Contrat de maintenance WordPress : ce qu’il doit contenir (et combien ça coûte)

Une maintenance WordPress "complète" à 29 € par mois. Sauvegardes, mises à jour, sécurité, support illimité… le tout pour le prix d’une pizza et de son supplément fromage. Personne ne se demande comment c’est possible ?

Je suis Fabrice Ducarme, formateur WordPress depuis 2012 et fondateur de WPServeur. La maintenance, j’en vends, j’en exécute, et surtout j’ai relu des dizaines de contrats signés ailleurs par mes clients et mes stagiaires avant qu’ils me confient leur site. Mon verdict après toutes ces lectures : le problème n’est presque jamais le prix. C’est ce qui est écrit. Ou plutôt ce qui ne l’est pas…

Un contrat de maintenance WordPress, ça se juge à ses clauses, pas à sa plaquette. Voici celles qui doivent y figurer noir sur blanc, les modèles de formulation à exiger, les pièges qui se cachent dans les offres low-cost, et les vrais prix du marché en 2026. Avec ma propre grille tarifaire dedans, en toute transparence.

Pourquoi un contrat écrit change tout

Tant que tout va bien, personne n’ouvre le contrat. Les mises à jour passent, les sauvegardes tournent, le site répond. Le document signé dort dans un dossier…

Puis un vendredi à 18h40, erreur 500. Le panier ne répond plus, les commandes du week-end sont en jeu. La conversation qui suit, je l’ai entendue cent fois :

Le client : "Mon site est en panne, vous intervenez quand ?"
Le prestataire : "On regarde ça dès que possible, sans doute lundi."
Le client : "Mais… je paie une maintenance !"
Le prestataire : "Le forfait couvre les mises à jour et les sauvegardes. Le dépannage d’urgence, c’est en supplément, et le week-end c’est majoré."

Et le pire ? Le prestataire est dans son droit. Rien dans le contrat ne l’oblige à intervenir un vendredi soir, ni même à répondre avant lundi. Le client a signé une plaquette commerciale, pas un engagement.

Un contrat de maintenance se juge le jour de la panne, pas le jour de la signature.

Fabrice Ducarme

Un contrat écrit inverse le rapport de force : il transforme une promesse commerciale en engagement opposable. Qui intervient, sous quel délai, sur quel périmètre, et que se passe-t-il si l’engagement n’est pas tenu. Quatre questions, quatre réponses écrites. Tout le reste est de la confiance mal placée.

Il y a aussi un angle réglementaire qu’on l’oublie trop souvent : votre mainteneur accède à l’administration du site, donc à votre base de données, donc aux données personnelles de vos clients. Le RGPD encadre cette relation et son article 28 impose un contrat écrit avec des garanties précises, détaillées par la CNIL dans sa fiche sous-traitant. Un prestataire dont le contrat ignore le RGPD vous met en défaut, vous, pas seulement lui.

Les 7 clauses d’un contrat de maintenance WordPress sérieux

Sept clauses font la différence entre un contrat qui protège et un abonnement qui encaisse. Pour chacune, je vous donne ce qu’elle doit dire et le signal d’alarme qui doit vous faire fuir.

1. Le périmètre, et surtout les exclusions

Un bon contrat liste autant ce qu’il couvre que ce qu’il exclut. Refonte graphique, création de fonctionnalités, développement sur mesure, rattrapage d’un site déjà piraté avant signature : presque toujours hors forfait, et c’est normal. Ce qui ne l’est pas, c’est de le découvrir sur la facture.

Exigez aussi la liste de ce qui est inclus avec des chiffres : combien de modifications de contenu par mois ? Quelle durée maximale par intervention ? Les licences premium (thème, extensions payantes) sont-elles fournies, et que deviennent-elles si vous partez ? Un périmètre sans chiffre est une zone grise, et les zones grises se facturent toujours au tarif du prestataire.

Red flag : la formule "maintenance complète" sans annexe détaillée. Complète par rapport à quoi ?

2. Les mises à jour : testées, pas subies

Et si la mise à jour casse le site ? C’est LA question à poser avant de signer, et la réponse doit être dans le contrat : les mises à jour d’extensions et de thème sont appliquées sur une copie de test, vérifiées, puis poussées en production avec possibilité de retour arrière. "Nous appliquons les mises à jour" ne dit rien de tout ça.

Demandez la fenêtre : sous quel délai un correctif de sécurité critique est-il appliqué ? Quand une faille touche une extension installée sur des centaines de milliers de sites, chaque jour compte. Un engagement écrit type "correctifs de sécurité sous 48 h ouvrées, mises à jour fonctionnelles sous 7 jours après période d’observation" est raisonnable et vérifiable dans le rapport mensuel.

Red flag : "toutes les mises à jour en automatique". Traduction : personne ne teste, personne ne vérifie, et vous découvrirez le conflit d’extensions en même temps que vos visiteurs.

3. Les sauvegardes : fréquence, rétention, restauration

Trois chiffres doivent figurer dans la clause, et un test doit l’accompagner :

• la fréquence : quotidienne pour un site marchand, hebdomadaire à minima pour un site vitrine ;
• la rétention : combien de versions, sur combien de jours (30 jours est un plancher sain) ;
• le délai de restauration : combien de temps entre votre appel et le site remis en ligne ;
• un test de restauration périodique, car une sauvegarde jamais restaurée est une promesse, pas une garantie.

Le lieu de stockage compte autant que la fréquence. Idéalement, exigez des sauvegardes immuables : impossibles à modifier ou à chiffrer, même par un rançongiciel qui aurait compromis le serveur. J’ai détaillé toutes les stratégies (et les outils qui tiennent la route) dans mon guide des sauvegardes WordPress.

4. Le délai garanti d’intervention (le fameux SLA)

Les contrats sérieux parlent de SLA, pour accord de niveau de service : en clair, le délai maximal dans lequel le prestataire s’engage à prendre en charge votre incident. 24 heures ouvrées, 8 heures, 4 heures pour un site critique… peu importe le chiffre, il en faut un. "Au plus vite" n’est pas un délai.

Et un délai sans conséquence n’est pas un engagement. Voici le genre de formulation qui tient la route :

"Le Prestataire prend en charge tout incident bloquant dans un délai maximal de 8 heures ouvrées à compter du signalement. En cas de dépassement non justifié, le Client bénéficie d’une remise de 20 % sur la mensualité en cours."

Pénalité automatique, pas de discussion. Vous verrez que le délai devient soudain très respecté.

5. Les heures incluses et la règle du dépassement

Combien d’heures par mois, pour quel type de demandes, et que se passe-t-il au-delà ? C’est le trio qui évite 90 % des litiges de facturation. La clause que je mets dans mes propres contrats tient en une phrase :

"Toute intervention excédant le volume mensuel inclus fait l’objet d’une estimation écrite préalable, facturée 190 € HT par heure, et n’est engagée qu’après validation écrite du Client."

Estimation d’abord, validation ensuite, travail enfin. Dans cet ordre. Un prestataire qui facture des dépassements découverts sur la facture vous explique en creux comment il traite ses clients.

6. La réversibilité : repartir libre, avec vos clés

Avez-vous lu la clause de réversibilité ? Personne ne la lit. Elle dit pourtant ce qui se passe le jour où vous partez, et c’est là que les mauvaises surprises se nichent. J’ai vu un commerçant découvrir que son nom de domaine était déposé au nom de son prestataire. Pour récupérer SA propre adresse, il a fallu négocier. Arghhhh.

"En fin de contrat, le Prestataire restitue sous 15 jours ouvrés l’ensemble des accès (administration WordPress, hébergement, nom de domaine), la dernière sauvegarde complète du site et la liste des licences souscrites pour le compte du Client, sans frais supplémentaires."

7. Le RGPD et la sous-traitance

Dès que votre mainteneur peut lire votre base de données (comptes clients, commandes, formulaires), il devient sous-traitant au sens du RGPD. L’article 28 impose un contrat écrit listant la nature des traitements, les mesures de sécurité, le sort des données en fin de contrat et l’encadrement des sous-traitants ultérieurs, l’hébergeur du prestataire par exemple.

La synthèse qui tient sur un écran, à garder sous le coude pendant que vous relisez une offre :

Clause	Ce qu’elle doit contenir	Red flag si absente
Périmètre	Inclus ET exclusions, chiffrés	"Maintenance complète" sans annexe
Mises à jour	Test avant production, fenêtres d’application	"Tout en automatique"
Sauvegardes	Fréquence, rétention, stockage externe, test de restauration	Aucun chiffre, stockage chez l’hébergeur
SLA	Délai maximal chiffré + pénalité	"Au plus vite", "best effort"
Heures et dépassements	Volume inclus, tarif horaire, validation préalable	Dépassements facturés sans devis
Réversibilité	Restitution accès + sauvegarde + licences, délai, gratuité	Clause absente ou restitution payante
RGPD	Avenant sous-traitance article 28	Le mot RGPD n’apparaît nulle part

Les pièges des offres low-cost

À 29 € par mois, il faut bien rogner quelque part. Ça ne se voit pas sur la plaquette, alors faisons les comptes nous-mêmes.

Qui fait le travail, au juste ? Pour salarier un seul technicien (charges, outils et structure comprises), un prestataire à 29 € par mois doit gérer environ 200 sites. Un mois fait 140 heures ouvrées : cela laisse 42 minutes par site et par mois, en comptant zéro minute de support, de réunion ou d’imprévu. En réalité, après l’administratif et les urgences, votre site touche 5 à 10 minutes d’attention humaine mensuelle. Le reste, c’est un robot.

Vous payez ce que WordPress fait déjà gratuitement. Depuis la version 3.7, sortie fin 2013, WordPress applique tout seul ses mises à jour mineures et de sécurité. Un forfait dont l’argument central est "nous appliquons les correctifs de sécurité du coeur WordPress" vous revend une fonctionnalité native. C’est comme facturer l’ouverture automatique des portes d’un supermarché.

Les mises à jour en production, sans filet. Neuf fois sur dix, ça passe. La dixième, une extension entre en conflit avec votre thème et le tunnel de paiement tombe un samedi matin. Personne ne s’en aperçoit avant lundi… La mise à jour n’a de valeur que si quelqu’un vérifie derrière, sur une copie du site d’abord, en production ensuite. Et pendant qu’on y est : la sécurité ne se résume pas aux mises à jour, j’ai détaillé l’approche complète pour sécuriser WordPress étape par étape.

Le "support illimité" sans délai. Illimité décrit la quantité, pas la vitesse. Tu peux ouvrir autant de tickets que tu veux : tous attendront dans la même file. Bref. Sans SLA écrit, illimité veut dire "quand on pourra".

Si tu ne retiens qu’une chose de cette section : un prix bas n’est pas un piège en soi, un prix bas avec des promesses larges et zéro engagement chiffré, si.

Faites votre état des lieux avant de signer

Signer un contrat de maintenance sur un site déjà vérolé, c’est payer le rattrapage au prix fort, ou se voir opposer l’exclusion "site compromis avant signature" au premier incident. Avant de signer quoi que ce soit, photographiez l’état réel de votre site.

Si vous avez accès à la ligne de commande (votre hébergeur propose peut-être un terminal), trois commandes WP-CLI suffisent pour un premier diagnostic honnête :

# Verifier l'integrite des fichiers du coeur WordPress
wp core verify-checksums

# Lister les extensions avec mise a jour en attente
wp plugin list --update=available

# Voir les taches planifiees (et les residus suspects)
wp cron event list

La première détecte les fichiers du coeur modifiés (signature classique d’un piratage), la deuxième mesure le retard accumulé, la troisième révèle les tâches planifiées fantômes, dont je parle dans mon guide du cron WordPress. Pas la ligne de commande ? L’outil Santé du site, intégré gratuitement à WordPress, donne déjà un état des lieux exploitable. Et pour un diagnostic complet posé par un humain, mon audit WordPress express sert exactement à ça.

Ce relevé initial a une deuxième utilité, contractuelle celle-là : il fixe l’état zéro. Le prestataire sait ce qu’il reprend, vous savez ce que vous confiez, et personne ne pourra réécrire l’histoire six mois plus tard.

Combien coûte une maintenance WordPress en 2026 ?

Bon. Parlons chiffres, puisque personne ne les aligne jamais côte à côte.

Ces fourchettes, je les ai relevées en juin 2026 en passant en revue les grilles publiques d’une dizaine de prestataires français, et elles recoupent ce que mes clients me transmettent quand ils comparent les offres avant de signer.

Niveau de service	Prix mensuel constaté	Ce que ça couvre en réalité
Outil SaaS seul	15 à 30 €	Sauvegardes et mises à jour automatisées, zéro humain
Forfait basique mutualisé	29 à 50 €	Mises à jour et sauvegardes, support sans délai garanti
Forfait intermédiaire	60 à 170 €	Supervision sécurité, petites retouches, support encadré
Forfait complet freelance ou agence	170 à 300 €	Heures dédiées, environnement de test, suivi régulier
Contrat engagé avec SLA	590 à 2 990 € HT	Volume d’heures contractuel, délais garantis par écrit, rapport mensuel

La première ligne mérite une précision, parce qu’elle est souvent confondue avec de la maintenance. Un outil comme WP Umbrella automatise très bien la surveillance et les sauvegardes multi-sites :

À 1,99 € par site et par mois, c’est l’exemple type de l’outil seul : monitoring de disponibilité, sauvegardes, rapports clients. Excellent à sa place (j’en ai fait un test complet), mais il n’analyse pas un conflit d’extensions, ne teste pas votre tunnel de commande après une montée de version et ne décroche pas le téléphone un vendredi soir. Un outil exécute. Il ne décide pas.

L’écart de 1 à 100 entre la première et la dernière ligne s’explique par une seule variable : le temps humain réellement passé sur votre site. Faites le calcul inverse : à 49 € par mois, si un technicien passe ne serait-ce qu’une heure sur votre site, son employeur perd de l’argent. Donc il ne la passe pas. CQFD!

Ma grille à moi, en toute transparence : 590 € HT par mois pour 4 heures dédiées et une prise en charge sous 24 heures ouvrées (Vigilance), 1 500 € pour 10 heures et une prise en charge sous 8 heures (Pro), 2 990 € pour 20 heures et 4 heures de délai (Premium). Heures supplémentaires : 190 € HT, jamais engagées sans validation écrite. Si ces montants vous semblent élevés face à un forfait à 49 €, relisez la colonne de droite du tableau : on ne compare pas le même service.

Et le budget ne s’arrête pas à la ligne "maintenance". Il faudra compter l’hébergement. Il faudra renouveler les licences premium du thème et des extensions. Il faudra provisionner les évolutions qui sortent du forfait… J’ai posé tous les chiffres, poste par poste, dans combien coûte un site WordPress. Et si vous préférez tout faire vous-même, mon plan de maintenance WordPress complet détaille les tâches par fréquence, avec les outils et les commandes. C’est faisable. La vraie question est : tiendrez-vous le rythme chaque semaine ?

Ce que je mets dans mes contrats (et pourquoi)

Mes contrats reprennent les piliers de mon offre : surveillance continue de la disponibilité et des failles publiées, sauvegardes quotidiennes immuables, mises à jour supervisées avec vérification derrière, un volume de modifications inclus chaque mois, et un rapport d’activité envoyé sans qu’on me le demande.

Exemple vécu : un forfait Pro de 10 heures par mois, suivi sur six mois, pour un site institutionnel critique (client volontairement anonymisé). En pratique, cela recouvre la supervision quotidienne, les mises à jour testées avant production, le suivi des Core Web Vitals (les indicateurs de vitesse que Google mesure sur chaque site) et des évolutions de contenu régulières, sans devis à rallonge à chaque demande. Six mois, zéro panne non détectée, zéro facture surprise. Ce n’est pas spectaculaire. C’est exactement le but.

Le rapport mensuel est la pièce que je défendrai toujours : il liste ce qui a été fait, ce qui a été surveillé, le temps consommé. C’est lui qui rend la maintenance visible. Sans rapport, vous payez un service dont vous ne voyez que les factures, et le doute s’installe mécaniquement, des deux côtés.

Et pour les imprévus, la règle est écrite à l’article des dépassements, celui que personne ne lit jusqu’au premier pépin : une estimation part par email, vous validez ou vous refusez, et seulement ensuite j’engage le travail.

Avant de signer

Mon conseil : ne signez jamais sur la foi d’une plaquette. Demandez le contrat type et posez trois questions par écrit : quel est votre délai garanti d’intervention, où sont stockées les sauvegardes, et que me restituez-vous si je pars ? La qualité (et la vitesse) des réponses vaut tous les avis clients du monde. Dix minutes qui peuvent vous épargner des semaines de galère…

Et pas de panique si vous avez déjà signé un contrat bancal : rien ne vous condamne à y rester. Faites l’état des lieux décrit plus haut, relisez votre clause de résiliation, et comparez à tête reposée. Un site qui tourne mérite quelqu’un qui veille. Ça vous parle ? Vous savez maintenant quoi exiger, et de qui.

Questions fréquentes

Un contrat de maintenance WordPress est-il obligatoire ?

Non, aucune loi n’impose de contrat de maintenance pour un site WordPress. En revanche, dès qu’un prestataire accède à vos données personnelles, l’article 28 du RGPD impose un cadre écrit entre vous et lui. Et sans contrat, aucun délai d’intervention ni périmètre n’est opposable.

Quelle durée d’engagement pour un contrat de maintenance ?

La plupart des contrats de maintenance WordPress sont mensuels ou annuels, avec un préavis de résiliation de 1 à 3 mois. Vérifiez surtout la clause de réversibilité : restitution des accès, des sauvegardes et des licences, dans quel délai et à quel coût.

Que se passe-t-il si une intervention dépasse le forfait ?

Un contrat sérieux prévoit un tarif horaire de dépassement écrit et une validation préalable obligatoire. Dans mes contrats, les heures supplémentaires sont facturées 190 € HT et jamais engagées sans accord écrit du client sur une estimation envoyée avant le travail.

Quelle différence entre un outil de maintenance et un contrat de maintenance ?

Un outil (15 à 30 € par mois, comme WP Umbrella) automatise les sauvegardes et les mises à jour, sans intervention humaine. Un contrat de maintenance ajoute ce que l’outil ne fait pas : tester les mises à jour avant production, surveiller les failles, intervenir en cas de panne dans un délai garanti et rendre compte chaque mois.

Un site piraté est-il couvert par le contrat de maintenance ?

Presque jamais s’il a été compromis avant la signature : c’est l’exclusion la plus fréquente des contrats. D’où l’intérêt d’un état des lieux daté au démarrage. Un piratage survenant pendant le contrat, malgré les mises à jour et la surveillance, relève en revanche de la responsabilité du prestataire selon les termes prévus.

Peut-on résilier un contrat de maintenance à tout moment ?

Cela dépend du préavis prévu, généralement de 1 à 3 mois. Vérifiez deux points avant de signer : la durée du préavis et l’absence de frais de sortie. Un contrat qui rend la résiliation coûteuse ou floue compense souvent un service qui ne donne pas envie de rester.

Article original sur WPFormation