InspectWP Logo
Guide de correction

Comment maintenir les extensions WordPress à jour et sécurisées

8 février 2026 Mis à jour le 19 avr. 2026

Les extensions WordPress obsolètes constituent l'un des vecteurs d'attaque les plus courants pour les pirates. Selon plusieurs rapports de sécurité, plus de 50 % des vulnérabilités WordPress proviennent des extensions. Les maintenir à jour est essentiel pour la sécurité et la stabilité de votre site. Mais cliquer simplement sur « Mettre à jour » sans plan peut introduire de nouveaux problèmes. Ce guide couvre tout ce que vous devez savoir pour gérer correctement les mises à jour des extensions WordPress.

Pourquoi les mises à jour des extensions WordPress sont essentielles pour la sécurité

Chaque extension WordPress ajoute du code à votre site, et chaque ligne de code représente un point d'entrée potentiel pour les attaquants. Lorsqu'une vulnérabilité est découverte dans une extension, les développeurs publient un correctif. La fenêtre entre la divulgation publique et votre mise à jour est le moment où votre site est le plus vulnérable. Des bots automatisés analysent Internet à la recherche de sites exécutant des versions vulnérables connues, parfois quelques heures seulement après la publication d'une CVE.

  • Correctifs de sécurité : la plupart des mises à jour d'extensions incluent des corrections de vulnérabilités découvertes. Retarder les mises à jour expose votre site à des exploits déjà documentés dans des bases de données publiques comme WPScan et la National Vulnerability Database (NVD).
  • Compatibilité avec le cœur de WordPress : le cœur de WordPress est mis à jour régulièrement, et chaque version majeure peut déprécier des fonctions ou modifier des API internes. Les extensions obsolètes qui s'appuient sur du code déprécié peuvent cesser de fonctionner entièrement ou produire des avertissements PHP qui divulguent des informations sur la configuration de votre serveur.
  • Optimisation des performances : les développeurs optimisent fréquemment les requêtes de base de données, réduisent l'utilisation de la mémoire et améliorent le chargement des ressources dans les nouvelles versions. Exécuter du code d'extension ancien signifie passer à côté de ces gains.
  • Nouvelles fonctionnalités et corrections de bugs : au-delà de la sécurité, les mises à jour traitent les bugs signalés et introduisent des fonctionnalités demandées par les utilisateurs. Rester à jour signifie moins de problèmes et une meilleure expérience pour vos visiteurs.
  • Prise en charge des versions PHP : à mesure que votre hébergeur met à niveau PHP (ce que vous devriez encourager pour la performance et la sécurité), du code d'extension ancien peut déclencher des avertissements de dépréciation ou des erreurs fatales sur PHP 8.x.

Comment mettre à jour les extensions WordPress en toute sécurité, étape par étape

Cliquer aveuglément sur « Tout mettre à jour » dans le tableau de bord WordPress est risqué. Une approche méthodique vous protège des temps d'arrêt inattendus et facilite grandement le dépannage en cas de problème.

  1. Créez d'abord une sauvegarde complète : sauvegardez toujours votre base de données et vos fichiers avant toute mise à jour. Utilisez une extension de sauvegarde comme UpdraftPlus, BlogVault, ou l'outil de sauvegarde intégré de votre hébergeur. Vérifiez que la sauvegarde s'est bien déroulée et que vous pouvez la restaurer. Une sauvegarde que vous n'avez jamais testée n'est pas une sauvegarde fiable.
  2. Lisez attentivement le journal des modifications : avant la mise à jour, consultez la page de l'extension sur WordPress.org ou le site du développeur et lisez le changelog. Portez une attention particulière aux sauts de version majeure (par exemple, 2.x vers 3.x), qui incluent souvent des changements incompatibles, des migrations de base de données ou des fonctionnalités supprimées. Si le changelog mentionne « breaking changes » ou « minimum requirements », prévoyez du temps supplémentaire pour les tests.
  3. Mettez à jour une extension à la fois : résistez à la tentation de tout mettre à jour d'un coup. Si vous mettez à jour dix extensions simultanément et que votre site se casse, vous ne savez pas laquelle a causé le problème. Mettez-en une à jour, vérifiez votre site, puis passez à la suivante. Oui, cela prend plus de temps. Oui, cela en vaut la peine.
  4. Testez d'abord sur un environnement de préproduction : si votre hébergeur propose un environnement de staging (la plupart des hébergeurs WordPress managés le font), clonez votre site de production et appliquez-y d'abord les mises à jour. Vérifiez toutes les fonctionnalités critiques : formulaires de contact, paiement WooCommerce, connexions de membres, types de contenu personnalisés, et toutes les mises en page de page builder. Ne déployez en production qu'une fois certain que tout fonctionne.
  5. Vérifiez les fonctionnalités clés après chaque mise à jour : après une mise à jour en production, parcourez les flux les plus importants de votre site. Soumettez un formulaire de test, complétez un achat de test, vérifiez que votre extension de cache fonctionne toujours, et que votre extension SEO génère les bonnes balises meta. Vérifiez la console du navigateur pour des erreurs JavaScript qui pourraient indiquer un conflit.
  6. Surveillez les journaux d'erreurs : après la mise à jour, vérifiez votre journal d'erreurs PHP et le journal de débogage WordPress. Activez temporairement la journalisation de débogage si elle n'est pas active :
// Dans wp-config.php
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
define('WP_DEBUG_DISPLAY', false);

Ceci écrit les erreurs dans wp-content/debug.log sans les afficher aux visiteurs. Examinez ce fichier après chaque mise à jour et désactivez le mode debug une fois que vous êtes satisfait de la stabilité.

Gérer les mises à jour automatiques des extensions WordPress

WordPress 5.5 a introduit la prise en charge native des mises à jour automatiques pour les extensions. Cette fonctionnalité est pratique, mais elle comporte des compromis à comprendre avant de l'activer.

Pour activer les mises à jour automatiques de manière sélective via le tableau de bord d'administration :

  1. Allez dans Extensions > Extensions installées.
  2. Cliquez sur « Activer les mises à jour automatiques » à côté de chaque extension que vous souhaitez mettre à jour automatiquement.

Pour activer les mises à jour automatiques de toutes les extensions par programmation, ajoutez ceci au functions.php de votre thème ou à une extension personnalisée :

add_filter('auto_update_plugin', '__return_true');

Pour un contrôle plus granulaire, vous pouvez mettre à jour automatiquement uniquement certaines extensions :

add_filter('auto_update_plugin', function ($update, $item) {
    // Mettre à jour automatiquement uniquement ces extensions
    $auto_update_plugins = [
        'wordfence/wordfence.php',
        'akismet/akismet.php',
        'wp-mail-smtp/wp_mail_smtp.php',
    ];
    return in_array($item->plugin, $auto_update_plugins, true);
}, 10, 2);

Une stratégie pratique : activez les mises à jour automatiques pour les extensions critiques en matière de sécurité (pare-feu, antispam, protection de connexion) où retarder les correctifs est dangereux. Gardez les mises à jour automatiques désactivées pour les extensions complexes comme les page builders, WooCommerce ou les extensions développées sur mesure, où les mises à jour sont plus susceptibles d'introduire des changements incompatibles.

Important : les mises à jour automatiques s'exécutent via le cron WordPress, qui dépend du trafic du site. Si votre site a un très faible trafic, les mises à jour automatiques peuvent être retardées. Envisagez de configurer une vraie tâche cron serveur pour déclencher wp-cron.php de manière fiable :

# Exécuter le cron WordPress toutes les 5 minutes
*/5 * * * * wget -q -O - https://votresite.com/wp-cron.php?doing_wp_cron > /dev/null 2>&1

Comment gérer les extensions retirées du dépôt WordPress

Il arrive que des extensions soient retirées du dépôt WordPress.org. Cela peut se produire pour plusieurs raisons : vulnérabilités de sécurité non corrigées, violations de licence GPL, manquements aux directives, ou demande de retrait du développeur. Lorsque InspectWP signale une extension retirée sur votre site, traitez-le comme un problème hautement prioritaire.

  1. Désactivez et supprimez immédiatement l'extension : les extensions retirées présentent souvent des vulnérabilités non corrigées qui ne le seront jamais. Chaque jour où vous les laissez actives est un jour de plus où votre site est en danger. N'attendez pas un « moment opportun » pour vous en occuper.
  2. Trouvez une alternative maintenue : recherchez dans le dépôt d'extensions WordPress un remplacement offrant la même fonctionnalité. Examinez le nombre d'installations actives, la date de dernière mise à jour, et l'activité du forum de support pour évaluer si l'alternative est bien maintenue. Les alternatives populaires pour des fonctionnalités courantes incluent :
    • Formulaires de contact : WPForms, Gravity Forms, Formidable Forms
    • SEO : Yoast SEO, Rank Math, The SEO Framework
    • Sécurité : Wordfence, Solid Security, Sucuri
    • Cache : WP Rocket, W3 Total Cache, LiteSpeed Cache
  3. Nettoyez les données résiduelles : de nombreuses extensions laissent derrière elles des tables de base de données, des options dans la table wp_options, et des fichiers dans wp-content. Après avoir supprimé une extension, nettoyez ces données résiduelles. Vous pouvez le faire manuellement via phpMyAdmin, utiliser une extension comme WP-Optimize ou Advanced Database Cleaner, ou exécuter des commandes WP-CLI :
# Lister toutes les options correspondant au préfixe d'une extension
wp option list --search='*pluginprefix*' --format=table

# Supprimer des options spécifiques
wp option delete pluginprefix_settings
wp option delete pluginprefix_version

# Supprimer les tables de base de données résiduelles
wp db query "DROP TABLE IF EXISTS wp_pluginprefix_data;"

Bonnes pratiques de sécurité pour les extensions WordPress

Maintenir les extensions à jour n'est qu'une partie d'une stratégie de sécurité solide. Ces pratiques supplémentaires réduisent votre risque global :

  • Installez des extensions uniquement depuis des sources fiables : tenez-vous au dépôt officiel WordPress.org pour les extensions gratuites, et achetez les extensions premium directement sur le site du développeur. Ne téléchargez jamais d'extensions premium « nulled » ou piratées. Elles contiennent presque toujours des portes dérobées, des mineurs de cryptomonnaie, ou du code d'injection de spam.
  • Supprimez les extensions inutilisées et désactivées : une extension désactivée peut tout de même être exploitée si elle contient une vulnérabilité dans un fichier directement accessible via une URL. Supprimez toute extension que vous n'utilisez pas activement. Si vous pensez en avoir besoin plus tard, notez le nom de l'extension et réinstallez-la le moment venu.
  • Vérifiez la date de dernière mise à jour avant d'installer : une extension qui n'a pas été mise à jour depuis plus d'un an peut être abandonnée. Vérifiez le champ « Dernière mise à jour » sur la page WordPress.org de l'extension. Regardez aussi le forum de support : si le développeur n'a pas répondu aux demandes depuis des mois, l'extension est peut-être de fait morte. Envisagez des alternatives avant de vous engager avec une extension non maintenue.
  • Examinez ce que fait l'extension à l'activation : certaines extensions enregistrent des points de terminaison REST API personnalisés, ajoutent des règles de réécriture, ou créent de nouvelles tables de base de données. Soyez conscient de ce que chaque extension ajoute à votre site. Les extensions qui demandent un accès en écriture au système de fichiers, effectuent des requêtes HTTP externes, ou modifient votre fichier .htaccess méritent un examen supplémentaire.
  • Limitez le nombre total d'extensions : il n'y a pas de chiffre magique, mais chaque extension augmente votre surface d'attaque, ajoute un surcoût potentiel sur les performances, et crée une dépendance supplémentaire à maintenir. Avant d'installer une extension, demandez-vous : puis-je obtenir cela avec des extensions existantes, un petit extrait de code, ou une fonctionnalité du thème ? Si une extension fait une seule petite chose, demandez-vous si quelques lignes de code personnalisé ne seraient pas plus appropriées.
  • Utilisez une extension de sécurité WordPress : des outils comme Wordfence, Solid Security ou Sucuri fournissent une protection par pare-feu, une analyse des malwares et un durcissement de la connexion. Ils peuvent aussi vous alerter lorsqu'une extension installée présente une vulnérabilité connue, avant même que vous ne fassiez la mise à jour.
  • Surveillez proactivement les vulnérabilités des extensions : abonnez-vous au flux de vulnérabilités WPScan ou utilisez l'extension Patchstack pour recevoir des alertes lorsque des vulnérabilités sont divulguées pour les extensions que vous utilisez. Cela vous permet de réagir rapidement, parfois avant que les attaquants ne commencent à exploiter le problème.

Utiliser WP-CLI pour une gestion efficace des extensions

Si vous gérez plusieurs sites WordPress ou préférez travailler en ligne de commande, WP-CLI rend la gestion des extensions beaucoup plus rapide et scriptable.

# Vérifier les mises à jour d'extensions disponibles
wp plugin list --update=available --format=table

# Mettre à jour une extension spécifique
wp plugin update contact-form-7

# Mettre à jour toutes les extensions d'un coup (à utiliser avec prudence)
wp plugin update --all

# Vérifier le statut et la version d'une extension
wp plugin status akismet

# Installer et activer une extension en une seule commande
wp plugin install wordfence --activate

# Désactiver et supprimer une extension inutilisée
wp plugin deactivate hello-dolly && wp plugin delete hello-dolly

# Vérifier les sommes de contrôle des extensions par rapport à WordPress.org
wp plugin verify-checksums --all

La commande verify-checksums est particulièrement utile pour les audits de sécurité. Elle compare les fichiers d'extensions installés aux originaux sur WordPress.org et signale toute modification. Cela aide à détecter les fichiers altérés qui pourraient indiquer une compromission.

Créer un workflow de mise à jour des extensions pour les équipes

Si plusieurs personnes gèrent votre site WordPress, établissez un processus clair pour les mises à jour des extensions afin d'éviter les conflits et garantir la responsabilité :

  1. Planifiez une fenêtre de mise à jour régulière : choisissez un créneau hebdomadaire ou bihebdomadaire pour les mises à jour non critiques. Les correctifs de sécurité doivent être appliqués dès que possible, indépendamment du planning.
  2. Documentez le processus de mise à jour : notez quelles pages et fonctionnalités tester après chaque type de mise à jour d'extension. Par exemple, après une mise à jour de WooCommerce, vous devriez toujours tester le panier, le paiement et le traitement des paiements.
  3. Utilisez le contrôle de version pour les extensions personnalisées : si vous avez des extensions développées sur mesure, conservez-les dans un dépôt Git. Étiquetez les versions et utilisez le dépôt comme source de vérité pour les déploiements.
  4. Mettez en place une surveillance de disponibilité : utilisez un service comme UptimeRobot ou Pingdom pour vous alerter si votre site tombe après une mise à jour. Plus tôt vous le savez, plus vite vous pouvez revenir en arrière.
  5. Préparez un plan de retour en arrière : sachez comment restaurer rapidement votre sauvegarde. Pratiquez le processus de restauration au moins une fois afin de ne pas l'apprendre pour la première fois en pleine urgence.

Comment InspectWP surveille vos extensions WordPress

InspectWP détecte vos extensions WordPress installées en analysant le code source de la page, les fichiers CSS et JavaScript chargés sur votre site. Il vérifie la version de chaque extension détectée par rapport au dépôt WordPress.org et signale les extensions obsolètes. Il identifie également les extensions qui ont été retirées entièrement du dépôt, un indicateur de sécurité critique que de nombreux propriétaires de sites négligent. Avec les rapports automatiques d'InspectWP, vous pouvez planifier des analyses régulières qui vous alertent dès qu'une extension prend du retard ou disparaît du dépôt, afin de pouvoir agir avant qu'une vulnérabilité ne soit exploitée.

Article précédent

Comment corriger les attributs de sécurité des cookies dans WordPress

Article suivant

Comment mettre à jour les thèmes WordPress en toute sécurité

Articles liés

Comment augmenter la taille maximale des fichiers téléversés dans WordPress

Comment bloquer readme.html et license.txt dans WordPress

Comment désactiver le listage de répertoire dans WordPress (Apache et nginx)

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement