs, exports.
Erreurs fréquentes

Les zones grises qui créent les litiges

ErreurConséquence
“Mises à jour incluses” sans détailImpossible de savoir ce qui est réellement couvert.
Aucun test après mise à jourBug détecté par les clients.
Pas de sauvegarde avant interventionRetour arrière difficile.
Pas de délai de prise en compteUrgence mal gérée.
Pas de distinction correctif / évolutifConflit sur les demandes client.
Pas de reportingMaintenance invisible et difficile à évaluer.
Accès détenus uniquement par le prestataireDépendance dangereuse.
Pas de clause RGPDAccès aux données mal encadré.
WooCommerce traité comme un site vitrineRisque commercial direct.
Nettoyage piratage non cadréCoût imprévu, délai de reprise inconnu et possible blocage opérationnel en pleine crise.
Pas de sortie de contratRécupération difficile des accès et sauvegardes.
Checklist dirigeant

Que demander avant de signer ?

Visuel de contenu à créer : image-maintenance-wordpress-contrat-checklist.webpIllustration recommandée : checklist de contrat WordPress avec blocs “sauvegardes”, “sécurité”, “délais”, “accès”, “licences”, “sortie”.
QuestionSi la réponse est floue
Quelles mises à jour sont incluses ?Vous ne savez pas ce qui est réellement maintenu.
Une sauvegarde est-elle faite avant intervention ?Une mise à jour peut devenir risquée.
Les restaurations sont-elles testées ?Les sauvegardes restent théoriques.
Quels délais sont prévus selon la gravité ?Une urgence peut attendre trop longtemps.
Le contrat couvre-t-il WooCommerce ?Le tunnel de vente peut être mal protégé.
Le nettoyage après piratage est-il inclus ?Le coût et le délai de reprise peuvent être inconnus en crise.
Le prestataire dispose-t-il d’une RC Pro adaptée ?En cas d’erreur, d’indisponibilité ou de dommage lié à l’intervention, les recours peuvent être limités.
Qui possède les licences premium ?Dépendance ou rupture à la fin du contrat.
Qui détient le domaine et l’hébergement ?Risque de blocage opérationnel.
Recevez-vous un reporting ?Impossible d’évaluer la prestation.
Que se passe-t-il en fin de contrat ?Accès, sauvegardes, licences et documentation peuvent manquer.
Contrat clair

Ce que devrait contenir un contrat utile

Visuel de contenu à créer : image-maintenance-wordpress-contrat-sortie.webpSchéma recommandé : cycle de vie du contrat, démarrage, maintenance, incidents, reporting, sortie et restitution.
1Périmètre et responsabilités

Identité du site, éléments maintenus, fréquence des contrôles, stratégie de mise à jour, exclusions, délais et horaires.

2Sauvegardes et sécurité

Sauvegardes, tests de restauration, surveillance, gestion des vulnérabilités, traitement des incidents et limites de garantie.

3Accès, licences et RGPD

Accès nécessaires, propriété des licences, accord de traitement des données si accès à des données personnelles.

4Sortie et restitution

Conditions de sortie et de restitution : accès, sauvegardes, licences, documentation, comptes tiers et état technique du site.

FAQ

Questions fréquentes

Une maintenance WordPress mensuelle est-elle indispensable ?

Elle est fortement recommandée pour un site professionnel, surtout si le site utilise plusieurs extensions, un constructeur comme Elementor, WooCommerce, des formulaires ou des fonctionnalités critiques. Un site peu maintenu peut rester en ligne, mais il devient progressivement plus fragile.

Les mises à jour automatiques suffisent-elles ?

Pas toujours. Par défaut, WordPress applique automatiquement certaines mises à jour mineures du cœur, notamment les correctifs de maintenance et de sécurité. Les mises à jour majeures, les extensions et les thèmes ne sont pas nécessairement mis à jour automatiquement, sauf activation explicite ou configuration spécifique. Même lorsqu’elles sont activées, les mises à jour automatiques ne remplacent pas une sauvegarde, un contrôle visuel, un test des fonctions critiques et une procédure de retour arrière.

Faut-il tout mettre à jour dès qu’une version sort ?

Non. Les correctifs de sécurité doivent être traités rapidement. Les mises à jour fonctionnelles peuvent parfois être testées avant déploiement, surtout sur un site complexe.

Un contrat de maintenance doit-il inclure le nettoyage après piratage ?

Il peut l’inclure, mais ce n’est pas automatique. Beaucoup de contrats prévoient la surveillance et les correctifs, mais facturent séparément le nettoyage d’un site compromis, surtout si l’infection est antérieure au contrat. Le point doit être écrit pour éviter un coût imprévu et un délai de reprise inconnu en pleine crise.

Le prestataire doit-il avoir un compte administrateur ?

Oui, s’il intervient techniquement. Mais l’entreprise doit aussi conserver un accès administrateur propre, sécurisé, documenté, et éviter que tout repose sur le compte du prestataire.

La maintenance inclut-elle le SEO ?

La maintenance technique peut protéger certains éléments SEO : disponibilité, erreurs, redirections, performance, indexation, sécurité. Mais la stratégie SEO, les contenus, le netlinking ou l’optimisation éditoriale relèvent généralement d’une prestation séparée.

Qui doit payer les licences premium ?

Les deux modèles existent. Si les licences sont celles du prestataire, il faut savoir ce qui se passe à la fin du contrat. Si elles appartiennent au client, il faut prévoir leur renouvellement et leur gestion. Le cas des licences “agence” doit être explicite.

Le contrat doit-il prévoir une sortie ?

Oui. C’est un point essentiel. Le client doit pouvoir récupérer les accès, sauvegardes, licences dont il est propriétaire, documentation utile, comptes tiers et état technique du site.

Conclusion

Un bon contrat protège autant la PME que le prestataire

Un vrai contrat de maintenance WordPress ne se résume pas à une promesse de mises à jour. Il clarifie ce qui est fait, ce qui est surveillé, ce qui est testé, ce qui est exclu, qui décide, qui intervient, dans quels délais, et avec quels accès.

Pour une PME, cette clarté évite deux risques : payer une prestation trop vague, ou découvrir en crise que le sujet critique n’était pas couvert.

Le bon contrat n’est pas forcément le plus long. C’est celui qui permet de répondre simplement : notre site est-il suivi, sauvegardé, sécurisé, testable, restaurable, et savons-nous quoi attendre de notre prestataire ?

Sources

Références utilisées

  1. WordPress.org — Backups / Advanced Administration Handbook : sauvegardes régulières, sauvegarde avant mise à jour, fichiers et base de données nécessaires à la restauration.
  2. WordPress.org — Hardening WordPress : durcissement, sécurité serveur, permissions, configuration, plugins, thèmes et accès.
  3. WordPress.org — Upgrading WordPress : sauvegarde avant mise à niveau, processus de mise à jour, configuration des mises à jour automatiques.
  4. CNIL — Travailler avec un sous-traitant : encadrement contractuel entre responsable de traitement et sous-traitant.
  5. CNIL — Article 28 du RGPD : obligations du responsable de traitement et du sous-traitant.
  6. ANSSI — Guide d’hygiène informatique : repères généraux sur les mises à jour, sauvegardes, accès et sécurité numérique.
  7. Cybermalveillance.gouv.fr : sensibilisation des entreprises, bonnes pratiques et assistance en cas d’incident cyber.

Laisser un commentaire

Secret Link

Message envoyé

Votre message a été envoyé.
Il sera traité dans les meilleurs délais