Retour d'expérience de freelance WordPress sur les incidents les plus fréquents en clientèle et pourquoi la maintenance n'est jamais un luxe.
Quand un client appelle en panique parce que son site est en carafe, c'est rarement par hasard. Dans 9 cas sur 10, l'incident aurait pu être détecté plusieurs semaines avant, lors d'une intervention de maintenance bien menée.
Je m'appelle Sébastien, je suis développeur WordPress freelance à Lyon, et je gère plusieurs contrats de maintenance en parallèle de projets de création de sites. Voici une liste honnête des incidents que j'ai eus à traiter ces derniers mois, et ce qu'une maintenance régulière aurait changé.
1. La mise à jour de plugin qui casse l'affichage
Classique. Une extension Elementor passe en version majeure, et tout un layout responsive se retrouve cassé sur mobile. Le client ne s'en rend compte que trois jours plus tard, quand un prospect lui signale.
Ce qu'une maintenance bien faite change : les mises à jour passent d'abord par un environnement de staging ou, à défaut, par un site cloné. Avant chaque update, une sauvegarde complète (fichiers + base + config serveur). Si quelque chose casse, on rollback en 5 minutes plutôt qu'en 4 heures de debug.
2. Le plugin abandonné par son auteur
Un plugin populaire en 2022 n'a plus reçu de mise à jour depuis 18 mois. Compatible jusqu'à WordPress 6.3, on est en 6.7. Au prochain update du core, il casse silencieusement une fonctionnalité critique.
La maintenance permet d'auditer régulièrement les extensions actives : dernière mise à jour, compatibilité annoncée, vulnérabilités CVE connues. Quand un plugin commence à dériver, on cherche un remplaçant maintenu avant qu'il devienne un problème.
3. L'attaque brute force sur wp-login.php
Sans monitoring, vous ne le voyez pas. Avec monitoring, vous voyez 4 000 tentatives de connexion en 48h sur un compte admin avec un identifiant deviné depuis l'URL /author/admin/.
Quelques basiques qui changent tout :
- Désactiver l'énumération des auteurs (
?author=1) - Renommer ou cacher
wp-adminderrière un slug custom - Limiter les tentatives de connexion avec un plugin léger
- Mettre en place l'authentification à deux facteurs sur les comptes administrateurs
Aucune de ces actions n'est compliquée. Mais aucune ne se fait toute seule.
4. Le certificat SSL qui expire un dimanche soir
Renouvellement automatique mal configuré chez l'hébergeur, certificat Let's Encrypt qui expire un dimanche, site qui passe en "Connexion non sécurisée" sur Chrome pour tous les visiteurs du lundi matin.
Un monitoring qui surveille la date d'expiration du certificat et alerte 15 jours avant règle le problème. C'est dix lignes de configuration, et ça évite une journée d'incident à fort impact business.
5. Le serveur saturé par les images
Quatre ans d'exploitation, jamais de nettoyage. La médiathèque pèse 28 Go. Les images originales en 4000x3000 px sont servies telles quelles. Le score PageSpeed Mobile est passé de 78 à 31 sans que personne ne le remarque.
La performance ne se dégrade pas d'un coup. C'est une dérive lente, invisible au quotidien, qui finit par impacter le SEO et le taux de conversion. Une maintenance régulière inclut un contrôle des optimisations existantes : cache (WP Rocket, W3 Total Cache), compression d'images (Imagify, ShortPixel), minification HTML/CSS/JS, lazy loading.
6. La base de données qui gonfle silencieusement
Révisions de posts non purgées, transients expirés mais jamais nettoyés, tables d'anciens plugins toujours présentes après désinstallation. La base passe de 80 Mo à 1,2 Go en deux ans. Les requêtes ralentissent. Le TTFB grimpe.
Un nettoyage trimestriel — optimisation des tables, purge des révisions au-delà de N versions, suppression des transients expirés — garde la base saine.
7. Le rapport qu'on ne fait jamais
Le plus invisible des problèmes, mais celui qui empoisonne la relation client. Si vous facturez de la maintenance et que vous ne livrez aucune trace écrite de ce qui a été fait, le client doute. Il ne sait pas s'il en a pour son argent. Et il a raison de douter.
Chaque intervention devrait produire un rapport synthétique : mises à jour appliquées (avec versions avant/après), corrections réalisées, anomalies détectées, actions recommandées pour la suite. C'est ce qui transforme la maintenance d'une dépense floue en un service traçable.
Ce que j'ai mis en place
Pour mes propres clients, j'ai structuré la maintenance autour de quatre piliers : sécurité et mises à jour maîtrisées, sauvegardes avec plan de reprise, optimisations continues, et reporting détaillé. Je m'appuie sur un outil de monitoring dédié pour suivre la disponibilité, le temps de réponse, le certificat SSL et les alertes techniques entre deux interventions.
Sur le format, deux options selon le profil du site :
- Intervention ponctuelle (150 €, environ une demi-journée) : pour les sites vitrines ou les projets qui n'ont pas besoin d'un suivi mensuel mais qui doivent rester sains.
- Contrat mensuel ou trimestriel : pour les sites institutionnels ou e-commerce avec plus d'enjeux, plus de plugins, plus d'exposition.
Si vous êtes basé dans la région lyonnaise et que votre site WordPress tourne sans suivi depuis un moment, le détail de ma prestation est sur lyode.fr — Maintenance WordPress.
En résumé
La maintenance WordPress n'est pas un produit de luxe ni une rente d'agence. C'est juste ce qui fait la différence entre un site qui fonctionne dans cinq ans et un site qui tombe en panne au pire moment. Les sept incidents listés ici ont tous un point commun : ils sont prévisibles, et donc évitables.
Si vous gérez votre site vous-même, vous avez largement de quoi faire avec cette liste. Si vous préférez le confier à quelqu'un dont c'est le métier, c'est aussi une option raisonnable.
Top comments (0)