Le scénario WordPress qui finit toujours par un appel à 7h du matin

WordPress est gratuit. C'est ce qu'on dit aux petits commerçants qui demandent un site. Et c'est vrai — jusqu'au matin où le téléphone sonne, où une cliente leur signale que leur site affiche des publicités pour des sites de paris en ligne, et où ils découvrent qu'ils ne savent pas du tout quoi faire. Voici comment ce scénario se déroule, pas à pas. Il n'arrive pas à tout le monde. Mais il arrive à beaucoup plus de gens qu'on ne le croit.

Le service rendu — comment ça commence toujours

L'histoire commence presque toujours pareil. Une boulangère, une coiffeuse, un menuisier, un kinésithérapeute — quelqu'un qui se rend compte qu'il n'a pas de site et qui en a besoin. Un client lui a posé la question, ou il a vu que son concurrent en avait un. Il en parle autour de lui. Et il finit par tomber sur quelqu'un qui lui dit : "Moi je connais WordPress, je peux te faire ça gratuitement, c'est facile."

Ce quelqu'un, c'est souvent un proche, un voisin, un cousin un peu doué en informatique. Il y croit. Il a déjà installé WordPress chez lui ou pour un copain. Il pense rendre service. Et techniquement, il le fait : un dimanche après-midi, il achète un nom de domaine pas cher, prend un hébergement à 3 € par mois, installe WordPress, choisit un thème gratuit qui ressemble à l'activité du client, ajoute trois plugins (un pour le formulaire de contact, un pour les images, un pour le SEO parce qu'on lui a dit qu'il en fallait un). En quatre heures, le site est en ligne. Tout le monde est content.

Personne, à ce stade, ne sait ce qui va se passer ensuite.

Les premiers mois — l'illusion que tout va bien

Pendant deux mois, le site tourne. Le commerçant envoie des photos par SMS au "voisin développeur", qui les ajoute lui-même parce que le client n'a pas envie de toucher à l'admin. Un client laisse un message via le formulaire de contact. Tout le monde est content. "Tu vois, ça marche ton truc."

Puis WordPress sort une mise à jour. Le voisin clique sur "Mettre à jour". Tout se passe bien. Une semaine plus tard, c'est un plugin qui demande une mise à jour. Il clique. Tout se passe bien. Trois jours plus tard, c'est le thème. Il clique. Et là, le site affiche une page blanche.

Il passe sa soirée à comprendre ce qui s'est cassé. C'est un conflit entre le thème et un plugin, après mise à jour. Il désactive le plugin, il remet une ancienne version, le site revient. Il note dans un coin de sa tête : "il faudra que je trouve une solution".

Il ne trouve jamais la solution.

Le glissement — quand tout commence à déraper sans bruit

Trois mois passent. Le voisin est débordé par sa propre vie. Il ne touche plus au site. Les mises à jour s'accumulent dans le panneau d'administration — il y en a quatorze en attente. Le plugin de SEO affiche un avertissement de sécurité. Le plugin de formulaire de contact n'est plus maintenu et "n'est plus compatible avec votre version de WordPress". Il ferme le panneau, il se dit qu'il verra ça le week-end prochain. Il ne le voit jamais.

Pendant ce temps, le commerçant ne sait rien de tout ça. Il vend son pain, ses coupes, ses meubles, ses séances. Son site est toujours en ligne, il a l'air normal vu de l'extérieur. Tout va bien.

C'est exactement à ce moment-là que ça devient dangereux. Parce qu'à l'extérieur, rien ne change. Mais à l'intérieur, le site est devenu une porte ouverte.

L'appel — le moment où tout bascule

Imaginez un mardi matin, à 7h12. Le téléphone du voisin sonne. Au bout du fil, le commerçant. Il n'appelle jamais à 7h12. Il a la voix de quelqu'un qui n'a pas dormi.

"Qu'est-ce qui se passe sur mon site ? Une cliente vient de me dire qu'il y a des publicités bizarres dessus, elle m'a montré sur son téléphone, ce sont des sites de paris en ligne avec des dollars partout, je ne comprends pas, je n'ai jamais mis ça, qu'est-ce que je fais ?"

Le voisin ouvre son ordinateur. Il ouvre le site. Effectivement. Des bannières qui clignotent, du texte injecté en bas de chaque page, des liens vers des sites russes. Le site a été piraté. Probablement via une faille dans un des plugins qui n'avaient pas été mis à jour depuis quatre mois.

Le pire, ce n'est pas le piratage. Le pire, c'est ce qu'il faut annoncer ensuite.

Ce qu'il faut annoncer

Il faut nettoyer le site. Ça va prendre du temps. On n'est pas sûr de pouvoir tout récupérer. Il y a peut-être des sauvegardes automatiques chez l'hébergeur, peut-être pas. Pendant ce temps, le site sera hors ligne. Google va probablement pénaliser la boutique parce qu'il a détecté du contenu malveillant. Le site risque d'apparaître dans les résultats de recherche avec un avertissement rouge "Ce site peut endommager votre ordinateur" — et ça mettra des mois à disparaître, même après le nettoyage.

Et à la fin de tout ça, le commerçant dira sûrement la même phrase que disent toujours les commerçants dans ces moments-là : "mais je n'ai rien fait, moi."

Et c'est exactement le problème. Il n'avait rien fait. Il avait juste vendu son pain, coupé ses cheveux, monté ses meubles, soigné ses patients. Il avait cru que son site, c'était comme sa devanture : on le pose, et il reste en place. Personne ne lui avait dit que c'était une plante qu'il fallait arroser tous les mois, sinon elle mourait. Personne ne lui avait dit qu'il y avait un coût caché — pas en argent, en attention permanente.

Pourquoi ce scénario revient si souvent

Ce scénario, ce n'est pas une caricature. C'est ce qui se passe régulièrement, partout en France, à des gens qui ont voulu rendre service ou se débrouiller seuls. La fréquence est mal mesurée parce que les victimes en parlent peu : c'est gênant, c'est technique, et la plupart du temps elles finissent par abandonner leur site et passer à autre chose, sans en faire une histoire publique.

Mais le pattern est toujours le même. Quelqu'un installe WordPress un dimanche pour rendre service. Quelques mois plus tard, il n'a plus le temps de s'en occuper. Les mises à jour s'accumulent. Une faille s'ouvre. Quelqu'un, quelque part dans le monde, scanne automatiquement les sites WordPress vulnérables et trouve le vôtre. Le site est piraté. Et personne, ni le commerçant, ni le voisin développeur, n'est équipé pour réparer les dégâts dans des délais raisonnables.

Ce n'est pas la faute de WordPress. WordPress est un outil formidable pour les gens dont c'est le métier. C'est juste un mauvais outil pour ceux dont ce n'est pas le métier — et qui n'ont personne dont c'est le métier en face d'eux, en continu, payé pour s'en occuper.

Ce qui devrait être fait dès le départ

Le bon raisonnement, ce n'est pas "comment je lui fais un site gratuit". C'est "comment je lui fais un site qui ne va jamais lui exploser à la figure, qui ne va jamais lui demander de faire quoi que ce soit techniquement, et qui va rester en ligne sans qu'il y pense pendant les dix prochaines années".

C'est une logique différente. Elle a un coût, parce qu'il faut que quelqu'un s'occupe de la technique en continu, à la place du commerçant, pour de vrai. Mais ce coût, il est connu d'avance, il est petit, il est régulier — et il évite l'appel de 7h12 du matin.

C'est exactement la logique sur laquelle BlogWeb a été construit. Pas un CMS gratuit qu'on installe et qu'on abandonne. Un service complet où la technique est gérée en continu, où il n'y a pas de plugins à mettre à jour, pas de thèmes qui se cassent, pas de failles de sécurité non corrigées, pas de sauvegardes oubliées. Un seul interlocuteur, un prix connu, et un site qui reste en ligne sans que vous ayez à y penser.

Le scénario du mardi matin à 7h12, on ne veut pas que vous le viviez. C'est pour ça que BlogWeb existe.

Vous ne voulez pas de l'appel de 7h du matin ?