Vous recevez deux devis pour la maintenance de votre site : 30 €/mois d'un côté, 250 €/mois de l'autre. Le premier prestataire vous dit qu'il fait « la même chose ». C'est faux. Sur un site WordPress moyen, le service à 30 €/mois ne couvre que des mises à jour automatiques sans vérification humaine. Quand un plugin casse votre formulaire de contact, vous le découvrez trois semaines plus tard, en perdant chaque demande entrante entre-temps.
Avant de signer, vous devez savoir ce que la maintenance site web recouvre vraiment, ce qu'elle coûte, et ce qui se passe quand vous décidez de l'esquiver pour économiser 600 € par an.
Ce qu'un vrai contrat de maintenance site web doit couvrir
La maintenance d'un site internet ne se résume pas à cliquer sur « Update » dans le tableau de bord. Un contrat sérieux recouvre cinq familles d'opérations, à des fréquences différentes.
- Mises à jour techniques. Cœur du CMS, plugins, thèmes, modules, framework. Sur WordPress, plus de 11 300 vulnérabilités ont été divulguées en 2025, et 91 % concernent des plugins, pas le cœur du CMS (source : Patchstack 2025).
- Sauvegardes contrôlées. Base de données et fichiers, stockées hors du serveur de production, avec restauration testée au moins une fois par an. Une sauvegarde jamais restaurée ne vaut rien le jour où vous en avez besoin.
- Surveillance de disponibilité. Une alerte dès que le site est hors ligne, avec un délai de réaction défini par contrat.
- Sécurité active. Pare-feu applicatif, durcissement de la configuration, scan de malwares, surveillance des fichiers modifiés sans autorisation.
- Petites corrections et évolutions. Un quota d'heures inclus, ou facturé au-delà. C'est souvent le poste qui crée les malentendus entre client et prestataire.
Le test à appliquer face à un devis : demandez quel est le délai garanti d'intervention en cas de site hors ligne, et quand le prestataire a réellement restauré une sauvegarde pour la dernière fois sur un site client. Si la réponse est floue, vous payez de la promesse, pas du service.
Pourquoi sauter la maintenance vous coûte plus cher qu'elle ne vaut
L'argument économique de la maintenance n'est pas un argument moral. C'est de l'arithmétique. Les chiffres récents sont sans ambiguïté.
WordPress équipe environ 35,6 % des sites du web mondial selon le Web Almanac (HTTP Archive 2024). Cette domination en fait la cible numéro un des attaques automatisées. En 2025, 11 334 vulnérabilités ont été divulguées sur l'écosystème WordPress, en hausse de 42 % sur un an. Le délai médian entre la publication d'une faille et sa première exploitation est de 5 heures. 43 % des nouvelles vulnérabilités ne demandent aucune authentification pour être exploitées, et 46 % n'ont pas de patch disponible au moment de la divulgation (Patchstack 2025).
Environ 52 % des sites compromis le sont via un plugin que le propriétaire n'a jamais mis à jour vers la version corrigée. La faille est connue, le patch existe, mais personne ne l'a appliqué.
Côté coûts de remise en état, voici les ordres de grandeur. Un nettoyage de malware simple coûte entre 300 et 500 € selon les données Wordfence. Une infection profonde, avec backdoors dans la base et plusieurs plugins, monte à 1 500 à 3 000 € en intervention d'urgence. La moyenne d'une intrusion sur petit site se situe autour de 2 500 € (Wordfence). Et le site reste typiquement hors ligne 1 à 3 jours, parfois plus si la base de données est corrompue, le temps que Google revisite les pages restaurées.
Faites le calcul. Un contrat de maintenance à 80 €/mois coûte 960 € par an. Une seule intrusion non couverte coûte le double, sans compter le manque à gagner pendant l'indisponibilité et la perte de positions SEO.
Les 4 niveaux de maintenance site web et leurs prix réels
Le marché français propose schématiquement quatre niveaux. Les écarts de prix ne relèvent pas du caprice de prestataire, ils correspondent à des prestations vraiment différentes.
| Niveau | Cible | Prix mensuel | Ce qui est inclus |
|---|---|---|---|
| Basique | Site vitrine simple | 30 à 80 € | Mises à jour automatiques, sauvegarde hebdomadaire, surveillance disponibilité |
| Standard | Site vitrine + blog actif | 80 à 200 € | Mises à jour testées en pré-production, sauvegardes quotidiennes, sécurité active, 1 à 2 h de modifications |
| Avancé | Site métier, réservation, B2B | 200 à 350 € | Maintenance préventive, monitoring performance, rapport mensuel, interlocuteur dédié, 3 à 5 h incluses |
| E-commerce | Shopify, WooCommerce, fort trafic | 350 à 500 € | Support prioritaire sous 24 h, tests automatisés, optimisation performance continue, intégrations tierces |
Ces fourchettes correspondent au marché observé en France métropolitaine en 2026 sur les agences et freelances établis. Sous 30 €/mois, vous tombez sur du service entièrement automatisé sans humain dans la boucle. Au-dessus de 500 €/mois pour un site standard, vous payez du dimensionnement excessif.
Maintenance site sur mesure vs WordPress : ce qui change vraiment
La maintenance d'un site WordPress et celle d'un site codé from scratch ne demandent pas le même travail, et ne portent pas les mêmes risques.
Sur WordPress, le coût est dans la surface d'attaque
Un site WordPress typique embarque 15 à 25 plugins, parfois plus. Chaque plugin est un point d'entrée potentiel. Les patches de sécurité tombent quasiment chaque semaine, et la moitié des failles à fort impact sont exploitées dans les 24 heures suivant leur divulgation. La maintenance d'un WordPress, c'est avant tout une course aux mises à jour, avec test sur environnement de pré-production avant déploiement en production.
Sur un site sur mesure, le coût est dans les dépendances ciblées
Un site codé avec un framework moderne (Next.js, Astro, SvelteKit) n'expose pas la même surface. Pas de panneau d'administration public, pas d'écosystème de plugins. Les mises à jour portent sur le runtime, les dépendances critiques et le framework lui-même. La fréquence est mensuelle, parfois trimestrielle. Le risque de compromission par exploit automatisé reste marginal car les attaquants ciblent les CMS de masse.
En contrepartie, un site sur mesure demande un développeur capable de toucher au code. La maintenance ne se délègue pas à un service automatisé. C'est l'arbitrage à faire au moment de choisir entre site sur mesure et template : le sur mesure coûte moins cher en abonnement de maintenance mais demande un prestataire identifié et joignable.
Comment lire un devis de maintenance sans se faire avoir
Voici les questions à poser face à un devis. Si une seule reste sans réponse claire, vous avez un signal d'alerte.
- Quelle est la fréquence de sauvegarde ? Quotidienne minimum pour un site qui vit. Hebdomadaire suffit pour une vitrine sans modifications fréquentes.
- Où sont stockées les sauvegardes ? Sur un stockage externe au serveur de production, jamais sur le même hébergement.
- Quelle rétention ? 30 jours minimum, idéalement 90, pour rattraper une compromission détectée tardivement.
- Y a-t-il un environnement de pré-production pour tester les mises à jour ? Sur sites critiques, c'est non négociable.
- Quel délai garanti d'intervention en cas d'incident bloquant ? 24 h ouvrées est un minimum acceptable, 4 h pour de l'e-commerce.
- Combien d'heures de modifications incluses chaque mois ? Et quel tarif horaire au-delà ?
- Y a-t-il un rapport mensuel ? Sinon, vous payez à l'aveugle, sans aucun moyen de juger ce qui est réellement fait.
- Qui est mon interlocuteur ? Un nom, un email, un téléphone. Pas une adresse support@.
Un prestataire qui répond précisément aux huit questions sait ce qu'il fait. Un prestataire qui répond par « tout est inclus » ne sait pas, ou bluffe.
Quand un forfait à 30 €/mois suffit, et quand il devient un piège
Le forfait à bas coût n'est pas une arnaque par nature. Pour certains sites, il est calibré juste. Pour d'autres, il est dangereux.
Cas où 30 à 50 €/mois suffisent
Site vitrine 5 pages, pas de formulaire critique, pas de paiement en ligne, pas de mise à jour de contenu mensuelle. Si une panne de 48 h ne vous fait perdre aucun chiffre d'affaires direct, vous pouvez accepter de la maintenance automatisée sans humain. Vérifiez simplement que les sauvegardes sont externes et restaurables, et que vous avez un email de contact qui répond sous 48 h.
Cas où le forfait bas coût devient un piège
Dès que votre site est un canal commercial actif (formulaire de devis, prise de rendez-vous, paiement, réservation), 30 €/mois est trop léger. La raison technique : un plugin cassé après une mise à jour automatique peut tuer silencieusement vos demandes pendant des semaines. Sans test humain en pré-production, personne ne s'en rendra compte avant que vous ne vous étonniez de la chute de leads. C'est exactement l'un des scénarios qui transforme un site rentable en site fantôme.
Sur un projet de site vitrine récent, j'ai constaté qu'un plugin de cache mis à jour automatiquement avait cassé l'envoi des emails du formulaire de contact. Le client n'a réalisé le problème qu'après une baisse marquée de ses demandes entrantes. La règle simple : si une journée d'indisponibilité de votre site vous coûte plus que votre forfait annuel de maintenance, vous êtes sous-couvert.
Maintenance et performance : le lien que tout le monde sous-estime
La maintenance ne se limite pas à la sécurité. Elle conditionne aussi les performances mesurées par Google. Depuis mars 2024, la métrique INP (Interaction to Next Paint) a remplacé FID dans les Core Web Vitals. Elle mesure la réactivité réelle d'une page à toute interaction utilisateur, et la cible est inférieure à 200 ms (web.dev).
Un plugin obsolète, un thème jamais mis à jour, une base de données qui n'a pas été nettoyée depuis trois ans, tout cela dégrade INP et LCP. Les Core Web Vitals sont un signal de classement confirmé par Google, et sur des requêtes concurrentielles, ce sont elles qui décident souvent entre la 3ᵉ et la 8ᵉ position. La maintenance technique fait donc aussi du SEO continu, pas uniquement de la sécurité. Le choix de l'hébergement web joue ici un rôle complémentaire, mais il ne remplace pas un suivi régulier des performances.
Un bon contrat de maintenance inclut un rapport mensuel sur les Core Web Vitals, avec un seuil d'alerte. Si votre prestataire ne mentionne jamais ces métriques, il fait de la maintenance de surface.
Faire la maintenance en interne : à quelles conditions
Si vous avez un développeur dans l'équipe, la maintenance interne est viable. Sinon, rarement une bonne idée.
Un patron de TPE qui clique sur « Update » une fois par mois fait de la maintenance perçue, pas de la maintenance réelle. Quand une mise à jour casse le site, il n'a ni le temps, ni la procédure de rollback documentée, ni la sauvegarde testée pour réparer dans la journée. Le coût caché de la maintenance interne, c'est le temps que le dirigeant passe à débugger au lieu de vendre. Quelques heures par mois de bricolage technique coûtent vite plus cher qu'un contrat externe.
L'arbitrage rationnel : externaliser la maintenance technique, garder en interne uniquement les mises à jour de contenu (textes, photos, articles de blog).
Le critère pour décider
Posez-vous une seule question : si votre site disparaît demain matin, combien d'heures de votre activité s'arrêtent ?
Si la réponse est zéro, un forfait basique à 30 à 50 €/mois suffit. Si la réponse est « plusieurs leads par jour » ou « notre carnet de réservation », vous devez être au niveau standard minimum, avec un humain identifié pour intervenir en cas de panne. Si la réponse est « tout notre chiffre d'affaires », l'avancé ou l'e-commerce n'est plus une option, c'est le seuil minimal.
La maintenance n'est pas un coût récurrent à grogner. C'est une prime d'assurance dont le ratio coût/risque est l'un des meilleurs du marché digital. Parlons de votre projet si vous voulez un audit de votre contrat actuel ou un devis sec sur ce dont vous avez réellement besoin.