Maintenance WordPress : le guide complet pour un site qui dure (2026)

Je maintiens 345 articles WordPress en production depuis plus de 14 ans. Chaque semaine, je fais des sauvegardes, je vérifie les mises à jour, je surveille les performances et les failles de sécurité. Ce n’est pas glamour, mais c’est ce qui fait la différence entre un site qui tourne et un site qui finit piraté ou hors ligne un dimanche soir.

En tant que formateur WordPress certifié Qualiopi, je vois régulièrement des sites laissés à l’abandon pendant des mois. Le scénario est toujours le même : un plugin obsolète, une faille exploitée, des heures de travail perdues. Ce guide est celui que j’aurais voulu avoir quand j’ai commencé. Pas de théorie creuse, que du concret : checklists par fréquence, outils comparés, coûts réels et commandes WP-CLI pour automatiser le tout.

Pourquoi la maintenance WordPress n’est pas optionnelle

WordPress fait tourner 43% du web mondial. C’est une force, mais aussi une cible. Selon le rapport Sucuri 2024, 94% des CMS infectés étaient des sites WordPress. Pas parce que WordPress est mal sécurisé, mais parce que des millions de sites ne sont tout simplement pas maintenus.

La maintenance WordPress, ce n’est pas juste "cliquer sur Mettre à jour". C’est un ensemble de pratiques qui protègent votre site contre trois risques majeurs.

Le piratage. Un plugin pas mis à jour pendant 3 mois, c’est une porte ouverte. En 2025, Gravity Forms a subi une faille CVSS 9.8 (supply chain). Les sites à jour ont été protégés en 48 heures. Les autres… pas tous.

Les incompatibilités silencieuses. Une mise à jour de PHP, un conflit entre deux plugins, un thème qui casse après un update du core WordPress. Sans surveillance, ces problèmes s’accumulent jusqu’au jour où le site affiche un écran blanc. J’ai un guide complet sur les 10 erreurs WordPress les plus courantes si ça vous parle.

La performance qui se dégrade. Base de données qui enfle (révisions, transients, spam), images non compressées, scripts inutiles… Un site WordPress non entretenu perd en moyenne 0,5 seconde de temps de chargement par trimestre. Google le voit, vos visiteurs aussi.

On distingue trois types de maintenance : la préventive (mises à jour, sauvegardes, scans de sécurité), la corrective (réparer ce qui est cassé) et l’évolutive (améliorer, ajouter des fonctionnalités). Ce guide couvre principalement les deux premiers, qui sont les plus critiques.

Et le coût de ne rien faire ? Il est toujours plus élevé que le coût de la maintenance. Un site piraté coûte en moyenne entre 500 et 5 000 EUR à nettoyer (nettoyage, restauration, désindexation Google, perte de trafic). Une maintenance mensuelle de 50 à 100 EUR prévient 95% de ces incidents.

Les erreurs de maintenance qui coûtent cher

Avant de plonger dans les checklists, laissez-moi partager trois situations réelles que j’ai rencontrées en formation ou chez des clients. Elles illustrent pourquoi la maintenance n’est pas un "nice to have".

Le plugin oublié. Un site e-commerce avec un plugin de formulaire non mis à jour depuis 8 mois. Un bot a exploité une faille connue, injecté du code malveillant dans la base de données, et redirige tous les visiteurs vers un site de phishing. Google a blacklisté le site en 48 heures. Résultat : 3 semaines pour nettoyer, des milliers d’euros de chiffre d’affaires perdus, et une réputation entamée.

Le backup fantôme. Un blogueur convaincu d’avoir des sauvegardes automatiques. Le jour où son hébergeur a un problème, il découvre que le plugin de backup avait cessé de fonctionner 4 mois plus tôt (espace disque plein). Aucun backup utilisable. Tout le contenu des 4 derniers mois, perdu. Leçon : un backup non vérifié n’est pas un backup.

La mise à jour en production. Une agence qui met à jour WooCommerce en production un vendredi à 17h, sans staging. Incompatibilité avec le thème : le tunnel de commande est cassé tout le week-end. Personne ne s’en rend compte avant le lundi matin. 48 heures de ventes perdues sur un site qui fait 5 000 EUR/mois.

Ces trois situations avaient un point commun : elles étaient évitables avec un plan de maintenance basique. Pas besoin d’être expert, il suffit d’être méthodique.

Santé du site : l’outil gratuit que WordPress vous offre déjà

Depuis WordPress 5.2, un outil de diagnostic est intégré directement dans votre tableau de bord : Outils > Santé du site. Peu de gens l’utilisent, et c’est dommage. C’est votre première ligne de défense.

L’outil analyse automatiquement votre configuration et remonte deux types de signaux : les problèmes critiques (à corriger immédiatement) et les recommandations (améliorations souhaitables). Parmi les vérifications : version PHP, extensions inactives, HTTPS, modules serveur manquants, taille de la base de données, REST API fonctionnelle.

Si tu veux aller plus loin, j’ai écrit un article complet pour comprendre et corriger chaque test de Santé du site. C’est le point de départ de toute maintenance sérieuse.

Les 5 piliers d’une maintenance WordPress solide

Toute maintenance WordPress repose sur cinq piliers. Si l’un manque, l’ensemble est fragile.

1. Les sauvegardes. La règle d’or : stratégie 3-2-1. Trois copies de vos données, sur deux supports différents, dont une hors site. Un backup quotidien de la base de données et hebdomadaire des fichiers, stocké sur un cloud externe (Dropbox, Google Drive, S3). Sans sauvegarde fonctionnelle et testee, tout le reste est inutile. Et j’insiste sur "testée" : un backup que vous n’avez jamais essayé de restaurer n’est pas un backup, c’est un espoir.

2. Les mises à jour. Core WordPress, plugins, thèmes, et PHP. Les mises à jour WordPress corrigent des failles de sécurité et des bugs. Chaque semaine de retard est un risque supplémentaire. Testez toujours sur un staging avant de mettre à jour en production, surtout pour les majeures.

3. La sécurité. Pare-feu applicatif, authentification à deux facteurs, limitation des tentatives de connexion, suppression des comptes inutilisés. J’ai écrit un guide complet pour sécuriser WordPress si tu veux aller en profondeur. Le minimum : un plugin de sécurité actif et des mots de passe forts.

4. La performance. Cache, compression des images, nettoyage de la base de données, minification des assets. Un site lent perd des visiteurs et du SEO. Les Core Web Vitals (LCP, INP, CLS) sont des critères de classement Google depuis 2021. La maintenance performance, c’est du SEO technique.

5. Le monitoring. Surveillance de l’uptime, des erreurs 404, des tentatives de connexion suspectes, des performances. Sans monitoring, vous ne savez pas que votre site a un problème jusqu’à ce qu’un visiteur vous le dise. Et souvent, il ne le dit pas : il part. Les outils comme UptimeRobot (gratuit jusqu’à 50 moniteurs) où WP Umbrella (1,99 EUR/mois) vous alertent par email ou SMS en moins de 5 minutes si votre site tombe.

Le plan de maintenance complet par fréquence

Voici le plan de maintenance que j’applique sur mes propres sites. Chaque tâche est classée par fréquence, avec le temps estimé. Adaptez-le à votre contexte : un blog personnel n’a pas les mêmes besoins qu’un e-commerce à fort trafic.

Tous les jours (5 minutes)

• Vérifier que le site est en ligne (monitoring uptime type UptimeRobot, gratuit)
• Consulter les alertes de sécurité (tentatives de connexion, scans)
• Modérer les commentaires et supprimer le spam
• Vérifier que la page d’accueil et le formulaire de contact fonctionnent

Chaque semaine (30 minutes)

• Mettre à jour le core WordPress, les plugins et le thème (après backup)
• Vérifier l’intégrité du backup automatique (télécharger et ouvrir le fichier)
• Scanner le site pour les malwares (Wordfence, Sucuri, MalCare)
• Tester les formulaires et la délivrabilité des emails
• Vérifier les erreurs PHP dans le debug log ou Santé du site
• Supprimer les extensions et thèmes inactifs

Chaque mois (1 à 2 heures)

• Nettoyer la base de données : révisions, transients expirés, spam, corbeille. Voir notre sélection de plugins pour optimiser votre base de données
• Détecter et corriger les liens cassés (Broken Link Checker ou Ahrefs)
• Comprimer les nouvelles images non optimisées (Imagify, ShortPixel)
• Changer les mots de passe admin et hébergement
• Vérifier les permissions utilisateurs (supprimer les comptes obsolètes)
• Tester la vitesse du site (PageSpeed Insights, GTmetrix) et comparer avec le mois précédent
• Consulter Google Search Console : erreurs d’exploration, pages exclues, Core Web Vitals
• Vider le cache (plugin de cache + CDN si applicable)

Chaque trimestre (une demi-journée)

• Audit SEO complet : positions, trafic organique, pages en perte de vitesse
• Tester la restauration d’un backup complet (sur un staging, pas en production)
• Évaluer les plugins : y a-t-il des alternatives plus légères, plus sécurisées, mieux maintenues ?
• Vérifier la version PHP de votre hébergeur et passer à la dernière version stable (PHP 8.2+ recommandé)
• Réviser la configuration du cache et du CDN
• Vérifier la conformité RGPD (cookies, formulaires, mentions légales)

Une fois par an (une journée complète)

• Renouveler le nom de domaine, le certificat SSL et l’hébergement (mettre des rappels 30 jours avant)
• Rafraîchir le contenu obsolète : articles datés, liens morts, informations périmées
• Audit complet de sécurité : rôles utilisateurs, clés de sécurité wp-config.php, préfixe de BDD
• Évaluer si votre hébergeur répond toujours à vos besoins (trafic, support, performances)
• Faire le bilan de l’année : uptime, incidents, temps passé, coûts. Ajuster le plan pour l’année suivante

Automatiser sa maintenance avec WP-CLI et les cron jobs

Faire sa maintenance à la main, ça marche pour un ou deux sites. Au-delà, il faut automatiser. Deux outils changent la donne : WP-CLI (la ligne de commande WordPress) et les tâches planifiées (cron jobs).

WP-CLI permet d’exécuter en une ligne ce qui prend 10 clics dans l’admin. Voici les commandes que j’utilise le plus pour la maintenance.

Mettre à jour tous les plugins :

wp plugin update --all

Mettre à jour le core WordPress :

wp core update && wp core update-db

Nettoyer les révisions de plus de 30 jours :

wp post delete $(wp post list --post_type=revision --format=ids) --force

Supprimer les transients expirés :

wp transient delete --expired

Optimiser la base de données :

wp db optimize

Vérifier l’intégrité du core WordPress :

wp core verify-checksums

Pour les tâches planifiées WordPress (WP-Cron), le principe est simple : vous configurez un cron système sur votre serveur qui exécute ces commandes à intervalles réguliers. Sur un hébergement mutualisé comme o2switch, un simple cron curl toutes les 5 minutes suffit pour déclencher les tâches planifiées WordPress.

Vous pouvez aussi créer un script shell qui enchaîne toutes vos tâches de maintenance en une seule commande :

# maintenance-hebdo.sh
wp core update
wp plugin update --all
wp theme update --all
wp core verify-checksums
wp transient delete --expired
wp db optimize
wp cache flush
echo "Maintenance terminée : $(date)"

Planifiez ce script une fois par semaine via un cron système et vous aurez automatisé 80% de votre maintenance hebdomadaire. Le reste (vérifications visuelles, tests de formulaires, audit de contenu) nécessite encore un humain.

Les meilleurs plugins de maintenance WordPress comparés

Le choix du bon outil dépend de votre situation : un seul site ou plusieurs, budget ou pas, besoin d’autonomie ou envie de déléguer. Voici les plugins que j’ai testés et que je recommande, classés par usage. J’ai volontairement écarté les plugins de cache (WP Rocket, LiteSpeed Cache) et de sécurité pure (Wordfence, Sucuri) : ce sont des outils de performance et de sécurité, pas de maintenance à proprement parler. Ils méritent leurs propres guides.

Pour les sauvegardes : UpdraftPlus

Le leader incontesté des sauvegardes WordPress. La version gratuite couvre 90% des besoins : backup planifié (quotidien à mensuel), restauration en 3 clics, stockage cloud (Dropbox, Google Drive, S3, OneDrive). La version Premium ajoute les backups incrémentaux, le chiffrement de la BDD et la migration site-à-site. À 70$/an pour 2 sites, c’est le meilleur rapport qualité-prix du marché.

Pour le nettoyage de BDD : WP-Optimize

L’outil tout-en-un pour garder votre base de données propre. Suppression des révisions, transients, spam, commentaires en corbeille, optimisation des tables MySQL. Le tout en un clic ou en automatique. La version Premium ajoute la compression d’images et le cache. Du même éditeur qu’UpdraftPlus, les deux s’intègrent parfaitement.

Pour gérer plusieurs sites : ManageWP

La solution cloud pour gérer tous vos sites WordPress depuis un seul tableau de bord. Le plan gratuit est généreux : sites illimités, backup mensuel cloud, mises à jour en masse, rapports clients, 1-click login. Les addons payants (backup premium, monitoring, sécurité) coûtent 1 à 2$ par site et par mois. Propriété de GoDaddy depuis 2016, ce qui peut être un frein pour certains.

L’alternative self-hosted : MainWP

Le concurrent open-source de ManageWP, mais auto-hébergé : vos données restent sur votre serveur. Le plan gratuit gère un nombre illimité de sites. Le Pro à 199$/an déverrouille 30+ extensions (vulnérabilités, rapports clients, white-label). Meilleure note WP.org du lot (4.9/5 sur 2 341 avis). Le meilleur choix si vous voulez garder le contrôle total de vos données.

Tableau comparatif des outils

Outil	Type	Prix	Sites illimites	Note	Idéal pour
UpdraftPlus	Backup	Gratuit / 70$/an	195$/an	4.8/5	Tout le monde
WP-Optimize	BDD + cache	Gratuit / 49$/an	199$/an	4.8/5	Nettoyage régulier
ManageWP	Multi-sites cloud	Gratuit + addons	Oui (gratuit)	4.6/5	Freelances, agences
MainWP	Multi-sites self-hosted	Gratuit / 199$/an	Oui (gratuit)	4.9/5	Contrôle total
WP Umbrella	SaaS monitoring	1,99 EUR/site/mois	Non	4.7/5	Agences, reporting
InfiniteWP	Multi-sites self-hosted	Gratuit / 147$/an	697$/an	4.4/5	Grandes agences
WP Activity Log	Journal d’activité	Gratuit / 139$/an	Par site	4.7/5	Sécurité, audit

Déléguer sa maintenance : services et prestataires

Gérer sa maintenance soi-même, c’est possible quand on a le temps et les compétences. Mais à partir de 3-4 sites, ou si WordPress n’est pas votre métier, déléguer peut faire gagner du temps et de la tranquillité d’esprit.

Voici les principaux services de maintenance WordPress, classés par profil.

Services internationaux

GoWP (US) propose de la maintenance à 39$/site/mois : mises à jour vérifiées visuellement, backups cloud 90 jours, scans de sécurité quotidiens. Leur offre "Content Edits" à 99$/mois ajoute des modifications illimitées de contenu. Idéal pour les agences qui veulent du white-label.

WP Buffs (US) est le service 24/7 premium. À partir de 89$/mois par site : mises à jour hebdomadaires, support 24/7, backups 4 fois par jour, monitoring. Le plan "Perform" à 239$/mois ajoute l’optimisation de vitesse et le support e-commerce. Cher, mais complet.

Services français

WP Assistance propose un forfait annuel à 708 EUR HT/an (environ 59 EUR/mois) : backups quotidiens, mises à jour hebdomadaires, sécurité, monitoring temps réel. Plus de 250 avis avec une note de 4,9/5.

Maintenance CMS WP propose quatre formules de 79 à 219 EUR/mois. Le plan "Sérénité" à 109 EUR/mois couvre les mises à jour, les sauvegardes, le monitoring, la sécurité et le support. Engagement 12 mois, +15 à 20% sans engagement.

En moyenne, comptez entre 50 et 200 EUR HT/mois pour un site vitrine, et 300 à 1 000 EUR/mois pour un e-commerce complexe. La fourchette est large parce que les niveaux de service varient énormément : un forfait à 50 EUR/mois couvre les mises à jour et les backups, un forfait à 200 EUR/mois ajoute le monitoring 24/7, le staging, les rapports et un SLA garanti.

Comment choisir ? Pour un blog ou un site vitrine simple, un outil comme ManageWP (gratuit) ou WP Umbrella (1,99 EUR/site/mois) avec 1 heure de maintenance DIY par mois suffit. Pour un site business ou un e-commerce, un prestataire à 100-200 EUR/mois est souvent le meilleur compromis : vous gagnez du temps, vous dormez tranquille, et en cas de problème, quelqu’un est là pour réagir.

Que faire quand votre site est piraté ?

Même avec une maintenance irreprochable, le risque zéro n’existe pas. Si votre site est compromis, voici le protocole d’urgence que j’applique. Chaque minute compte.

Étape 1 : Isoler. Mettez le site en mode maintenance immédiatement. Changez tous les mots de passe : admin WordPress, BDD, FTP, hébergeur. Révoquez les clés de sécurité dans wp-config.php (utilisez le générateur officiel WordPress).

Étape 2 : Diagnostiquer. Scannez avec Wordfence, Sucuri ou MalCare. Comparez les fichiers du core WordPress avec les checksums officiels. Cherchez les fichiers modifiés récemment, les backdoors dans les thèmes et mu-plugins. Vérifiez les utilisateurs : un compte admin inconnu est le signe classique d’une intrusion.

Étape 3 : Nettoyer. Supprimez les fichiers infectés. Réinstallez le core WordPress proprement. Mettez à jour tous les plugins et thèmes. Si la contamination est profonde, restaurez depuis le dernier backup sain.

Étape 4 : Sécuriser. Installez un pare-feu applicatif. Activez le 2FA sur tous les comptes admin. Changez le préfixe de base de données si c’est encore "wp_". Vérifiez les permissions de fichiers (644 pour les fichiers, 755 pour les dossiers).

Étape 5 : Signaler. Si Google a détecté le piratage (avertissement "Ce site peut être piraté"), demandez un réexamen dans Google Search Console une fois le nettoyage terminé.

J’ai écrit un guide détaillé sur la marche à suivre quand votre WordPress est piraté ou hacké, avec les outils de scan et les étapes de remédiation complètes.

RGPD et maintenance : ce que vous devez savoir

La maintenance WordPress a des implications RGPD que beaucoup ignorent. Si vous collectez des données personnelles (formulaires, commentaires, comptes utilisateurs, commandes WooCommerce), certaines obligations s’appliquent directement à vos pratiques de maintenance.

Les sauvegardes contiennent des données personnelles. Votre backup quotidien inclut la base de données avec les noms, emails, adresses, commandes de vos utilisateurs. Si vous stockez ces backups sur un cloud américain (Dropbox, Google Drive, AWS), vous transférez des données hors UE. Assurez-vous que votre fournisseur est conforme au RGPD ou utilisez un stockage européen.

Les logs de sécurité tracent des données personnelles. Les adresses IP des tentatives de connexion, les journaux d’activité (WP Activity Log), les rapports de firewall : tout cela constitue des données personnelles au sens du RGPD. Définissez une politique de rétention (90 jours maximum recommandé) et mentionnez-le dans votre politique de confidentialité.

Le droit à l’effacement s’applique aux backups. En théorie, si un utilisateur demande la suppression de ses données, cela inclut les backups. En pratique, la CNIL admet une exception pour les sauvegardes techniques à condition que la rétention soit limitée et documentée. Mais vous devez pouvoir justifier votre politique de rétention.

À vérifier chaque trimestre : votre page mentions légales est à jour, votre bandeau cookies fonctionne, vos formulaires ont les cases de consentement, et votre politique de confidentialité mentionne les outils tiers que vous utilisez (analytics, cache, backup).

Combien coûte réellement la maintenance WordPress ?

Personne ne vous donne le vrai chiffre. Le voici, décomposé par profil.

Faire soi-même (DIY)

Si vous gérez votre maintenance vous-même avec des outils gratuits, voici le budget annuel réaliste pour un site vitrine :

Poste	Outil gratuit	Outil premium
Sauvegarde	UpdraftPlus Free (0 EUR)	UpdraftPlus Premium (70$/an)
Sécurité	Wordfence Free (0 EUR)	Wordfence Premium (119$/an)
Nettoyage BDD	WP-Optimize Free (0 EUR)	WP-Optimize Premium (49$/an)
Monitoring	UptimeRobot Free (0 EUR)	UptimeRobot Pro (84$/an)
Temps passé	~2h/mois (24h/an)	~1h/mois (12h/an)
Total annuel	0 EUR + votre temps	~300 EUR/an + votre temps

Le vrai coût caché, c’est le temps. 2 heures par mois à 50 EUR/heure (tarif freelance moyen), ça fait 1 200 EUR/an de temps investi. À ce tarif, déléguer à un prestataire à 59 EUR/mois (708 EUR/an) devient rentable si vous facturez votre temps plus de 30 EUR/heure.

Et si vous gérez plusieurs sites ? Avec des outils comme ManageWP (gratuit) ou MainWP (199$/an), le temps de maintenance par site descend à 15-20 minutes par mois. Pour 10 sites, ça fait 3 heures par mois au lieu de 20. C’est là que les outils multi-sites deviennent indispensables.

Déléguer à un prestataire

Type de site	Budget mensuel	Ce que ça couvre
Blog / site perso	30 à 50 EUR/mois	MAJ, backup, monitoring basique
Site vitrine PME	50 à 100 EUR/mois	+ sécurité, reporting, support
Site corporate	100 à 200 EUR/mois	+ SLA, staging, audit trimestriel
E-commerce	300 à 1 000 EUR/mois	+ WooCommerce, paiement, haute dispo

Mon conseil : si WordPress est votre outil de travail, la maintenance n’est pas un coût mais un investissement. Un site piraté ou en panne un vendredi soir coûte infiniment plus cher que 100 EUR de maintenance mensuelle. C’est comme l’assurance : on la trouve inutile jusqu’au jour où on en a besoin.

Questions fréquentes

À quelle fréquence faut-il faire la maintenance WordPress ?

Au minimum chaque semaine pour les mises à jour et les scans de sécurité, et chaque mois pour le nettoyage de base de données et l’audit de performance. Les sauvegardes doivent être quotidiennes pour la base de données et hebdomadaires pour les fichiers. Plus votre site a de trafic ou de transactions, plus la fréquence doit être élevée.

Peut-on automatiser entièrement la maintenance WordPress ?

Partiellement. Les sauvegardes, les mises à jour mineures et le nettoyage de BDD peuvent être automatisés avec des plugins comme UpdraftPlus et WP-Optimize, ou via WP-CLI. Mais les mises à jour majeures, l’audit de sécurité et le test des fonctionnalités critiques nécessitent une vérification humaine. L’automatisation complète est un mythe : elle donne un faux sentiment de sécurité.

Quel est le meilleur plugin de sauvegarde WordPress ?

UpdraftPlus est le leader avec 3 millions d’installations actives et une note de 4.8/5. La version gratuite couvre 90% des besoins (backup planifié, stockage cloud, restauration). Pour les sites critiques, la version Premium (70$/an) ajoute les backups incrémentaux et le chiffrement. BlogVault et Jeune Web Agency sont des alternatives cloud si vous voulez un backup totalement déporté.

Combien coûte un service de maintenance WordPress ?

Entre 30 et 200 EUR HT par mois pour un site vitrine, selon le niveau de service (mises à jour seules, sécurité, monitoring, support). Un e-commerce peut monter à 300 voire 1 000 EUR/mois. En France, WP Assistance propose un forfait à 708 EUR/an. Si vous gérez vous-même avec des outils gratuits, le coût financier est nul mais comptez 2 heures par mois de votre temps.

ManageWP ou MainWP : lequel choisir ?

ManageWP est un SaaS cloud (propriété de GoDaddy) : rien à installer côté serveur, interface intuitive, plan gratuit généreux. MainWP est self-hosted : vos données restent chez vous, meilleure note WP.org (4.9/5), Pro à 199$/an. Choisissez ManageWP si vous voulez la simplicité, MainWP si vous voulez le contrôle total de vos données.

WordPress a-t-il besoin de maintenance si j’ai un hébergement managé ?

Oui. Un hébergement managé (Kinsta, WP Engine, Jeune Web Agency) prend en charge les mises à jour du serveur, les sauvegardes et parfois les mises à jour du core WordPress. Mais la maintenance des plugins, du contenu, du SEO, de la sécurité applicative et de la conformité RGPD reste votre responsabilité. L’hébergement managé réduit la charge, il ne l’élimine pas.

Comment savoir si mon site WordPress a été piraté ?

Les signes classiques : redirections vers des sites suspects, fichiers inconnus dans wp-content, utilisateurs admin que vous n’avez pas créés, emails de spam envoyés depuis votre serveur, Google qui affiche "Ce site peut être piraté". Utilisez Wordfence ou Sucuri pour un scan complet. Consultez notre guide sur comment réagir quand votre WordPress est piraté.

Les mises à jour automatiques WordPress sont-elles fiables ?

Les mises à jour mineures automatiques (5.x.1 vers 5.x.2) sont généralement sûres et recommandées. Les mises à jour majeures (6.x vers 7.x) et les mises à jour de plugins peuvent casser des fonctionnalités. Ma recommandation : activez les mises à jour auto pour le core mineur et la sécurité, mais gardez le contrôle manuel sur les majeures et les plugins. Et faites TOUJOURS un backup avant.

Faut-il supprimer les plugins et thèmes inactifs ?

Oui, sans hésitation. Un plugin inactif n’est pas exécuté, mais son code reste sur votre serveur. Si une faille est découverte dans ce plugin, votre site est vulnérable même si le plugin est désactivé. Supprimez tout ce que vous n’utilisez pas. Idem pour les thèmes : ne gardez que le thème actif et éventuellement un thème par défaut (Twenty Twenty-Five) comme filet de sécurité.

Quelle version de PHP utiliser pour WordPress en 2026 ?

PHP 8.2 ou 8.3 sont recommandés. WordPress 6.9 supporte officiellement PHP 7.4 à 8.3, mais les versions 7.x sont en fin de vie et ne reçoivent plus de correctifs de sécurité. Vérifiez la compatibilité de vos plugins avant de migrer (Santé du site vous prévient si un plugin pose problème). La migration PHP se fait depuis le panneau de contrôle de votre hébergeur (cPanel, Plesk).

La maintenance, c’est de l’assurance

Après 14 ans à former des gens sur WordPress et à maintenir mes propres sites en production, je peux vous dire une chose : la maintenance n’est pas sexy, mais c’est ce qui sépare un site professionnel d’un site qui va finir dans les statistiques Sucuri.

Les outils existent, les checklists sont là. Il ne reste qu’à les appliquer. Commencez par les tâches hebdomadaires, automatisez ce qui peut l’être, et ne négligez jamais les sauvegardes. Un site WordPress bien maintenu peut durer des années sans incident majeur. Un site négligé, c’est une bombe à retardement.

Si vous manquez de temps ou de compétences, investir dans un service de maintenance à 50-100 EUR/mois est l’un des meilleurs retours sur investissement que vous puissiez faire pour votre présence en ligne. Et si tu veux aller plus loin et maîtriser WordPress en profondeur, ma formation WordPress couvre aussi la maintenance au quotidien.