Proposition de collaboration

BetterCallJeff × Fortiche Production

Proposition pour une collaboration sereine et sécurisée autour de votre plateforme : diagnostic, recommandations, expertise et modalités d'intervention.

Maintenance & Sécurité WordPress

Chapitre I

Contexte & approche

Contexte général et approche

Il est important de préciser dès le départ que le choix de WordPress n'est pas toujours le plus adapté à tous les contextes métiers et qu'il comporte des contraintes ainsi que des risques inhérents à la plateforme.

Ces risques concernent principalement :

la sécurité ;
la stabilité de la plateforme ;
la gestion des mises à jour ;
les interactions entre les différents composants du site.

L'objectif n'est pas de remettre en question le choix technologique actuel, mais de travailler avec l'existant de manière pragmatique et sécurisée, en mettant en place des bonnes pratiques permettant de réduire au maximum les risques opérationnels.

Gestion des mises à jour et nécessité d'un environnement de pré-production

Plusieurs sources de défaillance potentielles doivent être anticipées :

Plugins WordPress

Le site dépend de nombreux plugins provenant d'éditeurs différents. Chaque plugin suit son propre cycle de mise à jour, avec son propre niveau de qualité et de compatibilité.

Chaque mise à jour peut potentiellement :

introduire une régression ;
créer un conflit avec un autre plugin ;
provoquer un dysfonctionnement du site.

Elementor

Elementor constitue une dépendance importante du site. Les mises à jour de cet outil sont souvent plus lourdes que celles d'un plugin classique et nécessitent une attention particulière, notamment concernant :

les compatibilités ;
les performances ;
le rendu des pages ;
les interactions avec les autres extensions.

Mises à jour WordPress

Les mises à jour du cœur WordPress, qu'elles soient mineures ou majeures, nécessitent également un traitement spécifique et des vérifications avant déploiement.

Mise en place d'un environnement de pré-production

Pour limiter les risques, il est recommandé de mettre en place un environnement de pré-production. Cet environnement permet :

de tester les mises à jour ;
de valider les évolutions ;
de réaliser les opérations techniques sensibles ;
d'identifier les problèmes avant leur mise en production.

Principe clé

L'environnement de production doit rester le plus stable possible et ne pas servir de plateforme de test. Cette séparation est un élément fondamental pour sécuriser le fonctionnement du site dans le temps.

Chapitre II

Diagnostic & actions immédiates

Charge de travail mensuelle

Le volume de travail mensuel est difficile à anticiper précisément. Il dépend principalement :

du nombre de mises à jour publiées ;
de leur niveau de criticité ;
des éventuels correctifs à appliquer ;
des vérifications nécessaires après déploiement.

≈ 1 h

Base réaliste de maintenance mensuelle comme point de départ — socle minimal permettant d'assurer un suivi régulier de la plateforme.

Actions immédiates recommandées

Indépendamment des conclusions qui pourront être tirées d'un audit technique plus approfondi, plusieurs actions peuvent être engagées rapidement.

Sécurisation du workflow

Mise en place d'un environnement de pré-production.
Formalisation du processus de mise à jour.
Validation des changements avant mise en production.

Plan de sauvegarde (backups)

Aujourd'hui, aucun mécanisme de sauvegarde ne semble géré côté site. C'est l'un des points les plus critiques à traiter immédiatement.

Point critique

Une sauvegarde stockée uniquement sur le serveur de production ne constitue pas une véritable sauvegarde. En cas de compromission, de défaillance matérielle ou de perte d'accès au serveur, les sauvegardes disparaissent en même temps que le site.

Actions à mener :

vérifier si des sauvegardes serveur existent actuellement et si elles sont gérées par OVH (fréquence, rétention, restauration) ;
mettre en place un plan de sauvegarde déporté hors serveur (stockage externe / cloud distinct) ;
définir une politique claire : périodicité, rétention, fichiers et base de données ;
tester périodiquement les procédures de restauration pour s'assurer qu'elles fonctionnent réellement.

Hygiène technique du site

Inventaire des extensions installées.
Désactivation ou suppression des composants inutilisés.
Vérification de la pertinence des plugins actifs.
Réduction de la surface d'attaque globale.

Vérification de l'environnement OVH

Analyse de la configuration actuelle afin de s'assurer que :

les paramètres serveur sont optimaux ;
les ressources allouées sont adaptées ;
aucune anomalie de configuration n'est présente ;
l'environnement d'hébergement répond aux bonnes pratiques actuelles.

Estimation de la phase initiale

L'ensemble de ces actions peut être traité dans le cadre d'une intervention ponctuelle.

4 – 5 h

Soit une demi-journée de travail. Une fois cette phase réalisée, la plateforme disposera d'une base plus saine et plus sécurisée permettant de basculer ensuite sur un fonctionnement de maintenance récurrente.

Questions à adresser au département IT

Afin de mieux comprendre l'infrastructure actuellement en place :

Cloudflare est-il utilisé pour la gestion des DNS ?
Cloudflare est-il utilisé comme proxy devant le site ?
Existe-t-il un système de monitoring de l'infrastructure ?
Des protections spécifiques sont-elles en place côté serveur ?
Des restrictions particulières ont-elles été configurées au niveau de l'hébergement ou du réseau ?
Existe-t-il des mécanismes de supervision, d'alerting ou de journalisation permettant d'identifier rapidement un incident ?

Gestion des comptes utilisateurs et sécurité des accès

Comme évoqué lors de l'appel, une attention particulière doit être portée à la gestion des rôles utilisateurs. Aujourd'hui, tous les utilisateurs semblent disposer du rôle administrateur. Cette situation n'est pas conforme aux bonnes pratiques de sécurité.

Principe du moindre privilège

Chaque utilisateur doit disposer uniquement des droits nécessaires à ses missions. Les comptes administrateurs doivent être limités aux personnes qui en ont réellement besoin.

Il est également recommandé de mettre en place :

une authentification à double facteur (2FA) sur tous les comptes administrateurs ;
une revue régulière des comptes actifs ;
une vérification des droits attribués.

Réduction des risques de sécurité

La mise en œuvre des mesures précédentes permettra :

d'obtenir un périmètre plus sécurisé ;
de standardiser les pratiques ;
d'améliorer la visibilité sur l'environnement technique ;
de réduire les risques liés aux erreurs humaines.

Cela permettra également de limiter les effets de bord pouvant survenir lors :

d'une mise à jour ;
d'une mauvaise manipulation ;
d'une compromission de plugin.

Les plugins constituent aujourd'hui l'un des principaux vecteurs d'attaque de l'écosystème WordPress. Un plugin vulnérable, compromis ou racheté par un acteur malveillant peut devenir un point d'entrée critique pour un attaquant.

D'où l'importance :

d'une bonne hygiène du parc de plugins ;
d'un suivi régulier des mises à jour ;
d'une veille minimale sur les composants utilisés.

Gestion de la section « Job Offers »

Concernant la partie « Job Offers » actuellement présente sur le site, il serait utile de disposer d'un niveau de visibilité plus important sur le fonctionnement technique du système en place.

Dans l'idéal, j'aurais besoin des éléments suivants :

une documentation technique du plugin ou de la solution utilisée ;
un accès au dépôt GitHub si le développement est maintenu dans un repository privé ou public ;
à défaut, toute documentation fonctionnelle ou technique permettant de comprendre l'architecture actuelle ;
des informations sur le processus de maintenance et de mise à jour de ce composant.

L'objectif est de pouvoir :

évaluer la qualité et la pérennité de la solution ;
comprendre les éventuelles dépendances externes ;
identifier les contraintes de maintenance ;
anticiper les évolutions futures ou les risques potentiels.

Cette étape permettra également de déterminer si la solution actuelle est adaptée aux besoins de Fortiche à moyen et long terme ou si certaines améliorations pourraient être envisagées.

Chapitre III

Conditions de collaboration & expertise

Conditions de collaboration

Si l'ensemble des points précédemment évoqués est validé, alors il n'y a aucun obstacle à une collaboration.

Ces éléments constituent les fondations minimales nécessaires pour pouvoir intervenir de manière professionnelle, sécurisée et sereine sur la plateforme. Sans ce socle technique et organisationnel, il serait difficile de garantir la qualité des interventions ainsi que la stabilité du site dans le temps.

L'objectif n'est pas de complexifier l'existant mais au contraire de mettre en place un cadre de travail clair permettant de réduire les risques et d'assurer une maintenance maîtrisée.

Expertise et périmètre de compétences

Je travaille sur WordPress depuis près de 17 ans et ai été confronté à la quasi-totalité des problématiques que l'on peut rencontrer sur cette plateforme.

Développement et intégration

Création de thèmes sur mesure.
Modification et évolution de thèmes existants.
Intégration de maquettes.
Développement de fonctionnalités spécifiques.
Accompagnement de projets de toutes tailles.

Maintenance et accompagnement

Maintenance récurrente.
Support technique.
Gestion des mises à jour.
Résolution d'incidents.
Accompagnement de dizaines de clients aux profils variés.

Sites e-commerce

Expérience sur des sites vitrines.
Expérience sur des plateformes e-commerce.
Gestion des problématiques liées à WooCommerce et à son écosystème.

Sécurité WordPress

Ces dernières années, une part importante de mon activité a concerné la sécurité des sites WordPress :

Analyse de compromissions.
Nettoyage de sites infectés.
Suppression de malwares.
Gestion de piratages.
Investigation technique après incident.
Renforcement de la sécurité (hardening WordPress).
Mise en place de bonnes pratiques de sécurisation.

Performance et optimisation

Optimisation des temps de chargement.
Optimisation du front-end et du back-end.
Réduction des temps de réponse serveur.
Optimisation des ressources.
Amélioration des indicateurs Core Web Vitals.
Optimisation SEO technique liée aux performances.

Les Core Web Vitals constituent aujourd'hui l'un des principaux référentiels utilisés par Google pour évaluer l'expérience utilisateur et les performances d'un site web.

Ils m'ont fait confiance

Témoignages clients

Parfaitement satisfait & complètement ravi de mon expérience avec Jeff. En plus de la qualité du travail et du rendu final, ce fut une expérience très agréable : j'ai beaucoup apprécié la rigueur, la créativité, la souplesse de Jeff, toujours force de proposition sur les points à trancher. Bravo & merci !

Stephan Site sur mesure · heraxis.fr

Nous avons été accompagnés par Jeff pour notre projet d'optimisation de la vitesse de chargement des pages de notre site web et nous sommes aujourd'hui complètement satisfaits de la prestation de Jeff, autant au niveau des résultats attendus que dans le professionnalisme de Jeff. Toutes les réalisations techniques nous ont été expliquées clairement et nous avons eu une très bonne communication avec Jeff pour le suivi du projet. Nous recommandons à 100% les services de Jeff, sur le plan technique et professionnel, on ne peut espérer mieux !

Philippe Optimisation vitesse WordPress

Nous avons fait appel à l'agence Deep Sky pour résoudre des failles de sécurité sur plusieurs de nos plateformes WordPress. Au-delà de la mission qui a été réalisée avec succès, nous avons particulièrement apprécié le professionnalisme, la rigueur et la sympathie tout au long du processus. Merci pour tout.

Romain Sécurisation serveur WordPress

Vision personnelle sur WordPress

À titre personnel, même si je continue à intervenir quotidiennement sur WordPress et dispose d'une expertise approfondie sur cette plateforme, je ne la recommande plus systématiquement pour les nouveaux projets.

Cette position est principalement liée :

aux contraintes de maintenance récurrentes ;
aux risques de sécurité liés à l'écosystème de plugins ;
à la dette technique qui s'accumule avec le temps ;
à certaines limitations architecturales de la plateforme.

Aujourd'hui, il existe des technologies plus modernes et souvent mieux adaptées aux sites vitrines ou institutionnels. Ces solutions présentent généralement plusieurs avantages :

une sécurité renforcée par conception ;
de meilleures performances ;
une meilleure évolutivité ;
une maintenance considérablement réduite ;
une expérience de développement plus moderne.

Dans de nombreux cas, elles permettent également d'obtenir des performances très supérieures à celles d'un site WordPress traditionnel.

Philosophie d'accompagnement

Ligne directrice

Mon objectif est toujours de réduire la charge opérationnelle de mes clients. Un environnement technique doit être le plus transparent possible pour les équipes qui l'utilisent.

L'idéal est que les équipes puissent se concentrer sur leur cœur de métier sans avoir à se préoccuper continuellement des problématiques techniques sous-jacentes.

C'est également la raison pour laquelle je privilégie les architectures nécessitant peu de maintenance et peu d'interventions récurrentes. Lorsqu'une plateforme est correctement conçue et maintenue, le temps peut être consacré à des projets créateurs de valeur plutôt qu'à la correction de problèmes techniques ou à la gestion d'incidents évitables.

Chapitre IV

Modalités commerciales

Modalités de facturation

Mon tarif est actuellement de 129 € HT par heure.

Les interventions sont facturées au temps réellement passé, avec une granularité permettant de ne facturer que le travail effectivement réalisé. Par exemple :

15 minutes de travail correspondent à 15 minutes facturées ;
30 minutes correspondent à 30 minutes facturées ;
et ainsi de suite.

Ce mode de fonctionnement est particulièrement adapté :

à la maintenance ;
au support ponctuel ;
aux petites évolutions ;
aux demandes occasionnelles pouvant apparaître au cours du mois.

Suivi et transparence

Chaque facture est accompagnée d'un relevé détaillé des interventions réalisées comprenant :

la nature des actions effectuées ;
le temps consacré à chaque tâche ;
le détail du temps total facturé.

L'objectif est de conserver une visibilité complète sur les interventions et les coûts associés. Je reste également disponible pour échanger à tout moment sur les temps passés ou sur les besoins exprimés.

Estimation du besoin récurrent

Afin de disposer d'une vision réaliste du volume de maintenance nécessaire, il est préférable d'observer le fonctionnement du site pendant un à deux mois. Cette période permettra :

d'identifier le rythme réel des demandes ;
d'évaluer le temps moyen nécessaire ;
de confirmer ou ajuster l'enveloppe mensuelle.

À ce stade, une base d'environ 1 h de maintenance par mois me semble suffisante au regard des besoins identifiés.

Estimation budgétaire

Maintenance mensuelle récurrente

Tarif horaire

129 € HT

Base mensuelle estimée

1 h

Montant HT / mois

129,00 €

Montant TTC / mois (TVA 20 %)

154,80 €

Cette estimation reste indicative et sera ajustée en fonction des besoins réels observés.

Projets spécifiques et prestations complémentaires

Lorsque des projets plus importants nécessitent un travail significatif de conception, de développement ou d'accompagnement, ceux-ci font l'objet d'un cadrage spécifique.

Dans ce cas :

le besoin est défini précisément ;
le périmètre est validé ;
un budget dédié est proposé ;
la prestation est traitée comme un projet distinct.

Selon les cas, cette prestation peut :

remplacer temporairement la maintenance récurrente ;
venir s'ajouter à celle-ci ;
être totalement indépendante.

La démarche reste systématiquement transparente et discutée en amont afin de garantir une parfaite compréhension des attentes et des coûts associés.

BetterCallJeff

bettercalljeff.fr