Aller au contenu principal
Retour au Mag
Web Création site web Valenciennes

WordPress : ce que votre site vous coûte vraiment après 2 ans

Tableau de bord WordPress affichant un avertissement de piratage et 13 mises à jour en attente

Un gérant de brasserie à Valenciennes nous a appelé un jeudi matin. Site WordPress en ligne depuis deux ans, refait par une agence locale qui a depuis fermé boutique. La veille, une mise à jour automatique avait tout cassé. Page blanche. Réservations inaccessibles. Le temps qu’on trouve quelqu’un pour remettre ça en marche : trois jours et 400€ de dépannage.

C’est le scénario classique. Celui dont personne ne parle quand on vous vend un site WordPress “clé en main à 1 500€”.

Ce n’est pas que WordPress est nul, il fait tourner plus de 43% du web. Mais il a un coût réel que beaucoup de propriétaires découvrent trop tard, souvent au pire moment.

Pourquoi les mises à jour sont un jeu de chaises musicales

WordPress, c’est trois couches distinctes : le cœur (WordPress lui-même), le thème, et les plugins. Chacune est développée par des équipes différentes, avec des rythmes de mise à jour différents. Aucune ne se coordonne avec les autres.

Quand WordPress sort une nouvelle version majeure, il faut que le thème soit compatible. Et que les plugins soient compatibles. Et qu’ils soient compatibles entre eux. En pratique, mettre à jour le cœur sans avoir vérifié les compatibilités en amont, c’est jouer à la roulette russe.

Le résultat quand ça coince : page blanche, erreur 500, mise en page cassée, formulaire de contact muet. Pour régler ça, il faut un développeur. Quelques heures de travail, parfois une journée entière. À 65-90€/h chez la plupart des prestataires, la facture monte vite.

WordPress sort plusieurs mises à jour majeures par an. Les thèmes et plugins suivent leur propre calendrier. Sur deux ans, vous pouvez avoir une vingtaine d’opportunités de casse. Même si une sur dix tourne mal, ça commence à chiffrer.

Vik : « C’est comme une flotte de trois bateaux qui naviguent ensemble. Si l’un accélère sans prévenir les autres, ça finit en collision. »

Le vrai budget annuel : ce qu’on omet de mentionner dans le devis

Prenons un site WordPress standard : hébergement mutualisé, un thème premium, une poignée de plugins essentiels. Pas un site e-commerce, pas un truc sophistiqué. Juste un site vitrine correct.

L’hébergement d’abord. Un hébergeur correct en France (OVH, Infomaniak, PlanetHoster) tourne entre 60 et 150€ par an selon la formule. Les offres à 2€/mois existent, mais les performances sur des sites WordPress sont souvent désastreuses. On ne les recommande pas.

Les plugins ensuite. C’est là que ça s’accumule discrètement. Un plugin SEO sérieux : autour de 100€/an. Un plugin de cache (WP Rocket) : 60€/an. Un plugin de formulaires correct : 50 à 200€/an selon les options. Un plugin de sécurité qui ne soit pas une passoire : 100€/an. Le thème lui-même : souvent 60-80€ à l’achat, parfois renouvelable annuellement.

Total honnête, si tout se passe bien : entre 400 et 700€ par an, rien que pour garder le site en ligne et à jour.

Et ça, c’est si vous gérez vous-même, que vous savez ce que vous faites, et que rien ne plante. Si vous confiez ça à un prestataire, comptez 30 à 100€ de plus par mois. Soit 360 à 1 200€ supplémentaires chaque année.

La plupart des devis de création ne montrent jamais ce chiffre-là.

WordPress : la cible préférée des robots malveillants

Plus de 43% des sites web tournent sous WordPress (W3Techs, 2024). C’est précisément pour ça qu’il est autant attaqué. Les bots qui scannent le web cherchent des failles connues, et ils savent exactement où regarder sur un site WordPress. Ils connaissent l’URL de connexion par défaut, les plugins les plus répandus, les versions vulnérables.

Selon Patchstack dans son rapport 2023, 97% des vulnérabilités WordPress recensées proviennent des plugins, pas du cœur. Autrement dit : chaque plugin installé est une surface d’attaque potentielle. Quinze plugins actifs, c’est quinze portes à surveiller.

Sucuri, qui nettoie des milliers de sites piratés chaque année, place WordPress en tête des CMS touchés dans ses rapports annuels. Pas parce qu’il est particulièrement mal sécurisé par nature, mais parce qu’il est partout, et que la majorité des sites ne sont pas maintenus correctement.

Un site piraté concrètement : redirection vers des sites douteux, envoi de spam depuis votre nom de domaine, vol de données clients, et déréférencement Google. Oui, Google pénalise les sites infectés, parfois en les retirant carrément des résultats. Remise en état : entre 500 et 2 000€ selon la gravité.

Vik : « Les pillards cherchent toujours les portes mal verrouillées. Un plugin oublié depuis 18 mois, c’est une porte mal verrouillée. »

Le plugin abandonné : le risque silencieux

Le répertoire officiel WordPress héberge plus de 59 000 plugins. Des milliers ne sont plus maintenus, parfois depuis des années. Leur page affiche toujours “Compatible avec WordPress X.Y” mais personne ne vérifie plus le code, personne ne corrige plus les failles qui remontent.

Votre site a peut-être été livré avec 12, 15, 20 plugins actifs. L’agence ou le freelance qui l’a fait a choisi les outils qu’il connaissait à ce moment-là. En deux ans, combien sont encore activement maintenus ? Difficile à savoir sans aller vérifier un par un.

Le scénario classique : un plugin de galerie photos ou de formulaire, installé en 2022, plus mis à jour depuis 14 mois, contient une faille connue et documentée publiquement. Un bot la trouve en quelques secondes. Et là, la question n’est plus “est-ce que mon site est beau ?” mais “est-ce que je peux encore accéder à mon hébergement ?”

Quand l’agence d’origine a mis la clé sous la porte

C’est le cas le plus compliqué, et pas si rare dans le Valenciennois. Le site a été fait par un freelance qui a changé de métier, ou une petite structure qui a fermé. Les identifiants sont quelque part dans un vieux mail. Ou pas.

Récupérer l’accès complet à un WordPress orphelin, c’est une opération à part entière : accès hébergeur, accès FTP, base de données, identifiants admin… En moyenne on compte une demi-journée rien que pour remettre la main sur toutes les clés avant de pouvoir faire quoi que ce soit d’utile. Ce temps-là, il se facture.

Et pendant ce temps, le site tourne tout seul, avec les vieux plugins, les anciennes versions, et les failles qui vont avec. Sans que personne ne soit aux commandes.

Après deux ans, le calcul de la refonte

À un moment la question se pose : continuer à payer pour maintenir quelque chose qui vieillit, ou repartir sur une base propre ?

Sur notre guide pour créer un site à Valenciennes, on explique ce que ça change de choisir la bonne approche dès le départ. Parce que le problème de WordPress, ce n’est pas qu’il est mauvais. C’est qu’il a été conçu pour être accessible et flexible avant tout, pas pour être léger et sécurisé par défaut.

Un site construit sans base de données, sans plugins à maintenir, sans couche CMS exposée au réseau : aucune surface d’attaque côté serveur. Les performances sont meilleures. Les coûts de maintenance tombent à presque zéro. On détaille pourquoi on a fait ce choix technique dans notre article WordPress vs notre approche.

Ça ne veut pas dire que WordPress est à fuir dans tous les cas. Mais si votre site date de 2021-2022, que vous ne savez pas trop qui gère les mises à jour, et que vous n’avez pas eu de nouvelles de votre prestataire d’origine depuis un an, ça vaut la peine de faire le point avant qu’un incident le fasse pour vous.

Le test

Connectez-vous à votre tableau de bord WordPress. Regardez combien de mises à jour sont en attente. Cliquez sur “Extensions” et vérifiez la colonne “Dernière mise à jour” pour chaque plugin actif. Si vous voyez plusieurs plugins avec “il y a 2 ans” ou plus, c’est un signal clair.

Ensuite, posez la question à quelqu’un qui peut vous répondre honnêtement : on continue à maintenir ça, ou on repart propre ? Chez GLAAZ, on fait ce type d’audit avant de proposer quoi que ce soit. Pas pour vous convaincre de tout refaire, mais pour que vous sachiez exactement où vous en êtes.

On regarde votre site ensemble →

Sources

Partager cet article

Facebook WhatsApp LinkedIn

Sur le même sujet

Interface d'une application web de gestion de revente : tableau de bord avec bénéfices et stock, liste des achats et suivi des marges par article

Une appli de gestion sur mesure : étude de cas avec une revendeuse du Valenciennois

MacBook Pro ouvert sur un bureau sombre, écran allumé

Créer son site internet à Valenciennes : le guide complet pour les pros qui partent de zéro

Fusée SpaceX au décollage avec un panache de fumée

Création de site web à Valenciennes : pourquoi on a abandonné WordPress pour quelque chose de mieux

Une question ?

Consultez notre FAQ ou contactez-nous directement.

Voir la FAQ
Tous les articles