WordPress est mort : et autres certitudes de gens qui n’ont pas vérifié leurs chiffres

Ça a commencé par un commentaire sur un de mes posts LinkedIn. Le post en question portait sur le Protocole Crash-Test – ma méthode pour tester les plugins WordPress de manière transparente et indépendante. Trois lignes en commentaire, un emoji clé à molette, et une assurance de vendeur de SaaS en pleine hyperfixation.

Sauf que cette fois, les arguments étaient bien ficelés. Des stats Patchstack. Des pourcentages W3Techs. Une métaphore Internet Explorer plutôt réussie. Assez pour que plusieurs personnes likent en hochant la tête.

J’ai répondu. L’échange a duré trois rounds. Il est parti en philosophe après être arrivé en troll – ce qui est en soi un arc narratif satisfaisant. Mais l’échange m’a rappelé quelque chose : les arguments anti-WordPress circulent en boucle depuis 10 ans, ils sont toujours les mêmes, et ils méritent un démontage factuel complet, une bonne fois pour toutes.

C’est l’objet de cet article. Pas une défense aveugle de WordPress – j’utilise Next.js, Payload CMS, du headless quand c’est pertinent, et WordPress reste pertinent en 2026 pour la grande majorité des projets web. Mais une réponse aux cinq objections les plus répandues, avec les chiffres qui vont avec.

L’échange qui a tout déclenché

Le post original portait sur la manière dont l’écosystème WordPress teste (mal) ses plugins. Un utilisateur – consultant en" simplification d’outils et de process "selon son profil – débarque avec ce commentaire :

" 43% du web. Impressionnant. Mais 43% c’est aussi : 11 334 vulnérabilités en 2025 (+42%), une attaque toutes les 28 minutes, 92% des brèches via les plugins, et 46% des devs qui patchent même pas à temps. […] WordPress c’est un blog de 2003 sur lequel on a empilé 23 ans de rustines. L’Internet Explorer du web. "

Bien construit. Sourcé en apparence. Suffisamment confiant pour convaincre quelqu’un qui ne creuse pas. Et pourtant, chaque argument contient soit une erreur de lecture, soit un sophisme, soit un raccourci qui inverse la causalité.

Voici le démontage complet.

Objection 1 – " 43% du web, c’est gonflé. W3Techs compte les sites morts. "

W3Techs mesure les technologies utilisées par les sites web dans le top 10 millions selon Tranco. Ce n’est pas exhaustif, mais ce n’est pas non plus une comptabilité de cimetière numérique.

La méthodologie W3Techs est publique, documentée, et constante depuis 2011. Ce qui compte : les sites actifs qui répondent aux requêtes HTTP, pas les domaines enregistrés ou les installs staging. Un site" mort "au sens technique – qui ne répond plus – n’est simplement pas compté.

Est-ce que 43% inclut des sites peu actifs, des blogs perso mis à jour une fois par an, des vitrines artisanales sans analytics ? Oui. C’est aussi vrai pour les 57% restants. Shopify compte les boutiques fermées mais dont l’abonnement court encore. Wix compte les sites en construction jamais publiés. La critique s’applique uniformément à tous les CMS – elle ne disqualifie pas WordPress spécifiquement.

Quant au" déclin " : WordPress était à 40,3% en janvier 2023, 43,2% en janvier 2025, 42,6% en mars 2026. Cette variation reste dans la marge de fluctuation normale des relevés trimestriels. Et en parts de marché CMS (parmi les sites qui utilisent un CMS identifié), WordPress est à 59,9%. Le deuxième, Shopify, est à 6,8%. L’écart est de 53 points.

CMS	Usage jan. 2020	Usage mars 2026	Évolution
WordPress	35,4%	42,6%	+7,2 pts
Shopify	1,9%	~4,5%	+2,6 pts
Wix	1,3%	~3,5%	+2,2 pts
Squarespace	1,5%	~2,9%	+1,4 pts

Shopify a gagné 2,6 points en 6 ans. WordPress en a gagné 7,2. L’argument de la stagnation mérite d’être confronté aux chiffres avant d’être répété.

Objection 2 – " 11 334 vulnérabilités en 2025. +42%. Une attaque toutes les 28 minutes. "

Les chiffres viennent du rapport Patchstack 2026. Ils sont réels. Leur interprétation, elle, est problématique.

Patchstack précise dans son rapport que 91% des vulnérabilités signalées concernent les plugins, 9% les thèmes, et le core WordPress représente exactement… 6 failles sur 11 334. Six. Dont aucune de haute sévérité. C’est une distinction capitale que les articles à sensation omettent systématiquement.

Comparer WordPress à ses alternatives sur ce point exige de mettre les écosystèmes en face :

• npm (JavaScript) : plus de 3 500 packages malveillants ou abandonnés détectés en 2024 selon Socket Security. L’écosystème Node.js n’est pas exempt.
• PyPI (Python) : des milliers de packages typosquattés supprimés chaque année.
• Shopify Apps : Shopify ne publie pas de rapport équivalent sur ses applications tierces. L’absence de transparence n’est pas une absence de risque.

La différence de WordPress, c’est la transparence. WPScan maintient une base de données publique de vulnérabilités. Patchstack publie des rapports annuels détaillés. Cette visibilité est une force, pas une faiblesse – elle permet aux administrateurs de prendre des décisions éclairées. Un écosystème opaque n’est pas plus sûr, il est juste moins audité.

Le rapport Patchstack révèle aussi un chiffre que les détracteurs oublient de citer : 29% des vulnérabilités concernent des plugins premium ou freemium. Payer ne garantit pas la sécurité. Ce qui la garantit, c’est la maintenance active – qu’un plugin soit gratuit ou à 99 $/an.

J’ai géré la sécurité de WPServeur pendant plusieurs années. La quasi-totalité des compromissions qu’on traitait avaient un point commun : des plugins installés et oubliés, souvent désactivés mais pas supprimés. Le vecteur d’attaque n’est pas WordPress – c’est le comportement de l’administrateur.

Objection 3 – " Un site bien maintenu, c’est ton business model. Tu vends le problème ET la solution. "

C’est le sophisme le plus élégant de l’échange. Et le plus facile à retourner.

Oui, la maintenance WordPress génère du chiffre pour les agences et les freelances. C’est aussi vrai pour :

• Les consultants Salesforce qui vivent des paramétrages et des migrations.
• Les agences Shopify qui facturent l’intégration des apps tierces.
• Les DevOps qui maintiennent les infras Next.js en production.
• Les consultants en" simplification d’outils "qui vivent de la complexité qu’ils prétendent résoudre.

Chaque outil génère un écosystème de service autour de lui. C’est le fonctionnement normal du marché, pas une preuve de défaillance intrinsèque du CMS.

Sur le fond : oui, WordPress a besoin d’être maintenu. Tout logiciel a besoin d’être maintenu. Un projet React avec 400 dépendances npm non mises à jour depuis 8 mois est infiniment plus risqué qu’un WordPress à jour avec 5 plugins audités. La maintenance n’est pas un défaut de conception – c’est une réalité universelle du développement web.

Et pour répondre à la question implicite sur le conflit d’intérêts : je forme aussi sur Next.js, Payload CMS, les architectures headless. J’ai publié un retour d’expérience complet sur la refonte d’un site institutionnel en Next.js en 5 jours. Quand WordPress n’est pas le bon outil, je le dis. Un formateur qui défend un seul outil quelle que soit la situation n’est pas un formateur – c’est un commercial.

Objection 4 – " WordPress c’est Internet Explorer. Tout le monde l’utilisait, tout le monde savait que c’était lourd. "

La métaphore est rhétoriquement efficace. Elle est factuellement fausse.

Internet Explorer était un navigateur propriétaire, maintenu par une seule entreprise, qui bloquait activement l’adoption des standards web ouverts. Sa part de marché s’est effondrée dès qu’une alternative meilleure (Firefox, puis Chrome) est apparue.

WordPress est un logiciel open source sous licence GPL, maintenu par une communauté mondiale de plusieurs milliers de contributeurs, qui propulse des sites allant du blog perso au site de la Maison Blanche, de la NASA et de Disney. Sa part de marché a augmenté depuis l’apparition de Webflow, Wix, Squarespace et Shopify. Pas malgré eux – en parallèle d’eux.

Ce qui est vrai : WordPress a accumulé de la dette technique. L’architecture PHP/MySQL de 2003 montre son âge sur certains aspects. Mais la communauté adresse exactement ces problèmes – et elle le fait à une vitesse que la plupart des critiques ignorent.

Ce qui change concrètement dans WordPress en 2025-2026

• Gutenberg Phase 3 – Collaboration en temps réel : plusieurs utilisateurs pourront éditer la même page simultanément, à la manière de Google Docs. Les workflows éditoriaux (commentaires, suggestions, assignation de tâches) arrivent nativement dans l’éditeur.
• Interactivity API : les sites WordPress peuvent désormais offrir des interactions dynamiques (filtres, formulaires, navigation sans rechargement) sans charger un framework JavaScript entier. Les sites deviennent aussi réactifs que des apps SPA.
• Abilities API et MCP dans WordPress 7.0 : WordPress s’ouvre nativement aux LLMs et aux agents IA via le protocole MCP. Ce n’est pas un gadget – c’est un positionnement stratégique sur le web agentique.
• Data Liberation Project : une initiative majeure de 2025 qui construit des outils pour migrer en un clic depuis les plateformes fermées (Wix, Tumblr, Squarespace) vers WordPress. Pendant que les SaaS verrouillent les données, WordPress ouvre les portes.
• Refonte de l’admin : le tableau de bord classique est progressivement modernisé pour s’aligner sur l’éditeur de blocs. L’expérience utilisateur s’unifie enfin.

Internet Explorer a stagné et s’est effondré. WordPress mute, s’adapte, et intègre les technologies de demain. Les deux trajectoires n’ont rien de comparable.

Objection 5 – " Le site de la mairie en PHP 7.4 non mis à jour. C’est ÇA tes 43%. "

Oui. Et c’est précisément pour ça que la formation WordPress existe.

L’argument confond le CMS et son utilisation. Un couteau de chef mal utilisé coupe mal. Une voiture mal entretenue tombe en panne. Un WordPress abandonné pendant 14 mois devient une surface d’attaque. La responsabilité est celle de l’administrateur, pas de l’outil.

Selon les statistiques WordPress.org, environ 70% des installations actives tournent sur PHP 8.x en 2026, contre environ 32% en 2023. La migration vers les versions modernes de PHP est réelle et mesurable. Mais PHP 7.4 – en fin de vie depuis novembre 2022 – représente encore environ 22% des installations. C’est un problème réel.

Sa solution n’est pas de changer de CMS – c’est de former les gens qui gèrent ces sites. Ce que je fais depuis 2012.

J’ai formé des webmasters de collectivités locales, des responsables communication de PME, des gérants de TPE qui géraient eux-mêmes leur site. Dans 100% des cas, le problème n’était pas WordPress. C’était l’absence de process de maintenance, l’absence de sauvegarde, l’absence de suivi des mises à jour. Des problèmes qui existent avec tous les CMS, tous les outils, toutes les technologies.

Un site Shopify dont l’abonnement expire et les apps tierces ne sont plus payées a exactement les mêmes problèmes – sans que personne pointe Shopify du doigt.

L’argument que les détracteurs ne mentionnent jamais : la souveraineté

Les cinq objections précédentes tournent autour de la technique : performance, sécurité, modernité. Elles passent à côté du vrai sujet : à qui appartient votre site web ?

Avec Wix, Squarespace ou Webflow, vous êtes locataire. Si l’abonnement triple – ce qui arrive régulièrement dans le SaaS – vous êtes coincé. Si la plateforme ferme une fonctionnalité, vous subissez. Si vous voulez changer de prestataire, vous repartez de zéro ou presque.

Avec WordPress, vous êtes propriétaire. Vous pouvez changer d’hébergeur en une heure. Modifier le code source. Exporter toutes vos données. Personne ne peut fermer votre site, augmenter vos tarifs de 300%, ou décider que votre contenu ne respecte pas leurs CGU.

En 2026, à l’heure où les plateformes ferment les accès (API payantes, censure algorithmique, verrouillage des exports), cette indépendance n’est pas un détail philosophique. C’est un avantage stratégique mesurable.

Et la preuve que WordPress s’adapte aux architectures modernes : le site que vous lisez en ce moment – wpformation.com – tourne en architecture headless. WordPress gère le contenu côté serveur, Next.js propulse le frontend sur Vercel. Résultat : un score PageSpeed Mobile de 98, un temps de chargement inférieur à 1 seconde, et la flexibilité éditoriale de WordPress. Le meilleur des deux mondes.

Ce que disent vraiment les chiffres en 2026

Plutôt que des opinions, quelques données vérifiées et sourcées.

Parts de marché CMS : Selon W3Techs en mars 2026, WordPress propulse 42,6% des sites web mondiaux et détient 59,9% de parts de marché CMS. Le deuxième CMS, Shopify, est à 6,8% de parts de marché CMS. L’écart de 53 points s’est maintenu depuis 2020.

Adoption PHP 8+ : Selon les statistiques officielles WordPress.org, environ 70% des installations WordPress actives tournent sur PHP 8.x en 2026. PHP 8.2 est devenue la version la plus utilisée, dépassant PHP 7.4 fin 2025. La migration est réelle, même si 22% de sites restent sur PHP 7.4.

Core WordPress : Le core WordPress (sans plugins ni thèmes tiers) a enregistré 3 CVE en 2025 selon le NVD, toutes de faible sévérité. Le core Drupal en a enregistré 7, Joomla 7 – dont une injection SQL et un contournement MFA. Les 11 334″ failles WordPress "de Patchstack incluent l’intégralité de l’écosystème de plugins (91%) et thèmes (9%). Le core ne représente que 6 entrées sur 11 334, soit 0,05%.

Performance : Un WordPress correctement configuré avec un bon hébergeur, un plugin de cache et des images optimisées atteint facilement un score Lighthouse de 90+. En architecture headless, on dépasse les 95. Les arguments de" lourdeur "de WordPress concernent les installations mal configurées avec 30 plugins, pas le CMS dans son état optimisé.

Coût total de possession : Selon le rapport WP Engine de 2025, les CMS propriétaires ont un coût total de possession 44% plus élevé que WordPress. L’argument du" gratuit qui coûte cher en maintenance "se retourne : le payant coûte encore plus cher, sans la liberté.

Critère	WordPress	Shopify	Webflow
Open source	GPL	Propriétaire	Propriétaire
Hébergement libre	Oui	Captif	Captif
Plugins/extensions	60 000+	~13 000	~600
Part de marché CMS 2026	59,9%	6,8%	~1,5%
E-commerce natif	Via WooCommerce	Natif	Natif
Coût mensuel minimum	~5 € (hébergement)	~29 $/mois	~14 $/mois
Propriété des données	Totale	Partielle	Partielle
Export complet	Oui (XML, SQL)	Limité	Limité

Quand WordPress n’est effectivement pas le bon choix

Défendre WordPress ne signifie pas le recommander dans tous les cas. L’ère du" WordPress pour tout "est révolue – et c’est une bonne chose. Le marché s’est segmenté, et chaque outil a trouvé sa niche.

Shopify est supérieur à WordPress pour les boutiques e-commerce pures dont le propriétaire n’a aucune compétence technique et ne veut pas en acquérir. Le tout-en-un (hébergement, paiement, SSL, mises à jour) a un coût mais élimine la charge de maintenance. Si votre business c’est de vendre des produits, pas de gérer un serveur – Shopify fait le job.

Webflow ou Framer sont supérieurs à WordPress pour les agences qui livrent des sites vitrine à des clients sans techniciens internes, quand le contrôle design pixel-perfect prime sur l’extensibilité. Pour un portfolio de photographe ou un site de restaurant de 5 pages, WordPress est souvent overkill.

Next.js + Headless CMS est supérieur à WordPress traditionnel pour les projets nécessitant des performances maximales, une sécurité frontend absolue, ou une intégration dans un écosystème JavaScript existant. J’ai fait exactement ce choix pour wpformation.com – et je l’assume.

WordPress reste le meilleur choix pour : les projets éditoriaux complexes, les sites qui évoluent dans le temps, les clients qui veulent garder le contrôle de leur hébergement et de leurs données, les budgets limités, les sites multilingues, et les cas où l’écosystème de 60 000 plugins répond à des besoins spécifiques sans développement sur-mesure. C’est aussi un CMS dont l’optimisation SEO est parmi les plus documentées du marché.

Choisir le bon outil pour le bon projet, c’est exactement ce que j’enseigne. Pas" WordPress toujours ". Pas" WordPress jamais ".

Comment répondre aux objections anti-WordPress (guide pratique)

Si tu travailles dans l’écosystème WordPress – freelance, agence, formateur – tu vas rencontrer ces arguments régulièrement. Voici les réponses courtes à avoir en tête.

" WordPress c’est pas sécurisé "

Le core WordPress a eu 3 CVE en 2025, toutes mineures. 99,95% des 11 334 vulnérabilités Patchstack concernent les plugins et thèmes tiers. La solution : auditer ses plugins, supprimer les inactifs, maintenir à jour. C’est de l’hygiène numérique basique, pas une fatalité architecturale. Pour aller plus loin, voici le guide complet pour sécuriser WordPress.

" WordPress c’est lent "

Un WordPress mal configuré est lent. Un WordPress avec un bon hébergeur, LiteSpeed Cache ou WP Rocket, des images WebP et un CDN passe le seuil des 90 Lighthouse sans effort particulier. En headless (Next.js + WordPress API), on atteint 98 sur mobile – c’est ce que fait wpformation.com. La lenteur n’est pas une caractéristique du CMS – c’est le résultat d’une mauvaise configuration.

" WordPress c’est vieux, c’est dépassé "

Linux date de 1991. MySQL de 1995. PHP de 1994. L’âge d’un logiciel open source n’est pas un défaut – c’est souvent une preuve de maturité et de stabilité. WordPress 7.0 intègre une Abilities API pour les LLMs, une Interactivity API moderne, la collaboration en temps réel, et le Data Liberation Project. Ce n’est pas figé – c’est un chantier permanent de modernisation sur une base de 43% du web.

" Shopify/Wix prend des parts de marché à WordPress "

Shopify et Wix grimpent sur un marché qui grandit. WordPress grandit aussi, sur le même marché – et plus vite en points absolus. Les deux peuvent être vrais simultanément. Ce n’est pas un jeu à somme nulle.

" Tu défends WordPress parce que tu en vis "

Je vis aussi de Next.js, de Payload CMS, du headless, et de la formation sur des outils non-WordPress quand le contexte le justifie. Le conflit d’intérêts supposé s’applique à tous les consultants spécialisés – y compris ceux qui" simplifient tes outils "en te vendant leur stack préférée.

Ce que cet échange m’a appris (ou confirmé)

Les arguments anti-WordPress ne sont pas nouveaux. J’en entends des variantes depuis 2012, quand j’ai commencé à former sur WordPress. Ce qui change, c’est le packaging : des stats Patchstack bien choisies, une métaphore mémorable, un ton de consultant désabusé qui" dit ce que tout le monde pense ".

La structure est toujours la même : prendre un fait réel (les vulnérabilités existent), retirer le contexte (99,95% viennent de plugins et thèmes tiers), et en tirer une conclusion qui dépasse largement ce que les données soutiennent (WordPress est structurellement défaillant).

Ce biais de confirmation anti-WordPress sert des intérêts précis : les vendeurs de solutions SaaS alternatives, les consultants qui se positionnent sur la migration, et les gens qui ont besoin de paraître disruptifs sur LinkedIn.

Ça ne signifie pas que WordPress est parfait. Ça signifie que les arguments méritent d’être vérifiés avant d’être répétés. Et quand on les vérifie – vraiment, en allant lire les rapports et pas juste les tweets – l’image est radicalement différente de ce que les prophètes du déclin racontent.

Le déclin de WordPress est annoncé depuis 10 ans. WordPress est toujours là. Les prophètes, moins.

Questions fréquentes

WordPress est-il vraiment le CMS le plus utilisé au monde en 2026 ?

Oui. Selon W3Techs, WordPress propulse 42,6% des sites web mondiaux et détient 59,9% de parts de marché CMS en mars 2026. Le deuxième CMS, Shopify, est à 6,8%. L’écart de 53 points ne s’est pas réduit depuis 2020 malgré la croissance des alternatives.

Les 11 334 vulnérabilités WordPress de 2025, c’est vraiment alarmant ?

Le chiffre est réel, le contexte manque. Selon Patchstack, 91% concernent les plugins, 9% les thèmes, et le core WordPress ne représente que 6 failles sur 11 334 – soit 0,05%. Aucune de haute sévérité. Un site WordPress à jour avec des plugins maintenus actifs n’est pas statistiquement plus risqué qu’une alternative.

WordPress est-il vraiment en déclin face à Shopify et Wix ?

Non, si l’on lit les données correctement. WordPress est passé de 35,4% à 42,6% de parts de marché globale entre 2020 et 2026 (+7,2 points). Shopify est passé de 1,9% à environ 4,5% sur la même période. Les deux progressent sur un marché web en expansion – ce n’est pas un jeu à somme nulle.

Quand WordPress n’est-il PAS le bon choix ?

Trois cas concrets : une boutique e-commerce pure dont le propriétaire veut le tout-en-un sans maintenance (Shopify gagne) ; un site vitrine de 5 pages livré à un client qui veut du pixel-perfect sans technicien (Webflow ou Framer gagnent) ; un projet nécessitant des performances maximales en statique avec une stack JavaScript existante (Next.js + headless CMS gagne). Pour tout le reste – projets éditoriaux, évolutifs, multilingues, avec budget contraint – WordPress reste difficilement battable.

Comment sécuriser concrètement un site WordPress ?

Cinq actions qui couvrent 90% des risques : mettre à jour core, plugins et thèmes dès les nouvelles versions ; supprimer les plugins inactifs (pas juste désactiver) ; changer l’URL de connexion avec WPS Hide Login ; limiter les tentatives de connexion avec WPS Limit Login ; activer un plugin de sécurité actif comme Wordfence ou Patchstack. La plupart des compromissions viennent de l’une de ces cinq négligences.

Un formateur WordPress peut-il être objectif sur WordPress ?

La question se pose légitimement. Ma réponse : je forme aussi sur Next.js, Payload CMS et les architectures headless, et je publie des retours d’expérience sur des projets non-WordPress quand c’est pertinent. Un formateur qui recommande le même outil dans tous les contextes n’est pas un formateur – c’est un commercial. L’objectivité se mesure aux recommandations contre-intuitives, pas aux déclarations d’intention.

Qu’est-ce que le Data Liberation Project de WordPress ?

C’est une initiative lancée en 2025 qui vise à créer des outils de migration en un clic depuis les plateformes fermées (Wix, Tumblr, Squarespace) vers WordPress. L’objectif : faciliter la sortie du verrouillage SaaS et renforcer la souveraineté numérique des utilisateurs. Pendant que les plateformes propriétaires rendent la migration difficile, WordPress construit les ponts.