WordPress motorise 42,5 % du web mondial, mais pour un institut de beauté ou un salon de coiffure, la mécanique s’est grippée. 108 failles critiques par semaine, une facture de maintenance qui explose, du code verrouillé par des constructeurs propriétaires. On regarde les chiffres, on décortique les causes, et on dit ce qui marche vraiment en 2026.
En 2025, à peine 61 % des TPE et PME françaises disposent encore d’un site web actif [1]. Elles étaient 70 % un an plus tôt. Ce n’est pas une petite érosion, c’est une chute brutale. Et le problème n’est pas un désintérêt soudain pour le digital, c’est un épuisement technique et financier. Les gérants de petits business locaux abandonnent leur site parce que la facture de maintenance s’envole, parce que les pages rament, et parce qu’ils se font régulièrement pirater.
Au centre de cette hémorragie, un coupable dont l’industrie n’aime pas parler : WordPress. Le système motorise aujourd’hui 42,5 % du web mondial et pèse 59,8 % du marché des CMS [2]. Mais pour un institut de beauté ou un salon de coiffure à Rennes, la mécanique s’est grippée. Refaire son site sur WordPress en 2026, c’est souvent signer un chèque en blanc pour maintenir une usine à gaz qui devient chaque année plus lourde et plus exposée.
Dans cet article, on prend le temps de regarder les chiffres, on décortique les trois causes profondes de cet effondrement, et on dit ce qui marche vraiment pour un petit business local en 2026. Sans langue de bois et sans pub déguisée.
La domination de WordPress masque une réalité de terrain qui devient difficile à ignorer. D’un côté, le logiciel écrase la concurrence. De l’autre, ses utilisateurs souffrent, mais personne dans l’écosystème n’a intérêt à le dire trop fort.
| Plateforme CMS | Part sur l’ensemble du web | Part sur le marché des CMS |
|---|---|---|
| WordPress | 42,5 % | 59,8 % |
| Shopify | 5,1 % | 7,2 % |
| Wix | 4,3 % | 6,0 % |
| Squarespace | 2,5 % | 3,5 % |
En Bretagne comme ailleurs, 99 % des dirigeants de TPE-PME reconnaissent qu’internet est indispensable à leur activité. Et pourtant, 66 % d’entre eux dépensent désormais moins de 300 € par an pour leur présence numérique. Les budgets se contractent parce que l’outil actuel est devenu indomptable pour qui n’a pas un informaticien dans son entourage.
Le volet sécurité est le plus alarmant. Le dernier rapport national de Cybermalveillance.gouv.fr, publié en octobre 2025, indique que 16 % des TPE-PME françaises ont été victimes d’au moins un incident cyber au cours des douze derniers mois [3]. Parmi ces incidents, 43 % relèvent de l’hameçonnage, 18 % de l’exploitation de failles de sécurité, et 11 % de consultations de sites internet vérolés [3]. Un an plus tôt, ces trois chiffres étaient respectivement à 24 %, 14 % et 5 %. Tout accélère, et les TPE ne suivent plus.
Cette casse n’est pas du hasard. Elle découle de trois causes techniques et économiques profondément ancrées dans l’ADN de WordPress tel qu’il est vendu aux TPE en 2026. L’outil a été pensé à l’origine pour des blogueurs au début des années 2000. Il n’a jamais été redesigné pour être l’infrastructure critique d’un commerce local de 2026.
WordPress fonctionne avec une base de données exposée en permanence et du code PHP exécuté sur le serveur à chaque visite. Pour ajouter la moindre fonctionnalité, un formulaire, un calendrier, une galerie, on installe des plugins développés par des milliers d’éditeurs indépendants de qualité très inégale. Chaque plugin est une porte potentielle.
Les chiffres publiés chaque semaine par Wordfence, la firme de référence sur la sécurité WordPress, donnent le vertige. Sur la seule semaine du 23 au 29 mars 2026, 108 vulnérabilités ont été divulguées, affectant 79 plugins différents [4]. La semaine suivante, on recensait 23 failles de type Cross-Site Scripting (XSS) et 5 failles critiques d’exécution de code à distance notées 9.8/10 sur l’échelle de dangerosité [5]. Un mois plus tôt, la CVE-2026-2448 touchant le constructeur de page SiteOrigin exposait des centaines de milliers de sites en une seule faille [6].
Ce n’est pas un incident ponctuel. C’est un flux continu. Chaque semaine sans mise à jour est un risque d’infection réel. Et le panorama général de la cybermenace publié par l’ANSSI en mars 2026 confirme que les cybercriminels automatisent leurs attaques pour couvrir un maximum de cibles avec un minimum d’effort [7]. Dans ce contexte, un site TPE avec dix plugins non maintenus est littéralement une invitation.
On vend souvent WordPress comme une option gratuite. C’est faux. L’installation est gratuite, la survie du site est payante. Un site WordPress professionnel en 2026 exige un empilement de licences annuelles pour fonctionner correctement [8] :
On arrive vite à 400 € ou 500 € de frais fixes annuels juste pour maintenir les extensions fonctionnelles. À cela s’ajoutent l’hébergement (80 à 150 €/an) et surtout l’intervention d’un webmaster pour faire les mises à jour sans casser le site. Les forfaits de maintenance facturés par les agences françaises vont de 50 € à 200 € par mois [8]. Sur cinq ans, le budget d’un site soi-disant "gratuit" explose.
La troisième cause est plus pernicieuse : le vendor lock-in. Pour simplifier la création, le marché a imposé des constructeurs de pages visuels, Elementor, Divi, Visual Composer. Ces outils génèrent un code source catastrophique, lourd, qui pénalise sévèrement les temps de chargement et les Core Web Vitals de Google.
Ça nous énerve de voir des commerçants complètement coincés : s’ils arrêtent de payer la licence Elementor Pro, leur site se disloque. Le contenu est emprisonné dans des balises propriétaires. Leur texte et leurs photos ne sont pas vraiment à eux, ils sont prisonniers d’une technologie qu’ils ne comprennent pas. Pour un petit business local qui démarre, c’est une perte totale de souveraineté numérique. Et pour en sortir, il faut tout reconstruire.
La réponse technique aux vulnérabilités et aux lenteurs ne passe pas par « un meilleur plugin de sécurité ». Elle passe par un changement d’architecture. On arrête de mélanger base de données et affichage à chaque visite. L’approche qui domine le web haute performance en 2026 repose sur la génération de sites statiques, via des frameworks modernes comme Astro, Next.js ou 11ty couplés à un système de contenu « headless » [9].
Concrètement : le code est compilé une seule fois. Quand un client visite le site du salon de coiffure, le serveur lui livre un simple fichier HTML ultra-léger. Le résultat est chirurgical. Les temps de chargement tombent sous les 500 millisecondes, les scores de performance Google frôlent les 100/100, et surtout, il n’y a plus de base de données exposée publiquement à pirater. Les robots qui scannent le web à la recherche de failles WordPress repartent les mains vides parce qu’il n’y a rien à attaquer. Zéro plugin à mettre à jour le vendredi soir, zéro CVE à patcher en urgence.
Pour rendre cette architecture accessible à un budget TPE, la production elle-même doit changer. C’est là que le modèle économique rejoint la technique. Chez Resite, on embrasse l’IA alors que d’autres agences en ont peur. On a automatisé une grosse partie de la production pour proposer 49 €/mois au lieu d’exiger 3 000 € d’acompte à un institut de beauté qui démarre. L’ingénierie lourde est gérée de notre côté, et le client obtient un site rapide, sécurisé, et sans ticket d’entrée.
Soyons honnêtes : on n’a pas toutes les réponses. On apprend encore, notamment sur la façon dont l’IA va bouleverser la recherche locale et le contenu des deux prochaines années. Le comportement des consommateurs change vite et on teste des choses qui parfois ne marchent pas. Mais sur le choix de l’infrastructure pure, l’incertitude est levée : confier la vitrine numérique d’un petit business à un socle statique codé sur mesure est la seule garantie de pérennité qu’on ait vue tenir sur la durée.
La théorie c’est bien, les chiffres c’est mieux. On oppose l’approche classique, WordPress vendu par une agence avec forfait de maintenance, au modèle d’abonnement sans création initiale que permet le code sur mesure industrialisé. On prend comme cas d’école un institut de bien-être rennais qui veut une vraie vitrine pro pendant 5 ans.
| Poste de dépense sur 5 ans | WordPress via agence classique | Code sur mesure en abonnement (49 €/mois) |
|---|---|---|
| Création initiale | 2 500 € | 0 € |
| Hébergement + domaine | 425 € | Inclus |
| Licences plugins premium | 1 500 € | 0 € (code natif) |
| Maintenance technique | 4 500 € | Inclus |
| Corrections après piratage (provision 1 incident) | 500 € | 0 € |
| Total estimé sur 5 ans | 9 425 € | 2 940 € |
Faut être honnête sur les tradeoffs. Un site codé sur mesure avec un générateur statique n’est pas fait pour qu’un gérant installe quarante gadgets clignotants un dimanche après-midi. Le dirigeant délègue la technique, et en échange il gagne de la vitesse, de la sécurité et de la tranquillité. Ce n’est pas le bon choix pour tout le monde.
Et il y a des situations où WordPress reste objectivement pertinent en 2026. Si une PME gère un e-commerce avec plusieurs milliers de références, des déclinaisons complexes, une gestion fine des stocks et des livreurs, l’écosystème WooCommerce reste un des meilleurs compromis du marché. De la même façon, pour un média ou un blog à très forte cadence éditoriale avec des dizaines de rédacteurs, l’admin WordPress est mature et difficile à battre.
Mais pour 80 % du marché local, les artisans, les instituts de beauté, les salons de massage, les thérapeutes qui ont besoin d’une visibilité locale, d’une prise de rendez-vous et d’une image de marque solide, la machinerie WordPress est devenue un boulet. C’est notre avis, il est assumé, et il est basé sur ce qu’on voit chaque semaine en accueillant des clients qui fuient leur ancien WordPress.
WordPress a permis de lancer le web participatif. C’était un outil formidable il y a dix ans, et il reste pertinent sur certains cas, les e-commerce complexes, les médias à forte cadence. Mais pour un commerçant local de 2026, son architecture fait porter sur ses épaules le poids de la dette technique, des failles de sécurité mondiales et du vendor lock-in. Continuer d’imposer ce modèle à un institut de beauté qui démarre relève au mieux de l’inertie, au pire de l’opportunisme commercial.
La technologie permet aujourd’hui de générer du code propre, ultra-rapide et bien plus difficile à pirater, le tout lissé sur une mensualité raisonnable. Le marché évolue vers la performance brute et la tranquillité d’esprit. C’est pour ça qu’on a lancé Resite.
Ce qu’on en retient
Refondre son site en 2026, ce n’est plus forcément refaire son WordPress. Pour beaucoup de petits business locaux, c’est carrément changer de paradigme et passer à quelque chose de plus léger, plus sûr, et dont le coût est enfin prévisible. L’époque du gros chèque d’acompte suivi de plugins qui plantent un dimanche soir est en train de se terminer.
Si vous êtes sur WordPress, que votre site rame, qu’il vous coûte une fortune en maintenance ou que vous n’arrivez plus à le modifier sans risquer de tout casser, on prend 30 minutes ensemble pour regarder concrètement ce qui peut être fait. Pas de devis à 5 000 €, pas de pression commerciale.
Sources citées
Seules 61 % des TPE françaises ont encore un site actif en 2025, contre 70 % un an plus tôt. Les vieilles plateformes coûtent trop cher à maintenir et ne rapportent plus. On regarde quand refondre, pourquoi le modèle « Big Bang » est mort, et ce qui marche vraiment.
Lire l’articleAnalyse de marchéLe marché web rennais est illisible : 500 € chez l’un, 15 000 € chez l’autre, pour des prestations en apparence identiques. On démonte les prix affichés, les coûts cachés et le seul modèle mathématiquement viable pour une TPE locale.
Lire l’articleAnalyse de marchéLes défaillances d’entreprises en Ille-et-Vilaine ont explosé. Une grande partie des TPE qui ferment n’avaient pas de présence web efficace. On regarde les chiffres, on analyse les causes et on dit ce qui marche vraiment en 2026.
Lire l’article