WordPress, IA, plugins : ne lisez pas n’importe quoi

Aujourd’hui sur WPFormation, je vais vous parler d’un truc qui me gonfle fatigue encore plus en 2026 qu’en 2016, à savoir les : "oui mais je l’ai lu sur…", "Machin(e) du site bidule conseille…", "pourtant Trucmuche dit que c’est top…", et la version 2026 : "ChatGPT m’a dit que…", "j’ai vu sur LinkedIn que Claude Code…", "il y a un skill qui fait ça en un prompt…".

La plupart du temps, il s’agit de conseils peu ou pas appropriés lus sur un site, un thread LinkedIn ou recrachés par une IA, d’un manque de précautions évident ou tout simplement d’une méconnaissance totale de l’auteur sur WordPress et désormais sur l’IA.

Moralité : Ne lisez pas n’importe quoi !

Arrrgh ! Ne lisez pas n’importe quoi (10 ans plus tard, c’est pire)

Depuis le temps que WPFormation existe (14 ans tout de même ;) et surtout depuis la sortie de mes premières formations, j’ai répondu à des milliers de questions sur et autour de WordPress. Que ce soit des débutants qui découvrent purement et simplement WordPress, des stagiaires en formation présentielle ou des PME qui se font installer un site, j’ai eu toutes sortes de questions. De la plus simple à la plus technique, je mets toujours un point d’honneur à y répondre du mieux possible.

Toutefois, depuis quelques années maintenant et surtout depuis la multiplication des sites traitants (plus ou moins bien) de WordPress, je remarque que de trop nombreuses erreurs sont principalement liées à de mauvaises informations lues çà et là. Et depuis 2023, on a ajouté une couche bien épaisse : les conseils crachés par les IA et les pseudo-tutos générés à la chaîne par des gens qui n’ont jamais ouvert un wp-config.php de leur vie.

Les sites qui parlent de WordPress se multiplient, et c’est logique. WordPress fait tourner 44% du Web en 2026, forcément cela génère des convoitises. Le nombre de sites qui proposent la "top liste" des plugins du moment, le e-book à télécharger avec plein d’astuces inside, les conseils incroyables à mettre en place absolument pour obtenir des milliers de visiteurs… Wahouu c’est juste impressionnant ^^

Sauf qu’en 2026, on a aussi les "Top 10 skills Claude Code à installer absolument" sur LinkedIn, les "MCP servers qui vont changer ta vie" sur X, les threads de 47 prompts magiques pour "10x ta productivité WordPress avec l’IA". Wahouu (bis).

Voici, ci-après, ce qui revient bien trop régulièrement à mon goût parmi les erreurs induites par ces mauvais conseilleurs, version 2016 toujours d’actualité, version 2026 nouvelle génération.

Préambule : les bases (toujours)

J’ai envie de dire que de base, vous devriez avoir quelques notions de base sur ce qu’est : un nom de domaine, un serveur, un hébergement. Vous devriez aussi être en mesure de faire le distinguo entre WordPress.org et WordPress.com. En 2026, je rajoute : vous devriez aussi savoir ce qu’est un endpoint REST, parce que dès qu’on parle IA et WordPress, on parle de l’API REST. Et ça, "Claude m’a dit" ne le résoudra pas pour vous.

Cela étant dit, n’oubliez pas qu’une installation WordPress pro ne se fait pas en 5 minutes et nécessite de nombreux ajustements, tant du point de vue de la sécurité que de l’optimisation. Et qu’une intégration IA derrière (Claude, ChatGPT, Gemini, peu importe) ne s’agrafe pas non plus sur un coin de table en collant 3 prompts dans un plugin trouvé sur ps.w.org.

Expliquer le fonctionnement de WordPress est aussi à mon sens le minimum. À quoi sert la base de données ? Quelles sont les tables, où sont stockés les thèmes, les plugins ? La différence entre un widget et un plugin, la différence entre une page et un article, au final ça sert à quoi les catégories, comment installer correctement un plugin ou un thème ? Bref et j’en passe.

Ces bases sont bien souvent éludées et trop rarement abordées. Maintenant on enchaîne directement avec "regarde, tu lui dis quoi faire à Claude et hop, ton site est en ligne". Bien sûr.

Modifier ses fichiers avec l’éditeur WordPress (et autres pieds dans le plat)

Je lis toujours en 2026 que pour ajouter le code Google Analytics, il suffit de se rendre sur l’éditeur de fichiers WordPress. C’est une erreur ! Cet éditeur est certes pratique mais si vous faites une erreur de syntaxe en modifiant un fichier, vous risquez de vous retrouver avec une magnifique page blanche. En termes de sécurité WordPress, il est même plutôt conseillé de désactiver cet éditeur interne (constante DISALLOW_FILE_EDIT à true dans wp-config.php, point final).

La méthode la plus sûre reste le FTP (ou SFTP), c’est-à-dire de télécharger le fichier que vous souhaitez modifier sur votre PC (à l’aide de FileZilla et de Notepad++ ou VS Code par exemple), de faire une copie de l’original et ensuite de renvoyer vers le serveur votre fichier modifié. En cas de problème, vous pourrez ainsi remettre le fichier original et voir ce qui pose problème. C’est à peine plus long que d’utiliser l’éditeur intégré mais c’est rudement moins dangereux.

Version 2026 : arrêtez de demander à Claude Code de modifier directement votre wp-config.php sur la prod. Faites-le sur une copie locale, testez, vérifiez, et seulement après vous déployez. L’IA va vous proposer 4 versions différentes du même fichier dans la même conversation, et si vous suivez sans relire, vous perdez votre site. Vu de mes yeux à plusieurs reprises.

SEO Yoast, Analytics, Search Console… et maintenant Claude ?

Ok, on vous dit où mettre le code Google Analytics (et on évite l’éditeur ;) c’est bien, mais vous a-t-on parlé de la Search Console et de son intérêt majeur ? On vous parle certes de SEO by Yoast mais savez-vous qu’il ne fera pas tout le boulot pour vous ? Avez-vous entendu parler du fichier robots.txt et cela a-t-il un sens pour vous ?

Voici autant d’informations qui sont rarement abordées. Non, le SEO ne se limite pas à Analytics et Yoast, ni à l’obtention de quelques liens et de gentils posts invités. Le faire croire, mais surtout le croire, c’est déjà une erreur.

Et maintenant en 2026, on vous vend en plus que Claude (ou ChatGPT, ou Gemini, peu importe) va écrire vos articles qui rankent. Lol. Une IA peut vous aider à dégrossir un sujet, structurer un plan, repérer des trous dans votre contenu. Elle peut absolument pas écrire à votre place un article qui sente votre expertise, votre prod, vos prises de positions. Et les détecteurs de contenu IA (Google compris) ne sont pas dupes éternellement. La citabilité IA d’un site (le GEO) se construit sur des signaux concrets, pas sur du contenu auto-généré dans le vide.

Sauvegarder avant de tester (sinon vous êtes mort)

Les apprentis sorciers WordPress vous donnent toutes sortes de tuyaux mais omettent très régulièrement de vous mettre en garde. Donc avant toute chose : SAUVEGARDEZ !

Cette partie compte. Sauvegarder, c’est juste la base. Comment ferez-vous si votre WordPress plante ou s’il est piraté, si vous n’avez pas une bonne sauvegarde ?

Assurez-vous, avant même de commencer à faire des modifications, d’avoir une vraie sauvegarde (à jour) et surtout d’être en mesure de la restaurer. Et la version 2026 de cette règle : avant de laisser un agent IA toucher à votre site, vous faites un snapshot complet. Fichiers + base de données. Avant. Pas après le boom.

Ajouter des plugins + des plugins + des plugins (et maintenant des skills, agents, MCP)

Arrrgh le truc qui tue ! Il y a des plugins pour tout et pour tout le monde, c’est bien le problème ! On en use et on en abuse.

J’ai récemment vu un WordPress avec pas moins de 72 plugins installés ^^ Certains faisaient même redondance, sic ! Autant vous dire que le WordPress en question était loin d’offrir des performances de haut niveau…

Très souvent, les gens qui vous conseillent un plugin pour tout et pour rien ne maîtrisent pas WordPress. On se calme donc sur les plugins et on se pose la question : "Est-ce vraiment utile ?". Souvent le thème propose déjà en natif la fonction recherchée, d’autres fois c’est WordPress lui-même qui a la fonction tant désirée.

En résumé : trop de plugins, tue le plugin !

Et la version 2026 ? J’ai vu un setup Claude Code avec 72 skills installés, 18 MCP servers connectés, 4 hooks PreToolUse différents, un système de mémoire à 3 niveaux. Le tout pour… rédiger des paragraphes de blog. Sic ! Au final, le contexte saturait à chaque session, les tokens partaient en fumée, et le mec écrivait toujours aussi mal.

Les "il y a un skill pour ça !", "il existe un MCP qui fait exactement ça", "je te file mon prompt magique" sont les nouveaux "il y a un plugin pour ça". Sauf qu’au lieu de plomber les performances de votre site, ça plombe votre facture API et votre cerveau. Avant d’installer un skill ou un MCP, posez-vous trois questions : est-ce que je sais faire ce qu’il fait sans lui ? Est-ce que je sais ce qu’il fait exactement ? Est-ce qu’il est testé en prod ailleurs que sur le compte LinkedIn de son créateur ?

Pour aller plus loin sur la création d’outils IA WordPress qui ont du sens : comment créer un plugin WordPress avec l’IA sans coder.

Méfiez-vous des "Top listes" (et des "Top 10 skills LinkedIn")

Une fois qu’on a compris que trop de plugins c’est le mal, je voudrais aussi attirer votre attention sur les fameuses "Top Listes pour plugins WordPress" ou les "meilleurs thèmes" qui fleurissent un peu partout. Bon, déjà vous n’êtes pas obligé d’installer tous les plugins de la liste hein ;) ensuite elles se ressemblent toutes (Yoast, WP Rocket, Elementor, le même tiercé partout) mais j’ai aussi vu des plugins conseillés dans ces listes et qui sont obsolètes, d’autres qui contiennent même des failles de sécurité (à relire : comment savoir si mon plugin contient une faille connue ?).

Sans même parler des précautions d’usage qui devraient être rappelées à chaque fois, trop souvent je vois des plugins conseillés qui ne devraient pas l’être, notamment en raison de leur lourdeur et des alternatives plus performantes, qui elles, pourtant, ne sont jamais dans ces fameuses listes.

Pour ce qui est des thèmes c’est la même chose, dire qu’un thème est le meilleur reste trop subjectif, meilleur pour quoi ? Meilleur pour qui ? Pour vous ou pour celui qui vous le conseille dans la mesure où il y gagne en affiliation ?

Qui fait la liste ? Un affilié ? Un vrai professionnel de WordPress ? Un(e) débutant(e) ? A-t-il vraiment testé ce qu’il conseille ? N’oubliez jamais de vous poser les bonnes questions…

Et le pendant IA 2026, c’est rigoureusement le même cirque : "Top 10 skills Claude Code à installer absolument", "Les 5 MCP servers indispensables", "Le pack ultime de prompts WordPress + IA". J’en vois passer un nouveau toutes les semaines sur LinkedIn. À chaque fois la même soupe : 10 skills listés, dont 3 sont des forks abandonnés, 4 n’ont jamais été testés en prod, 2 sont des doublons d’autres skills présents par défaut, et 1 est juste un wrapper de 3 lignes autour d’un appel curl. L’auteur ? Souvent un type qui vend une formation à 1 500 euros sur "Maîtriser Claude Code en 7 jours", et qui a besoin de visibilité pour la remplir.

Posez-vous les bonnes questions, version 2026 : l’auteur de la liste a-t-il vraiment installé chacun des skills/MCP qu’il recommande ? Les a-t-il utilisés en prod, pas juste lancés une fois ? A-t-il quelque chose à vendre derrière ? Si oui aux deux dernières, c’est probablement de la pub déguisée.

Les prompts magiques, les MCP non testés et autres foutaises IA

Arrrgh numéro 2 ! Celle-là, c’est la spécialité 2024-2026 et elle ne fait que s’amplifier. Le pseudo "prompt magique de 3 000 mots qui va transformer ta vie WordPress avec Claude". Le "system prompt secret" qu’on te file en échange de ton mail (et qui se retrouve sur Twitter le surlendemain). La "méthode propriétaire" pour faire écrire tes articles par l’IA et "ranker" sans effort.

Réfléchissez un instant. Si ce prompt magique fonctionnait vraiment, son auteur ne le vendrait pas à 47 euros sur Gumroad. Il l’utiliserait pour lui, en silence, et il serait déjà multimillionnaire. Le fait qu’il le vende est la preuve qu’il ne tient pas ses promesses.

Pour les MCP servers, c’est pareil. On voit pulluler les "MCP qui te connecte tout WordPress à Claude". Combien ont vraiment été testés sur un WordPress mis à jour aux dernières versions ? Combien gèrent correctement l’auth REST avec les Application Passwords ? Combien préviennent quand ils sont en train d’écraser un article publié sans dry-run ? Très peu. La plupart sont des POC abandonnés au bout de 3 commits, sortis sur GitHub par un dev qui voulait apparaître dans le radar Anthropic Made With Claude.

Avant d’installer un MCP server sur votre Claude Code de prod : regardez le dernier commit, le nombre de stars (et pas juste les forks), les issues ouvertes, les tests, l’auteur. Si c’est zéro test, dernier commit il y a 6 mois, auteur inconnu, vous êtes en train de donner à un script aléatoire un accès en écriture à votre site WordPress. Pensez-y.

L'"expert" auto-proclamé après 3 prompts ChatGPT

En 2016, j’écrivais qu’on ne peut pas s’autoproclamer expert WordPress après avoir dézippé 2 thèmes. Dix ans plus tard, la même phrase s’applique aux experts en IA générative : on ne peut pas s’autoproclamer expert Claude/ChatGPT/Gemini après avoir tapé 3 prompts dans une fenêtre de chat.

Pourtant LinkedIn déborde d’auto-proclamés "AI Strategist", "Prompt Engineer Senior", "Claude Code Ninja", "WordPress AI Consultant", qui ont commencé à utiliser ces outils il y a 6 mois et qui te facturent 2 500 euros la journée pour t’expliquer comment leur succès est reproductible. Spoiler : il ne l’est pas. La plupart n’ont jamais mis un site en prod, jamais géré une migration WordPress sérieuse, jamais tenu un agent IA en autonomie sur plus de 48 heures sans casser quelque chose.

Méfiez-vous de l’expertise affichée plus que démontrée. Demandez à voir un site en prod, un repo public actif, des PR fusionnées chez d’éditeurs reconnus, un historique long sur le sujet. Si la seule chose qu’on vous montre c’est des captures d’écran de prompts et un compteur d’abonnés LinkedIn, fuyez.

Optimiser ses images (et optimiser ses tokens)

Sur ces nouveaux sites, on vous donne des outils pour vos images et/ou des plugins de sliders, mais on omet trop souvent de parler du poids des images et de leur importance dans les temps de chargement.

Outre le fait que certains plugins de sliders soient des usines à gaz qui plombent les performances, ou font même régulièrement l’objet de failles de sécurité, il ne faut surtout pas oublier d’optimiser vos images (à relire : les 6 meilleurs plugins d’optimisation d’images WordPress).

Et en 2026, optimisez aussi vos tokens. Une session Claude Code mal configurée, c’est 800 000 tokens claqués en 2 heures pour générer 3 paragraphes. Si vous laissez tourner un agent en boucle sans budget, sans monitoring, sans hook d’arrêt, vous finissez le mois avec une facture API qui pique. Et vous n’avez pas plus avancé qu’avec un éditeur normal. L’IA bien utilisée, c’est rapide et pas cher. L’IA mal utilisée, c’est lent et cher. Choisissez votre camp.

Comment identifier une source WordPress ou IA fiable en 2026

Bon, après tout ce coup de gueule, vous me direz : "OK Fabrice mais comment je sais alors si une source est fiable ou pas ?". Voici les signaux que je regarde, dans l’ordre :

1. L’ancienneté du domaine et la régularité de publication. Un site WordPress qui publie depuis 8-10 ans sur le sujet sans trou de 3 ans au milieu a survécu à plusieurs versions majeures de WordPress, à Gutenberg, à l’arrivée de l’IA, et a forcément accumulé de l’expérience. Un site né en mars 2024 avec 200 articles "WordPress AI" publiés en 3 mois sent le contenu auto-généré à plein nez.

2. La prod réelle, pas la spéculation. L’auteur montre-t-il des sites qu’il a réellement faits, déployés, maintenus ? Des plugins qu’il maintient lui-même sur le repo WordPress.org ? Des PR mergées sur des projets reconnus ? Si la seule preuve qu’il existe ce sont ses propres affirmations, sceptique je reste.

3. Les citations primaires. Quand l’auteur cite un chiffre, une statistique, une fonctionnalité, est-ce qu’il sourçe ? "Selon make.wordpress.org/core", "d’après le rapport officiel Anthropic", "déclaration de Matt Mullenweg en septembre 2024". Si vous lisez juste "selon les experts" ou "il est largement reconnu que", c’est de la fumée.

4. Les dates explicites. Un article WordPress sans date de publication ni date de mise à jour visible, c’est suspect. Un article qui parle de "la dernière version de WordPress" sans préciser laquelle, c’est encore plus suspect. Un article "Claude Code 2024" lu en 2026, c’est probablement périmé sur 40% de ses recos.

5. La position assumée. Un auteur qui dit "je n’aime pas Elementor pour ces raisons" est plus fiable qu’un comparatif tiède qui équilibre tout pour ne fâcher personne (et garder ses liens d’affiliation actifs). Une position tranchée, argumentée et signée, c’est de la valeur. Le ronronnement consensuel, c’est de la pub.

Et pour aller plus loin sur la reprise de contrôle de son WordPress face à l’invasion d’outils douteux : comment reprendre le contrôle de son WordPress en 2026.

Les conseilleurs ne sont pas les payeurs

Ce billet revient-il à dire qu’il ne faut lire que WPFormation ? Bien sûr que non ! C’est juste une piqûre de rappel.

N’oubliez pas que certains sites qui traitent de WordPress ne sont pas fiables, que certains auteurs accordent bien plus d’importance à leurs gains d’affiliation qu’à la sécurité de votre CMS. Qu’on ne peut pas s’autoproclamer expert WordPress après avoir dézippé 2 thèmes, ni expert Claude Code après avoir tapé 3 prompts.

Les sources sérieuses qui traitent de WordPress sont connues. Pour la partie francophone, vous trouverez bon nombre de signatures fiables sur le Planet de WPFR, dans les groupes Facebook dédiés WordPress, lors des WordCamps français, sur les blogs des contributeurs core, ou sur les chaînes YouTube de gens qui ont déployé plus de sites WordPress que de threads LinkedIn.

Pour l’IA générative et WordPress, les sources fiables sont aussi assez identifiables : la doc officielle Anthropic, le blog Anthropic, les make.wordpress.org pour le côté WP, les repos GitHub actifs avec un vrai historique de commits et des tests, les démos en live de gens qui montrent leur prod, pas juste leurs prompts.

Bref, soyez vigilants. Ne testez pas tout et n’importe quoi sans prendre les précautions qui s’imposent. Sauvegardez avant. Vérifiez l’auteur. Méfiez-vous des "top listes" tout-en-un et des prompts magiques à 1 500 euros. Mais surtout, ne lisez pas n’importe qui ;)

Article original sur WPFormation