Explication des tarifs de Site Protect : coûts, retour sur investissement et compromis pour les agences qui gèrent les sites de leurs clients
Si vous gérez entre 50 et 500 sites WordPress pour vos clients, vous avez probablement jeté un œil au tarif de Site Protect et pensé : « 2 $ par site. Ça fait vite beaucoup. »
Mais la question de savoir si cela en vaut la peine dépend moins du prix que de ce qui se passe lorsqu'une vulnérabilité touche votre portefeuille avant qu'un correctif ne soit disponible. Voyons cela plus en détail dans cet article.
Combien coûte Site Protect par site ?
Site Protect coûte 2 $ par site et par mois en tant que module complémentaire au forfait premium WP Umbrella. Si vous êtes utilisateur de WP Umbrella, vous bénéficiez déjà d'une surveillance de la disponibilité et des performances, de mises à jour automatisées des plugins/thèmes/noyaux, d'une gestion des sauvegardes et des restaurations, d'un journal d'activité, de rapports de maintenance client, d'un renforcement robuste de la sécurité et d'alertes en temps réel sur Slack, par e-mail ou les deux.
Lorsque vous activez le module complémentaire Site Protect, vous ajoutez des correctifs virtuels à l'infrastructure existante. Cela signifie que vous vous appuyez sur un système déjà stable, plutôt que d'ajouter une seule fonctionnalité de sécurité à une configuration incomplète. La surveillance, les mises à jour et les sauvegardes sont déjà en place. Site Protect est la couche de renforcement qui comble les lacunes pendant les fenêtres de correctifs.
En savoir plus sur Site Protect.
Que comprend Site Protect ?
Site Protect empêche les exploits au niveau PHP. Il repose essentiellement sur le patch virtuel. Voici comment cela fonctionne :
Lorsqu'une vulnérabilité de plugin est divulguée, avant qu'un correctif ne soit disponible ou que votre client n'approuve la mise à jour, Site Protect applique une règle qui bloque l'exploitation au moment de l'exécution. Le code vulnérable existe toujours dans les fichiers de votre site, mais l'attaque n'aboutit jamais car Site Protect l'intercepte au niveau PHP.
Les règles qui bloquent ces exploits proviennent directement de la base de données des menaces de Patchstack, un flux continuellement mis à jour par leur équipe de recherche et des hackers éthiques qui suivent en temps réel les vulnérabilités de WordPress. Vous ne vous fiez pas à une liste statique.
Par exemple, une vulnérabilité d'injection SQL peut nécessiter l'exploitation d'un paramètre appelé user_id. Le patch virtuel ne corrige pas le code vulnérable. Il surveille plutôt les requêtes qui tentent d'utiliser ce paramètre d'une manière correspondant à des modèles d'exploitation connus, et les bloque avant même que WordPress ne se charge complètement.
Comme la plupart des attaques se produisent entre le moment où une vulnérabilité est rendue publique et celui où les correctifs sont déployés, Site Protect garantit la sécurité de votre site. Il n'est pas réaliste de coordonner simultanément 200 mises à jour sur 200 sites clients. Les correctifs virtuels comblent cette lacune sans vous obliger à tout mettre à jour en même temps.
Au-delà des correctifs virtuels, Site Protect comprend un ensemble de règles de renforcement qui traitent les vecteurs d'attaque courants de WordPress :
- Désactiver les éditeurs de thèmes et de fichiers
- Masquer les informations relatives à la version WordPress
- Désactiver l'énumération des utilisateurs
- Restreindre l'accès à XML-RPC
- Ajouter des en-têtes de sécurité
- Bloquer les fichiers sensibles
- Désactiver la liste des répertoires
- Bloquer les commentaires indésirables
Apprenez : qu'est-ce que le patch virtuel dans WordPress ?
Site Protect est-il utile pour les agences qui gèrent plusieurs sites ?
Quand le prix de Site Protect en vaut la peine
Site Protect est conçu pour une seule tâche : bloquer les vulnérabilités connues avant qu'elles ne puissent être exploitées. Il remplit parfaitement cette fonction. Il est léger, efficace et ne nécessite aucune configuration ni maintenance.
Ce qu'il ne fait pas : ce n'est pas un scanner de logiciels malveillants. Si un site est déjà compromis, vous aurez besoin d'outils d'analyse dédiés pour effectuer une analyse post-incident. Site Protect ne nettoiera pas votre site après une attaque et ne le restaurera pas si une faille est exploitée.
Site Protect ne remplace pas les mises à jour. Il vous permet de gagner du temps pour effectuer vos mises à jour en toute sécurité, mais celles-ci restent nécessaires. L'objectif est de réduire l'urgence et la panique liées au déploiement des correctifs, et non de supprimer complètement leur nécessité. Pour déployer ces mises à jour à grande échelle, la gestion des mises à jour intégrée WP Umbrellaest déjà la solution dont vous avez besoin.
Si vous êtes concerné par l'un des cas suivants, nous vous recommandons vivement d'activer Site Protect :
- Les agences retardent les mises à jour. Si votre flux de travail comprend des périodes de test, des délais d'approbation par le client ou des contraintes de ressources qui empêchent la mise en ligne immédiate des mises à jour, Site Protect est indispensable. C'est pendant la période de vulnérabilité que la plupart des attaques ont lieu. Site Protect comble cette lacune.
- Agences gérant des boutiques WooCommerce. Les sites de commerce électronique sont des cibles à forte valeur ajoutée. Une boutique compromise peut perdre les données de paiement de ses clients, subir des rétrofacturations et faire l'objet de poursuites judiciaires. Pour les agences WooCommerce, 2 $ par site constituent une assurance rentable.
- Agences traitant avec des clients haut de gamme. Les grands clients attendent une sécurité au niveau de l'infrastructure, et pas seulement une analyse réactive. Site Protect démontre que votre posture de sécurité repose sur la prévention, et non sur la détection.
- Agences gérant plus de 100 sites. Lorsque vous gérez suffisamment de sites pour qu'une seule vulnérabilité puisse affecter plusieurs clients simultanément, la charge opérationnelle liée à la coordination des correctifs d'urgence devient importante. Les correctifs virtuels réduisent cette pression.
Quand Site Protect n'est peut-être pas nécessaire
Même si nous recommandons d'activer Site Protect pour tous vos sites, il peut y avoir quelques cas où cela n'est pas possible, notamment :
- Propriétaires de sites uniques ou petites équipes. Si vous gérez votre propre site ou quelques projets et que vous effectuez des mises à jour régulières, Site Protect est moins prioritaire que pour les agences.
- Projets amateurs avec un trafic minimal. Un site à faible trafic sans attentes particulières de la part des clients en matière de sécurité ne justifie pas le coût de la même manière.
Quel est le retour sur investissement de Site Protect pour les agences WordPress ?
Même un incident mineur mobilise plusieurs heures du temps des développeurs seniors. Vous devez enquêter sur ce qui s'est passé, récupérer les sauvegardes, coordonner avec le client, puis déployer les correctifs. Ce travail à lui seul dépasse souvent le coût de plusieurs mois de Site Protect pour l'ensemble de votre portefeuille.
Selon IBM, le coût moyen mondial d'une violation de données a atteint 4,44 millions de dollars en 2025. Pour une agence, le coût par incident est évidemment moins élevé, mais il n'est pas négligeable. Si l'on ajoute à cela la communication avec les clients, la récupération potentielle des données et l'atteinte à la réputation causée par un incident de sécurité, on arrive à un montant d'au moins cinq chiffres, même pour une « petite » violation.
Site Protect peut coûter plusieurs centaines d'euros par mois si vous avez un portefeuille de clients important. Mais un seul incident coûte au minimum plusieurs milliers d'euros. Le calcul est simple.
Tarification Site Protect : réponse définitive
Pour les agences opérant à grande échelle, l'activation de Site Protect sur l'ensemble du portefeuille supprime une variable d'un système déjà complexe. À 2 dollars par site, la décision repose moins sur le prix que sur la cohérence opérationnelle. Vous n'achetez pas une fonctionnalité. Vous achetez la stabilité pendant les heures qui précèdent l'arrivée des correctifs et le déploiement des mises à jour.
Ensuite, lisez le guide complet sur la sécurité WordPress 2026.
FAQ sur Site Protect
Avec environ 100 sites, la plupart des agences commencent à ressentir la pression liée à la coordination des mises à jour. Au-delà de 250 ou 300 sites, cela devient une charge opérationnelle. Au-delà, c'est une question d'infrastructure.
Pour les portefeuilles plus modestes, disons 50 à 100 sites, Site Protect est utile si vous retardez les mises à jour pour des raisons de test, d'approbation par le client ou de ressources. Si vous déployez les correctifs dans les 48 heures suivant leur publication, cela peut être facultatif.
Pour les opérations de taille moyenne (100 à 300 sites), il est fortement recommandé. Pour 200 à 600 dollars par mois, vous bénéficiez d'une stabilité opérationnelle et éliminez une source de problèmes urgents.
Et à partir de 300 sites, Site Protect cesse d'être une fonctionnalité pour devenir une nécessité. Une seule vulnérabilité non corrigée affectant simultanément des dizaines de clients est un scénario qui justifie sans aucun doute le coût.
Le patching virtuel ne prévient pas tous les problèmes de sécurité ; ce n'est pas réaliste. Mais il élimine un risque spécifique à fort impact : l'exploitation des vulnérabilités connues pendant la fenêtre de patch. Pour une agence qui gère des sites à grande échelle, l'avantage est évident.
Vous n'êtes pas réveillé à 2 heures du matin parce qu'une vulnérabilité critique a été exploitée sur trois sites clients pendant que vous dormiez. Votre équipe passe moins de temps à gérer les incidents et plus de temps sur le travail planifié et les relations avec les clients. La réduction du nombre d'incidents vaut généralement plus que le poste budgétaire mensuel.